Data Protection, cosa cambia con il Regolamento Europeo

how-comply-gdprFonte: PuntoInformatico

Di Avv. V. Frediani

La direttiva del 1995 non è più sufficiente a garantire diritti e stabilire doveri, in un presente in cui i dati personali sono sempre più preziosi ed ambiti

Via alle nuove regole sulla protezione dei dati: con il voto  del Parlamento Europeo dello scorso giovedì si inaugura una nuova era per la privacy, tagliando un ambizioso traguardo dopo quattro anni di lavoro tra gli Stati membri e tracciando un importante punto di partenza per un nuovo concetto di governance dei dati, dove la trasparenza e la tutela delle informazioni rappresentano i perni centrali.
Una manovra economica, oltre che una svolta legislativa, tesa a porre fine all’obsoleto mosaico di norme nazionali, incapaci di creare un comune fronte d’azione e un quadro di riferimento omogeneo.

Del resto era chiaro come il trattamento dei dati fosse diventato un tema troppo caldo per essere gestito dall’attuale Direttiva privacy, datata 1995, quando Internet era solo agli esordi. Le continue pressioni dei colossi industriali per ottenere informazioni sui consumatori e le esigenze di sicurezza di raccogliere quanti più dati possibili su eventuali sospetti di reati transnazionali o di terrorismo, scandite da accesi dibattiti e feroci battaglie politiche tra industria e Autorità Garanti, hanno reso più che mai necessario nel tempo un regolamento generale a misura di Società “digitale”, dove tutto viaggia su smartphone, social media e trasferimenti di dati da un capo del mondo all’altro.

Ma cosa comprende nello specifico il pacchetto di protezione dati?

  • Diritto all’oblio,
  • condizioni per un “consenso chiaro” per il trattamento dei dati privati dell’interessato,
  • diritto di trasmettere i propri dati a un altro titolare del trattamento oltre che
  • trasparenza in materia di data breach ovvero il diritto di essere informati di eventuali violazioni dei propri dati personali.

Un tema di particolare interesse, quest’ultimo, che dovrà costituire argomento di adeguata analisi da parte delle aziende, le quali dovranno essere in grado di monitorare gli eventi relativi alla violazione dei dati e notificare all’Autorità competente, entro 72 ore decorrenti dalla conoscibilità dell’evento, i dettagli del medesimo. Con il possibile obbligo a notificare anche agli interessati eventuali violazioni subite.

Si tratta di un aspetto sintomatico del principio di trasparenza nel trattamento dei dati che questo Regolamento evidenzia in vari punti. Molti diritti, quindi, per gli interessati, che per le aziende si traducono in obblighi ed evidentemente in costi. Ma non solo.

Con riferimento alle figure del titolare e responsabile, viene specificato che “tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il controller/processor del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento dei dati è conforme al regolamento. Tali misure sono riesaminate ed aggiornate qualora necessario. Esse includono politiche adeguate in materia di protezione dei dati”. Quindi ampia discrezionalità circa la tipologia, ma, al tempo stesso, con l’onere di dimostrare il processo logico che ha portato ad adottarle, con tanto di politiche annesse.

Saranno obbligatori i cosiddetti privacy impact assessment (PIA) ovverosia una procedura interna che sintetizza in un documento i rischi sussistenti e le modalità per contenerli, sia dal punto di vista tecnico che di acquisizione dei dati in caso di conservazione o cancellazione. Sarà importante non solo la creazione del primo PIA, ma anche le successive modifiche che il trattamento potrà subire e che coinvolgeranno anche l’aspetto documentale.

Sul fronte della sicurezza occorre citare diversi concetti ricorrenti nel testo del Regolamento:

  • la puntualizzazione di cosa si intenda per pseudonimizzazione,
  • nonché cosa si intenda per minimizzazione (tecniche da applicarsi ai dati) piuttosto che
  • il rimarcato concetto di data retention, ancora non abbastanza conosciuto dalle aziende italiane, ovvero l’obbligo di dotarsi di un piano di conservazione temporale dei dati con la possibilità di pianificare la cancellazione per trattamenti o database.

Sul fronte dei rapporti cliente-fornitore cambiano vari aspetti.

Innanzitutto si evidenzia nel Regolamento la necessità che in caso di sviluppo prodotto o servizi, siano ben chiare le responsabilità relative alla gestione dei dati piuttosto che alle soluzioni di privacy by design e by default.
Come ci indica il legislatore europeo, tenendo conto “della tecnologia disponibile, dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche costituite dal trattamento, i Controllers del trattamento, sin dal momento della progettazione degli strumenti che trattano dati personali, nonché durante il trattamento stesso, mettono in atto misure organizzative e tecniche appropriate, come la pseudonimizzazione dei dati, che mirano ad attuare i principi di protezione dei dati, come la minimizzazione, in modo che il trattamento soddisfi i requisiti del regolamento e tuteli i diritti degli interessati”.

Secondariamente il ruolo del Fornitore dovrà essere proattivo in caso di implementazioni che impattino lato privacy piuttosto che partecipativo in caso di PIA. Il tutto ovviamente dovrà essere gestito attraverso una contrattualistica preventiva, a livello almeno di data processing agreement.

Ricordiamo infine il concetto di accountability richiamato dal legislatore rispetto all’attuazione del Regolamento nelle aziende: sarà onere del controller dimostrare di aver correttamente rispettato quanto sancito dal Regolamento anche attraverso un vero e proprio modello organizzativo integrato rispetto ai vari processi aziendali affinché la privacy divenga materia propedeutica alle attività.

L’allineamento delle imprese rispetto al nuovo assetto che, ricordiamo, entrerà in vigore dopo la pubblicazione sulla Gazzetta Ufficiale dell’UE e prevede due anni per l’adeguamento prima che le disposizioni siano applicabili in tutti gli Stati Membri, comporterà necessariamente una metamorfosi nel modus operandi, o perlomeno nella mentalità degli addetti ai lavori rispetto alla governance delle informazioni.

La svolta legislativa non deve di fatto rappresentare solo una disposizione alla quale conformarsi, ma deve essere colta come un’opportunità, una occasione di ripensamento dei processi interni nell’ottica di una razionalizzazione dei flussi informativi dell’azienda: interni, rispetto ai dipendenti, ed esterni rispetto ai fornitori.

Una presa di coscienza fondamentale, soprattutto a fronte degli aspetti sanzionatori previsti in caso di violazione delle disposizioni:

  • fino a 20 milioni di euro o, per le imprese,
  • fino al 4 per cento del fatturato mondiale totale annuo.
Annunci

La Nuova Privacy Europea

Portabilità del dato, obbligo per le Aziende di nominare un “Data Protection Officer” e di redigere un “Privacy Impact Assessment”, queste alcune tra le più rilevanti novità della privacy prossima (e dietro l’angolo) che maggiormente andranno ad impattare sui Modelli privacy  adottati in Azienda. 

Ma diamo un’occhiata più da vicino.

Il 25 gennaio 2012 la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati. Si tratta di un Regolamento, che andrà a sostituire la vecchia direttiva 95/46/CE, e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).

Sul sito della Direzione Generale “Giustizia”  sono raccolte tutte le informazioni e la documentazione pertinenti: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm.

Va ricordato che i Regolamenti UE sono immediatamente esecutivi, non necessitando di recepimento da parte degli Stati membri, a differenza delle direttive. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE. 

 

Il Regolamento

Queste, in sintesi, alcune tra le maggiori novità della proposta di Regolamento:

  • restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);
  • viene introdotto l’obbligo di nominare un “data protection officer” (incaricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti, mentre scompare l’obbligo per i titolari di notificare i trattamenti di dati personali;
  • viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
  • si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all’oblio”, ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);
  • viene introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy) oltre al principio generale detto “privacy by design” (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);
  • si stabilisce l’obbligo per tutti i titolari di notificare all’autorità competente le violazioni dei dati personali (“personal data breaches”);
  • si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

 

La Direttiva

Per quanto riguarda la proposta di Direttiva, essa sostituirà, una volta adottata, la Decisione-Quadro (la 2008/977/GAI) attualmente in vigore che disciplina i trattamenti di dati da parte delle autorità giudiziarie e di polizia.

Va sottolineato che le disposizioni della Direttiva si applicheranno, in via generale, a tutti i trattamenti di dati personali svolti in uno Stato Membro per tali finalità “istituzionali”, mentre la Decisione-Quadro disciplina esclusivamente lo scambio di dati fra autorità competenti degli Stati Membri ed il trattamento successivo dei dati scambiati in tale contesto.

La Direttiva riprende l’impostazione del Regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento ecc.. Essa  contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa i criteri di legittimità dei trattamenti in oggetto nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Come già ricordato, le sue disposizioni dovranno essere recepite attraverso apposite norme nazionali.

L’iter per l’approvazione definitiva dei due strumenti normativi proposti comporterà l’intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di “codecisione” (ora definita dal Trattato di Lisbona “procedura legislativa”).