GDPR: evoluzione ma non rivoluzione della privacy

 
Esperto in informatica giuridica e giudiziaria Maat Srl
 

Il 25 maggio 2018 sarà pienamente applicabile in tutti i paesi dell’Unione Europea il regolamento n. 2016/679, approvato il 16 aprile 2016. Noto con la sigla GDPR (General Data Protection Regulation), il Regolamento UE ha abrogato la precedente direttiva 95/46/CE in materia di privacy. Il GDPR sarà immediatamente applicabile ed entrerà in vigore come norma primaria, senza necessità di alcun recepimento specifico ed andando a sostituire la normativa attualmente vigente nei diversi paesi membri. E’ ancora incerto cosa succederà nell’ordinamento italiano con il Codice in materia di protezione dei dati personali della privacy (D.lgs 30 giugno 2003, n. 196). Le prime bozze circolate riguardo al D.lgs attuativo del GDPR stabilivano, infatti, l’abrogazione integrale del Codice sulla privacy. L’ultima versione nota, del 10 maggio 2018, che al momento risulta in esame alle Camere, prevede invece l’adeguamento del Codice della privacy, armonizzandolo con il GDPR, grazie ad un intervento di taglia e cuci volto ad eliminare le eventuali incompatibilità con le nuove norme europee, in modo analogo a quanto già fatto con il Codice dell’Amministrazione Digitale rispetto al regolamento europeo eIDAS.

 

Il GDPR non stravolge ma rafforza le norme poste a tutela dei dati personali delle persone fisiche. Lo scopo dichiarato, oltre che uniformare la normativa nei singoli stati, è adeguare le norme sulla privacy alle evoluzioni tecnologiche degli ultimi anni, in primis la diffusione dei social network e degli smartphone. L’obiettivo è limitare l’utilizzo dei dati personali o quanto meno rendere il più possibile trasparenti le condizioni d’uso e sanzionare, nonché sanzionare in modo pesante l’abuso dei dati stessi, come spesso è stato fatto finora senza troppi scrupoli da parte delle big company di internet (Amazon, Google, Facebook, etc). Il noto caso “Cambridge Analytica” fa scuola al riguardo.

Maggiori tutele arrivano dalla nascita di due nuovi diritti, quello alla portabilità dei propri dati e quello all’oblio. La portabilità (art. 20 regolamento) consentirà all’interessato di ricevere i propri dati, conferiti in precedenza al titolare del trattamento, in formato strutturato, di uso comune e leggibile da dispositivo automatico. L’obiettivo è favorire la concorrenza e permettere, ad esempio, un’agevole migrazione da un servizio ad un altro (es. servizi di cloud computing, social networks).

Il diritto all’oblio (art. 17 regolamento), concetto ben più ampio di quello di cancellazione dei dati, già contemplato dal D.lgs 196/2003 prevede invece la possibilità di ottenere “senza ingiustificato ritardo” la cancellazione dei propri dati. Il titolare del trattamento, in caso i dati siano stati resi pubblici, non si limiterà alla cancellazione dei dati in suo possesso, ma, adottando misure ragionevoli, anche tecniche, dovrà anche informare i soggetti terzi della richiesta del dell’interessato di cancellare i dati, tenuto conto della tecnologia disponibile e dei costi di attuazione.

Il rafforzamento previsto dal GDPR pone l’accento sulla c.d. accountability ovvero sulla “responsabilizzazione” di titolari e responsabili del trattamento, che devono adottare comportamenti proattivi dimostrando la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano gli artt. 23-25, in particolare, e l’intero Capo IV del regolamento).

Va in quest’ottica il registro dei trattamenti, il cui obbligo di tenuta riguarda titolari del trattamento con più di 250 dipendenti e chi tratta, non occasionalmente, dati sensibili, genetici, biometrici, giudiziari, etc. Pur non essendo obbligatorio, tuttavia la sua redazione è altamente consigliata anche per le realtà più piccole, al fine di poter più agevolmente dimostrare, in caso di verifiche o contestazione, il rispetto degli adempimenti previsti dal regolamento. Il registro del trattamento è, essenzialmente, una versione rivista ed aggiornata del vecchio Documento Programmatico per la Sicurezza (DPS), originariamente già previsto dal D.lgs. 196/2003.

Vengono poi introdotti dal GDPR il concetto di privacy by design, la valutazione di impatto o DPIA (ossia la valutazione sui rischi che il trattamento potrebbe comportare sulle libertà ed i diritti degli interessati), nonché la nuova figura di DPO o RPD (Responsabile Protezione Dati).

Privacy by designe privacy by default (art. 25 regolamento) significa essenzialmente affrontare un nuovo progetto, di qualunque tipo si tratti, avendo in mente fin dall’inizio i requisiti richiesti in materia di privacy e sicurezza e che, di default, siano impostate in maniera predefinita le opzioni atte alla maggior tutela prevista per il dato.

In caso di rischio elevato per i diritti e libertà delle persone, derivanti da trattamenti dati di tipo sistematico e con un gran numero di soggetti interessati, è anche prevista una valutazione preliminare di impatto sulla protezione dei dati, il DPIA, in relazione alla quale – data la complessità del tema, che meriterebbe una trattazione specifica dettagliata – si rimanda alle linee guida predisposte dal gruppo di lavoro articolo 29 (WP248).

La figura del DPO (Data Privacy Officer) o responsabile della protezione dei dati, che può essere un dipendente o anche un soggetto esterno, è centrale nella visione del GDPR. Si tratta infatti di una figura apicale, la cui nomina è obbligatoria negli enti pubblici e nei soggetti che effettuano trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala. Il DPO, pur non sostituendo il responsabile ed il titolare del trattamento, ha un ruolo chiave e precisi compiti ai fini della tutela e protezione dei dati personali. In particolare, il DPO dovrà fornire adeguato supporto a livello consulenziale a titolare, responsabile ed incaricati del trattamento, sorvegliare l’adozione del regolamento e delle politiche di sicurezza, nonché cooperare con le autorità di controllo, agendo da punto di riferimento e di contatto unico.

I principi fondamentali in materia di protezione dei dati enunciati dal GDPR, sono essenzialmente sintetizzabili nei seguenti punti:

•        la liceità del trattamento, che deve essere conforme alla legge, perseguire uno scopo legittimo od essere “necessario” per perseguire uno scopo legittimo;

•        il consenso al trattamento, che deve sempre essere libero, specifico, informato, inequivocabile e per i dati sensibili necessariamente esplicito, 

•        la finalità del trattamento dei dati che deve essere esplicita e manifestamente definita prima che il trattamento abbia inizio;

•        la qualità dei dati che devono essere pertinenti, esatti e conservati non oltre il tempo necessario in relazione alle finalità per le quali vengono raccolti e trattati;

•        la correttezza del trattamento da cui derivano gli obblighi di informativa;

•        la responsabilità ovvero l’adozione attiva di misure, organizzative e di sicurezza, da parte dei titolari del trattamento, finalizzate alla salvaguardia ed alla protezione dei dati oggetto di trattamento.

 

Gli adempimenti in sintesi

1)       Procedere ad una prima valutazione autonoma del rischio e, se ritenuto opportuno, farsi coadiuvare da un esperto per un assessment e l’eventuale valutazione di impatto;

2)       Programmare e documentare l’adozione di tutte le misure tecniche e organizzative adeguate al rischio (registro dei trattamenti, soluzioni IT, procedure, formazione, revisione delle informative, etc…);

3)       Seguire ed applicare le linee guida del Garante della Privacy italiano in materia di DPIA e di nomina del RPD/DPO (WP art. 29), ove necessario;

4)       Non sottovalutare la formazione e l’aggiornamento, monitorando le novità normative o regolamentari.

 

Link utili

Regolamento UE 2016 679 con riferimenti ai considerando

La sezione dedicata al GDPR sul sito della Garante per la protezione dei dati personali

Il Vademecum per gli Avvocati “Come gestire la privacy” dell’Ordine Avvocati di Milano

 

FAQ
 

Quando entrerà in vigore?

Il GDPR è entrato in vigore in 24 maggio del 2016 e diventerà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.

 

A chi si applica il GDPR?

A tutte le organizzazioni, aziende o liberi professionisti, che raccolgono, memorizzano e/o elaborano informazioni personali e che offrono beni o servizi a cittadini UE residenti nell’UE o che monitorano il comportamento di cittadini UE residenti nell’UE.

 

Cosa si intende per dato personale?

Ogni informazione che può essere utilizzata per identificare una persona in modo diretto o indiretto è considerata un dato personale. Qualche esempio: un nome, un indirizzo e-mail, un codice fiscale, il numero di un documento di identità, un post su un forum, l’indirizzo IP associato a un account o un dispositivo specifico di un utente.

 

Quali sanzioni sono previste in caso di inadempimento?

Le sanzioni per le aziende possono arrivare fino al 4% del fatturato mondiale o 20 milioni di euro.