GDPR, dal prossimo 25 Maggio 2018 cambiano le regole per il trattamento dei dati personali

 

GDPR, dal prossimo 25 Maggio 2018 cambiano le regole per il trattamento dei dati personali

Il prossimo 25 maggio entrerà in vigore il Regolamento (UE) 2016/679 (in inglese GDPR General Data Protection Regulation), la nuova normativa con la quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e residenti nell’Unione europea.

Il GDPR abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) in attuazione della quale era stato adottato dal Legislatore italiano il Codice della privacy, introducendo nuove prescrizioni per le aziende la cui inosservanza comporterà pesanti sanzioni. La gestione dei dati personali in azienda smetterà di essere un mero adempimento formale ma diventerà un vero e proprio processo necessitante di nuove regole organizzative per garantire la tracciabilità dei dati e l’individuazione dei soggetti responsabili.

Le principali novità introdotte dal GDPR

TUTELA IMMEDIATA DEI CITTADINI EUROPEI

Il GDPR si applica a tutti coloro che trattano dati di cittadini europei, anche alle grandi aziende che non hanno sede in Europa ma che ne trattano comunque i dati. L’obbligo di adeguamento scatta subito, senza bisogno di recepimento del regolamento nei singoli paesi europei.

INFORMATIVA “FRIENDLY”

L’informativa che precede la raccolta del consenso deve essere chiara e comprensibile con testi meno tecnici e più diretti, da adattare anche alla capacità di comprensione dei nostri utenti (come nel caso di minori, anziani,  persone con disabilità visiva). L’informativa può essere somministrata tramite diversi media: web, forma cartacea, sms, ecc…

CONSAPEVOLEZZA DELLA CESSIONE DEL DATO

La richiesta di consenso all’utilizzo dei dati dell’interessato deve essere fatta in forma chiara, semplice, comprensibile, per una consapevole cessione del dato. Non è valida una sottoscrizione generica, il consenso deve essere inequivocabile, riferito ai singoli trattamenti e può palesarsi in modo diverso dalla forma scritta.

DATA PROTECTION OFFICER (DPO)

Il GDPR istituisce la nuovo figura del “Responsabile della Protezione dei Dati” che non deve essere confusa con il “titolare del trattamento” o con il “responsabile del trattamento”.

DATA BREACH NOTIFICATION

Il titolare del trattamento dei dati deve entro 72 ore avvertire il garante in caso di violazione dei dati e appena possibile anche le persone proprietarie dei dati interessati.  

DIRITTO ALL’OBLIO E ALLA PORTABILITA’

I proprietari dei dati personali possono chiedere di eliminare qualsiasi traccia dei dati raccolti in precedenza. Inoltre i dati possono essere trasferiti da una piattaforma all’altra, senza obbligo di vincolo ad un account.

Abbiamo intervistato l’avvocato Simone Vaccari, consulente legale del Gruppo PRISMI S.p.A., chiedendo il suo parere d’esperto circa le questioni più spinose aperte dalla nuova normativa in particolare per quanto riguarda le responsabilità aziendali e il quadro sanzionatorio che si sta delineando.

 

Il  regolamento all’art. 37 istituisce la figura del Data Protection Officer (DPO). Quando l’azienda è tenuta a nominare il DPO, quali sono le sue competenze e le sue responsabilità?

Vaccari: Il GDPR introduce (artt. 37-39) una figura completamente nuova, quella del responsabile della protezione dei dati (DPO o RPD nella versione, rispettivamente, inglese o italiana).

Per i soggetti privati, il DPO deve essere designato sistematicamente quando:

  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

oppure

  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (già conosciuti come dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

In proposito, il Gruppo di Lavoro Art. 29 per la protezione dei dati (che diverrà Comitato europeo per la protezione dei dati) ha chiarito che il monitoraggio del comportamento degli interessati ricomprende senz’altro tutte le forme di tracciamento e profilazione su internet, anche per finalità di pubblicità comportamentale.
Anche ove non sia strettamente necessario nominarlo, può comunque risultare utile procedere alla designazione di un DPO su base volontaria (il Legislatore europeo ed il Gruppo di Lavoro Art. 29 incoraggiano approcci di questo genere).

Il Gruppo di Lavoro Art. 29, in particolare, nelle Linee guida emanate sul DPO, ha sostenuto che questa figura rappresenta un elemento fondante ai fini della responsabilizzazione, e che la nomina del DPO può facilitare l’osservanza della normativa ed aumentare il margine competitivo delle imprese.

In sintesi, i compiti principali del DPO sono:

  1. sorvegliare l’applicazione del GDPR;
  2. fungere da punto di contatto diretto con il Garante e gli interessati;
  3. partecipare su base regolare alle riunioni del management di alto e medio livello;
  4. partecipare a riunioni/confronti ogni volta che debbano essere assunte decisioni che impattano sulla protezione dei dati, anche al fine di realizzare i principi di privacy by design e di privacy by default, di cui al GDPR;
  5. rilasciare pareri;
  6. partecipare alle fasi di gestione di eventuali violazioni di dati (data breach);
  7. partecipare alle eventuali valutazioni d’impatto;
  8. redigere una relazione annuale.

Il GDPR obbliga, d’altro canto, il titolare del trattamento o il responsabile del trattamento a:

  • garantire supporto attivo delle funzioni del DPO da parte del senior management (per esempio, a livello del consiglio di amministrazione);
  • assicurarsi che il DPO dedichi tempo sufficiente per l’espletamento dei compiti affidatigli;
  • fornire al DPO supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale;
  • comunicare ufficialmente la nomina del DPO a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’azienda;
  • garantire al DPO l’accesso ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, ecc.) così da fornire al medesimo supporto, informazioni ed input essenziali;
  • garantire al DPO formazione permanente;
  • alla luce delle dimensioni e della struttura della singola azienda, eventualmente costituire un ufficio o un gruppo di lavoro DPO (formato dal DPO stesso e dal rispettivo personale).

Il DPO è designato in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, oltre che della capacità di assolvere i suoi compiti (non sono richiesti titoli particolari o certificazioni, contrariamente a quanto qualcuno lascia intendere).

Il DPO può essere un dipendente del titolare del trattamento o del responsabile del trattamento, oppure assolvere i suoi compiti in base ad un contratto di servizi, sempre e comunque in maniera autonoma, indipendente ed in assenza di conflitti di interessi.

Sul fronte delle responsabilità, il DPO non risponde personalmente del trattamento illecito; di quest’ultimo risponde sempre e comunque il titolare del trattamento o il responsabile del trattamento (i quali, tutt’al più, potrebbero rivalersi sul DPO per violazione degli impegni da questo assunti, sul piano contrattuale).

Quali sono invece le competenze e le responsabilità che rimangono in capo al titolare del trattamento e al responsabile del trattamento dei dati?

Vaccari: Come anticipavo sopra, del trattamento illecito, anche in ipotesi di designazione del DPO, risponde sempre il titolare del trattamento o il responsabile del trattamento.

Questo passaggio è essenziale, ed è una applicazione concreta del principio di “accountability”: la nomina, anche facoltativa, del DPO, l’adesione a codici di condotta o a un meccanismo di certificazione, nonché l’adozione di sigilli e marchi di protezione dei dati, rappresentano senz’altro altrettante buone prassi incoraggiate dal Legislatore europeo, che possono essere utilizzate per dimostrare il rispetto degli obblighi che incombono sul titolare del trattamento, ma non sono mai, di per sé, idonee ad esonerare il titolare stesso da responsabilità per il trattamento illecito che dovesse essere accertato.

Naturalmente, la responsabilità del responsabile del trattamento è, in linea di principio, più limitata di quella del titolare, nel senso che il responsabile risponde in caso di violazione di disposizioni specificatamente dettate dal GDPR per i responsabili o di pattuizioni contrattuali che lo legano al titolare del trattamento. Da notare, poi, che, per assicurare pieno ed effettivo risarcimento all’interessato danneggiato, titolare e responsabili coinvolti nel trattamento illecito rispondono solidalmente, e che se un responsabile del trattamento viola il GDPR, determinando le finalità ed i mezzi del trattamento, è considerato un titolare del trattamento in questione.

 

Il GDPR introduce il principio di “accountability” un termine difficilmente traducibile nel nostro ordinamento che attribuisce responsabilità per tutti i soggetti che collaborano nella gestione dei dati personali in azienda. Può spiegarci meglio questo concetto e come concretamente si applica?

Vaccari: Il GDPR è interamente permeato dal principio di accountability, che potremmo tradurre con “responsabilizzazione”, che rischia di spiazzare il titolare del trattamento, il quale si trova di fronte ad una pletora di concetti astratti ed obiettivi cui tendere, senza che gli siano al contempo fornite chiare indicazioni operative sul “come fare”.

A chiunque abbia avuto occasione di leggere qualche commento sul GDPR sarà subito apparso chiaro un dato: il Legislatore comunitario pone decisamente l’accento sulla sostanza, sulla effettività della protezione delle persone con riguardo al trattamento dei dati, piuttosto che sulla forma (che pure resta imprescindibile, posto che il titolare del trattamento deve poter dimostrare in caso di verifica, a posteriori, la correttezza del modus operandi adottato).

L’aspetto dinamico del fenomeno della protezione dei dati prevale senz’altro su quello statico: sono le procedure adottate che connotano, in termini di adeguatezza, la condotta del titolare del trattamento, più che le singole carte in cui dette procedure si estrinsecano.

Ciò che occorre implementare è un vero e proprio sistema di privacy management, una politica di gestione della privacy responsabile, consapevole, adeguata e documentabile. Concetto piuttosto chiaro a tutti ormai, si diceva; ma definire in che cosa ciò si sostanzi in concreto è tutt’altra storia…

 

Gli articoli 33 e 34 del GDPR introducono l’obbligo di “Data Breach Notification” una notifica tempestiva all’autorità di controllo in caso di violazione dei dati: come si effettua questa notifica e come l’azienda si deve comportare nei confronti degli interessati, ovvero i proprietari dei dati “violati”?

Vaccari: In estrema sintesi

  1. in caso di violazione di dati personali, ove essa determini probabilmente un rischio per i diritti e le libertà delle persone fisiche, occorre provvedere alla notifica della violazione all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dall’acquisita conoscenza della violazione stessa;
  2. la notifica di cui al punto 1 che precede non è necessaria qualora sia, dunque, improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche;
  3. in caso di violazione di dati personali, qualora essa sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, occorre provvedere alla relativa comunicazione (anche) agli interessati senza ingiustificato ritardo.

Le procedure per la gestione della violazione dei dati rappresentano un altro passaggio chiave del GDPR.

Direi che può senz’altro concludersi che un episodio di violazione non si traduce sempre e comunque in responsabilità per il titolare del trattamento, purché siano stati implementati sistemi di sicurezza adeguati; lo stesso non può dirsi, però, per l’ipotesi di mancato rispetto delle procedure di notificazione/comunicazione imposte al titolare in caso di accertata violazione dei dati che, ove disattese, determinerebbero inevitabilmente conseguenze per il titolare inadempiente.

E per finire, il regime sanzionatorio…si parla di sanzioni molto elevate in caso di mancato adeguamento, può delineare brevemente il nuovo quadro sanzionatorio? Sarà secondo lei immediatamente operativo o c’è da aspettarsi una eventuale proroga?

Vaccari: Il quadro sanzionatorio amministrativo è delineato all’art. 83 del GDPR; le sanzioni pecuniarie possono arrivare, per le violazioni più gravi, fino ad € 20.000.000,00 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Cifre da capogiro, indubbiamente, che suggeriscono di non prendere il processo di adeguamento ai principi ed alle prescrizioni del GDPR sottogamba; si tratta, comunque, di un impianto che deve necessariamente essere ulteriormente declinato a livello nazionale, in maniera da assicurare comunque che le sanzioni pecuniarie irrogate siano effettive, proporzionate e dissuasive.

Alle citate sanzioni pecuniarie si aggiungeranno, con ogni probabilità, quelle penali, che figurano nello schema di Decreto Legislativo da ultimo circolato, che dovrebbe essere definitivamente approvato, in teoria, entro il 21 maggio prossimo, termine entro il quale il Governo dovrebbe esercitare la delega, e che rappresenta lo strumento di coordinamento (non recepimento, si badi bene) tra normativa interna e GDPR; un motivo in più per non trascurare il passaggio al nuovo standard normativo.

Se le indiscrezioni verranno confermate, si prospetta, a regime, una privacy a tre vie: GDPR, attuale Codice privacy rivisitato e corretto e normativa interna di armonizzazione (il citato Decreto Legislativo); con buona pace della semplificazione…

Proroghe, in senso tecnico, dei tempi di applicazione, all’orizzonte non se ne vedono e non appaiono probabili, anche in ragione del fatto che il GDPR è del 2016 e che i 2 anni di moratoria nella sua applicazione avevano proprio lo scopo di consentire alle imprese di assimilarne le novità; è pur vero che, quanto meno in Italia, le troppe incertezze normative mettono seriamente a rischio la compliance.

Confindustria, Abi, Ania, Assonime e Confcommercio hanno indirizzato due lettere, all’Autorità Garante ed al Governo, con l’obiettivo di ottenere, a beneficio delle imprese, maggiori certezze applicative e, auspicabilmente, la formalizzazione dell’annunciato impegno dell’Autorità Garante ad un approccio “equilibrato e pragmatico”.

Non resta che attendere gli sviluppi ma, se posso permettermi un consiglio, non con le mani in mano; la strada è segnata ed il processo è irreversibile.

Per usare le parole del Segretario generale dell’Autorità Garante: “Le imprese devono rendersi conto dell’importanza dei dati personali, capire il loro valore economico e dunque mettersi nella prospettiva di tutelarli. Devono dimostrare ai propri clienti di avere a cuore la trasparenza e la sicurezza nella gestione delle informazioni che ricevono”.