Il nuovo regolamento UE per la privacy

di | Pubblicato il 18 dicembre 2017

Il 25 maggio 2018 sarà operativo in tutti i paesi dell’Unione Europea il Regolamento Generale sulla Protezione dei Dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) che abrogherà la vecchia direttiva sulla privacy dalla quale il nostro Codice per la protezione dei dati personali trae ispirazione.

Mentre attendiamo che la normativa italiana si adegui, le aziende sono chiamate a rispondere ad alcune sfide importanti per definire sia quali siano le misure sufficienti per rispettare gli obblighi, sia i nuovi assetti organizzativi e procedurali.

L’attuale normativa italiana (Codice per la protezione dei dati personali, D.Lgs. n. 196/2003) stabilisce infatti che le aziende debbano applicare un insieme di provvedimenti minimi per garantire la sicurezza del trattamento dei dati personali; diversamente, il GDPR introduce un cambio paradigmatico che imporrà alle aziende di elaborare delle misure che siano sufficienti a garantire il rispetto dei nuovi obblighi in esso previsti, non fornendo però indicazioni specifiche su come adeguarsi.

Questo approccio non è completamente nuovo perché è analogo a quello previsto dalla normativa italiana per la tutela della sicurezza e della salute sui luoghi di lavoro che stabilisce che il datore di lavoro è obbligato a individuare in anticipo sia i rischi che i rimedi. Nel GDPR assume quindi una diversa importanza il titolare del trattamento – ovvero la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali – che decide sotto la propria responsabilità quali siano i provvedimenti sufficienti per rispettare gli obblighi e garantire la mitigazione dei rischi.

Attualmente, la gestione della privacy passa attraverso le informative o i ben noti assensi telematici che spesso finiscono per non essere letti dagli interessati e i cui termini vengono accettati senza una piena comprensione. L’introduzione del GDPR impone regole molto più precise e pervasive per cui il titolare del trattamento sarà tenuto a definire ruoli, procedure e documentazione tali da indicare chiaramente le responsabilità e dovrà predisporre un sistema capace di prevedere eventuali rischi legati al trattamento dei dati. Inoltre, le aziende si dovranno dotare di procedure che dimostrino il livello di compliance con il GDPR e che, in caso di data breach (violazione dei dati), siano in grado di comunicare l’evento all’autorità di controllo entro 72 ore.

Da questi nuovi obblighi si comprende come la gestione della privacy non sarà più ridotta ad una problematica documentale di limitata centralità, ma diventerà un aspetto essenziale all’interno dell’azienda intervenendo in ogni processo che effettui operazioni su dati sensibili. Il GDPR interviene, quindi, obbligando le aziende a ripensare e reingegnerizzare i processi in modo che sia rispettata la privacy by design e by default. In sostanza, la norma richiede che la protezione dei dati sia garantita fin dalla progettazione dei processi e che avvenga per impostazione predefinita così da attuare in modo efficace i principi di protezione dei dati ed integri nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e di tutelare i diritti degli interessati. Il titolare dovrà, inoltre, mettere obbligatoriamente in atto misure tecniche e organizzative predefinite per garantire che solo i dati necessari siano trattati, considerati e conservati in funzione delle finalità richieste e siano accessibili in modo controllato.

La nuova normativa impatterà sulle aziende anche a livello organizzativo, imponendo la definizione di alcune figure specifiche all’interno del proprio organigramma. La prima è quella del già citato titolare del trattamento dei dati, che ha potere decisionale sulla modalità di trattamento e sugli strumenti da   utilizzare e che dirige gli eventuali incaricati preposti alle operazioni di trattamento.

L’altra figura è il responsabile del trattamento, che può essere una persona fisica o giuridica, un’autorità pubblica o altro organismo che tratta i dati personali per conto del titolare del trattamento. È quindi un’entità terza che viene contrattualizzata per effettuare operazioni di trattamento dei dati per conto dell’azienda rispettando il livello di sicurezza previsto.

Esiste poi una terza figura, il Data Protection Officer (DPO), che è designato dal titolare del trattamento e dal responsabile del trattamento come responsabile della protezione dei dati. Il DPO è obbligatorio quando il trattamento del dato è effettuato da una Pubblica Amministrazione, quando per la loro natura o ambiti di applicazioni e finalità il trattamento dei dati richiede un monitoraggio regolare e sistematico degli interessati su larga scala e quando vengono trattate categorie speciali di dati quali quelli che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, che trattino dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona e, infine, condanne penali.

Il DPO potrà essere scelto tra i liberi professionisti o tra i dipendenti del titolare del trattamento e dovrà operare in posizione di assoluta indipendenza. I suoi compiti sono quelli, tra gli altri, di informare e fornire consulenza a tutti i soggetti che sono coinvolti nella privacy (titolare, responsabile e incaricati del trattamento), di sorvegliare l’osservanza del GDPR e di fungere da punto di contatto con l’autorità di controllo.

Altra novità introdotta nel trattamento dei dati dal GDPR è il principio dell’accountability, termine di difficile traduzione in italiano e che indica una combinazione tra responsabilizzazione e rendicontazione. Il titolare del trattamento è competente per il rispetto del trattamento dei dati secondo principi di liceità, correttezza e trasparenza nei confronti dell’interessato e, soprattutto, è competente per il rispetto di tali principi ed è in grado di comprovarlo. Quindi il titolare ha l’onere di porre in atto azioni verificabili nei fatti attraverso prove documentali tramite due strumenti: il registro dei trattamenti, che contiene indicazioni su tutte le attività di trattamento effettuate; e, nel caso sussistano una combinazione di vari fattori ad alto rischio, il Data Protection Impact Assessment (DPIA) che contiene la valutazione d’impatto e le misure tecniche organizzative per il trattamento dei dati che presentano dei rischi elevati per la privacy degli interessati.

A tali novità si aggiungono quelle altrettanto importanti che vanno nella direzione di rafforzare il controllo che gli interessati hanno sui propri dati personali: la portabilità del dato e il diritto alla rettifica e alla cancellazione. La portabilità consentirà di ricevere i propri dati in un formato strutturato di uso comune e leggibile da un dispositivo automatico consentendo il trasferimento da un titolare del trattamento ad un altro, senza impedimenti. Per esempio, sarà possibile trasferire tutti i dati delle transazioni bancarie dal proprio istituto ad un altro qualora si decidesse di cambiare.

Il diritto alla rettifica consentirà agli interessati di richiedere al titolare del trattamento la modifica dei dati personali inesatti, mentre il diritto alla cancellazione (oblio) permetterà agli stessi di ottenerne l’eliminazione, ad esempio perché dati non più necessari, perché viene meno il consenso o perché trattati illecitamente.

Per la tutela della privacy il GDPR introduce un impianto sanzionatorio molto severo. Infatti, in caso di violazione sono previsti tetti sanzionatori amministrativi che passano dagli attuali 180mila euro a uno schema a due criteri: 10 milioni di euro o il 2% del fatturato mondiale totale annuo dell’esercizio precedente per violazioni più lievi; 20 milioni di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente per violazioni più gravi. Il regolamento aggiunge anche gli eventuali risarcimenti in caso accertato di comportamento doloso o colposo del titolare mentre non fa riferimento a sanzioni di tipo penale.

In conclusione, l’implementazione delle nuove norme sulla privacy apre numerosi fronti di criticità per le aziende. Sicuramente il brevissimo lasso di tempo da qui al 25 maggio 2018 espone a una grande preoccupazione sulla capacità di poter essere compliant con il GDPR tenuto conto della ragguardevole mole di lavoro da fare. Altrettanto impegnativo sarà per le aziende implementare nuove soluzioni ICT e provvedere a una riorganizzazione del proprio organigramma.

In realtà, uno dei punti critici non ancora evidenziato è la necessità di reingegnerizzare i processi aziendali in ottica privacy. L’attuazione di un protocollo di rivisitazione dei propri processi, tra l’altro esplicitamente richiesto dalla norma, è uno dei pochi metodi sistematici che garantisce un certo successo. Solo le aziende che comprenderanno questo aspetto potranno trasformare l’adeguamento al GDPR da una pesante incombenza a una occasione di miglioramento della propria organizzazione.

Riferimenti

GDPR – Nuovo Regolamento UE Privacy: Testo definitivo pubblicato in GUUE in data 4 maggio 2016.

Garante per la protezione dei dati personali (http://www.garanteprivacy.it).

Tratto da . Scarica il numero in formato pdf.