Si tratta di una norma che sostituirà l’attuale codice privacy. Tutti i cittadini ne sono interessati. La nuova norma sta destando tanto interesse tra gli addetti ai lavori e altrettanta apprensione tra le imprese e le pubbliche amministrazioni, che dovranno adeguarsi a queste nuove regole.
A destare tanta preoccupazione sono le pesanti sanzioni che possono arrivare a 20 milioni di euro (o al 4% del fatturato mondiale annuo qualora i 20 MLN risultino inefficaci, quindi inferiori in valore al 4% del fatturato).
Tecnicamente il 25 Maggio con l’entrata in vigore del Regolamento Europeo viene abrogata la direttiva europea 95/46/CE, e non il DLgs 196/03 che ha recepito tale direttiva nel nostro ordinamento. Le sorti di quest’ultimo sono rimesse ad un nuovo decreto legislativo, i cui lavori sono in corso, che pare sia orientato alla sua totale abrogazione e che lo andrà a sostituire affiancando il GDPR (General Data Protection Regulation).
Ma andiamo per ordine
L’avvocato Enrico Pellegrini
Cerchiamo di capire innanzitutto perchè c’è stato bisogno di questo intervento normativo da parte dell’Unione Europea e quali sono le novità che verranno introdotte dal GDPR.
Il Regolamento Europeo n.679/2016, d’ora in poi GDPR, nasce dall’esigenza di adeguare il preesistente impianto normativo a tutela dei diritti e delle libertà fondamentali nonché della dignità delle persone fisiche, ad un contesto nel quale la quantità impressionante di informazioni personali trattate, le nuove tecnologie e l’abuso di tali informazioni da parte delle grandi multinazionali, ha portato il cittadino a perdere di fatto il controllo dei propri dati e ad essere continuamente monitorato, profilato e condizionato nella propria vita quotidiana e nelle proprie scelte, tanto da trasformarsi da consumatore a “prodotto”.
Il recente caso di Cambridge Analytica e di Facebook rappresenta solo l’ultima evidenza di questo preoccupante fenomeno, economico e sociale, di mercificazione di dati personali effettuato in via principale, ma non esclusiva, da parte dei BIG del Web.
Le tecnologie, sono diventate così pervasive, da essere entrate di prepotenza nella vita quotidiana di tutti noi. Applicazioni come i “Social network” e i sistemi di messaggistica riscuotono tanto successo e arrivano quasi a creare “dipendenza” perchè di fatto sfruttano una “debolezza umana”, manipolandoci.
Ma i risvolti della “disattenzione” che abbiamo nei confronti rispetto delle informazioni sulla nostra vita che cediamo quotidianamente e gratuitamente, attraverso foto, video, post, “like” e condivisioni, possono costarci caro, come nei casi di “furto di identità”, di quella identità digitale attraverso la quale si commettono frodi o altri reati, che poi ci vengono addebitati.
Questo è il difficile contesto in cui si colloca il GDPR, con l’obiettivo di fornire al cittadino strumenti per riprendere il controllo dei propri dati, e lo fa da un verso riconoscendogli nuovi diritti, come il “diritto all’oblio” e facilitandone l’esercizio, dall’altro imponendo alle aziende di rispettare nuovi obblighi per proteggere le informazioni riferite a persone fisiche, trattate nell’ambito delle proprie attività di business.
La scelta dello strumento normativo, il regolamento, è esso stesso uno strumento per facilitare al cittadino l’accesso ed il controllo sui propri dati, uniformando di fatto la normativa tra tutti gli stati membri, in quanto il regolamento è direttamente efficace e non richiede un recepimento da parte degli stati membri ed il conseguente rischio di “introdurre differenze” nella norma tra i diversi stati, come nel caso della “direttiva”. Questa è una facilitazione perchè il cittadino potrà rivolgersi alla sua Autorità Garante e non doversi preoccupare di affrontare istituzioni estere e norme differenti per esercitare i propri diritti.
Stesso beneficio lo ottengono le imprese operanti a livello internazionale, in quanto avranno un quadro normativo uniforme da dover rispettare.
Ma di fianco a questo principio direttamente connesso allo strumento normativo, il regolamento europeo adotta anche il principio del “targeting” che pone l’obbligo di rispetto delle norme del GDPR anche a imprese stabilite al di fuori dell’unione europea, per il trattamento di dati relativi a cittadini europei. Questo principio costringe anche le Big company del Web, stanziate principalmente oltre oceano, a dover rispettare il GDPR.
Entrando nel merito del GDPR, il vero cambiamento risiede nel fatto che impone, per come è strutturato, un radicale cambio di approccio alla gestione del dato da parte delle imprese e della pubblica amministrazione, e lo fa attraverso il principio di “Responsabilizzazione” (in inglese Accountability) e imponendo l’effettuazione di una “analisi del rischio” per la determinazione di ogni misura di sicurezza da porre a protezione del dato personale, e di ogni intervento organizzativo per evitare effetti sul trattamento che portino ad intaccare i diritti e le liberta fondamentali, nonché la dignità degli interessati.
La “responsabilizzazione” del titolare si traduce nella libertà di autodeterminare “il come” garantire un trattamento conforme al GDPR, nel pieno rispetto dei diritti degli interessati e dei principi del trattamento, tra i quali la sicurezza di quest’ultimo, ma con l’onere di “documentare” e produrre “evidenze” in merito alle sue scelte e all’assolvimento dei suoi compiti, promuovendo l’efficacia degli interventi.
Scompaiono le “misure minime” di sicurezza lasciando spazio esclusivamente a misure di sicurezza che devono rivelarsi “idonee” e preventive a garantire il corretto trattamento dei dati personali e la sua protezione.
L’approccio “preventivo” trova il suo apice nell’introduzione di un nuovo obbligo di conformità che impone la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” (Privacy by design e by default), con il chiaro intento di voler “risolvere il problema alla radice”, di costringere cioè a valutare in anticipo gli effetti che si potrebbero avere sul trattamento dei dati personali e quindi sulle persone fisiche, attraverso un nuovo servizio, un nuovo software, valutando in anticipo le eventuali situazioni di rischio che si potrebbero introdurre ed eliminarne le cause alla fonte.
L’ “Analisi del rischio”, richiamata oltre 70 volte nel GDPR, è un mantra. Il titolare del trattamento non deve mai abbassare la guardia, deve assicurare la correttezza del trattamento e la protezione dei dati, e deve controllare, monitorare e testare le stesse misure di sicurezza che ha autodeterminato per verificarne regolarmente l’efficacia (art. 32, par.1, lettera d) e documentare in appositi registri, tenuti anche in forma elettronica, al fine di dare evidenza di esercitare il controllo e di garantire efficacia, insomma di governare le informazioni che gestisce.
Il livello di responsabilizzazione è tale che il GDPR estende a tutti i titolari del trattamento anche l’obbligo di denunciare all’autorità di controllo (il Garante) eventuali “Data Breach” subiti (violazioni alla sicurezza dei dati) e di farlo entro 72 ore dal momento in cui ne viene a conoscenza.
Una sorta di “autodenuncia” del fallimento delle misure di sicurezza che avrebbero dovuto evitare che la violazione all’integrità o alla riservatezza o alla disponibilità dei dati si verificasse, e delle condizioni che hanno consentito che l’evento avverso si verificasse, il Titolare deve tenerne traccia in un apposito registro oltre che comunicarlo al garante.
Anche in questo l’analisi del rischio ha un ruolo importante, perchè se il rischio rispetto ai diritti e alle liberta fondamentali degli interessanti, derivante dalla violazione, dovesse risultare “alto”, la comunicazione della violazione non dovrà limitarsi all’autorità di controllo, ma deve essere estesa a tutti gli interessati, con una comunicazione “ad personam” e fornendo ogni informazione necessaria in merito alla violazione ed eventuali istruzioni sul “cosa” l’interessato potrebbe fare per evitare ulteriori danni.
In tutto questo, il Garante invita i titolari del trattamento (obbligandoli nel caso della PA e dei titolari privati che effettuano trattamento a rischio) a nominare un “Responsabile per la Protezione dei Dati” (RPD o DPO) al quale affidare il delicato compito supportare il titolare nelle sue scelte, nell’analisi del rischio e di sorvegliare l’intera organizzazione affinché adotti e rispetti le direttive che il titolare vorrà impartire nella propria organizzazione per garantire il rispetto del GDPR, e di facilitare l’esercizio dei diritti da parte degli interessati nonchè le stesse ispezioni del Garante, fungendo da punto di contatto. Questa figura, che non necessità di essere “certificato” ma che deve avere sufficiente esperienza e competenza in merito ai temi connessi alla protezione dei dati personali, dovrà essere nominata entro il 25 maggio ed il suo nominativo congiuntamente alle sue coordinate di contatto, dovrà essere comunicato al Garante.
Il GDPR consente di individuare la figura del DPO anche all’esterno dell’organizzazione, ma attenzione perché la mancata nomina del DPO, ove dovuta, sarà la prima evidenza di aver violato il GDPR.
Ricordatevi anche che le responsabilità restano in capo al Titolare del trattamento, e non si trasferiscono al DPO, quindi scegliete bene chi vi dovrà consigliare e vigilare sul corretto trattamento dei vostri dati, perché i vostri dati sono un bene prezioso.
Enrico Pellegrini
