Mancano meno di sette mesi all’entrata in vigore del nuovo Regolamento (UE) 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, di seguito anche indicato come GDPR.
Anche l’Italia, seppur con un certo ritardo rispetto agli altri Paesi UE, ha in questi giorni approvato la legge comunitaria che contiene la delega al Governo per abrogare ufficialmente quanto previsto dall’attuale Codice Privacy in contrasto con il GDPR.
In realtà, proprio per lo strumento legislativo utilizzato dall’Unione, il regolamento, comporta una diretta applicazione del nuovo assetto normativo, tuttavia è difficile pensare che vent’anni di normativa privacy possa essere cancellata in pochi mesi. Peraltro, lo stesso regolamento stabilisce che sono destinate a rimanere in vigore tutte le norme non espressamente in contraddizione con il GDPR, quindi un’opera di riordino è un passaggio obbligato.
Ma cosa cambia realmente con il nuovo Regolamento? Cosa devono fare i titolari del trattamento per adeguarsi alle nuove norme?
Ecco i dieci elementi fondamentali del GDPR e qualche piccolo consiglio.
- LA NUOVA FILOSOFIA.
La protezione dei dati passa da un approccio formale di adempimenti a un metodo più sostanziale. Le responsabilità dei titolari dei trattamenti rispetto al trattamento dati cambiano a seconda del livello di rischio che grava sui trattamenti stessi.
Questo non solleva alcun settore produttivo dal rispettare la norma nel suo complesso, qualunque sia il core business, ma ha lo scopo di non appesantire le imprese, a basso rischio privacy, con oneri troppo gravosi ed immotivati. Al contrario produce l’effetto di richiedere alle aziende ad alto rischio sulla protezione dei dati di applicare idonee ad assicurare che il trattamento sia sicuro.
- MAPPATURA DEI TRATTAMENTI DI DATI.
Per individuare il proprio livello di rischio occorre cominciare analizzando i trattamenti dati, cominciando dalla tipologia: dati personali, dati particolari, dati sullo stato di salute, dati genetici, dati biometrici o dati giudiziari.
Per ciascun trattamento dati individuare la base giuridica, ovvero il fondamento in base al quale il titolare sta trattando il dato, precisando che per ciascun trattamento occorrerà predisporre un’Informativa privacy, che resta “conditio sine qua non” di qualunque trattamento dati.
Il Regolamento prevede i seguenti motivi legittimi per trattare i dati.
- Consenso: una manifestazione di volontà recettizia con la quale l’interessato autorizza il trattamento di dati.
- Contratto: il trattamento di dati necessario per l’esecuzione di un contratto è lecito;.
- Obbligo di legge: qualunque trattamento di dati richiesto da una legge o da un regolamento.
- Salvaguardia di interessi vitali: quando il trattamento di dati è necessario per salvaguardare gli interessi vitali dell’interessato o di terzi.
- Pubblico Interesse: i dati possono essere trattati sulla base del fatto che tale trattamento sia necessario per lo svolgimento dei compiti svolti da un ente pubblico o un’organizzazione che agisce privato nel pubblico interesse.
- Interesse legittimo: I dati personali possono essere trattati sulla base del fatto che il titolare ha un legittimo interesse a trattamento di tali dati, a condizione che tale legittimo interesse non prevalga sui diritti o le libertà degli interessati affetti. Stabilire quando un interesse è legittimo o meno è il punto critico di questa casistica. Alcune osservazioni generali, precisando che il titolare dovrà fare una valutazione o un test per stabilire caso per caso se si è o meno in presenza di un legittimo interesse.
Per essere legittimo in interesse deve essere lecito, ossia conforme al diritto applicabile; articolato in maniera sufficientemente chiara da consentire di eseguire un test comparativo tra gli interessi del titolare e i diritti fondamentali dell’interessato e rappresentare un interesse concreto ed effettivo, ovvero non teorico.
- MAPPATURA DEI RUOLI.
Individuati i tipi di dati è necessario individuare i soggetti che trattano i dati e sottoscrivere i contratti che regola il trattamento di dati. Il regolamento insiste molto sulla necessità di definire con contratto o atto giuridico le nomine a responsabile esterno (esempio nel caso di una fornitura di un Software as a Service – SAAS) e i rapporti di contitolarità.
- POLICY, BUONE PRASSI e MISURE TECNICHE E ORGANIZZATIVE.
Il principio dell’accountability, elemento cardine nel Regolamento, stabilisce che spetta al Titolare dimostrare l’aderenza dell’azienda alle disposizioni. Documentazione e buone pratiche sono fondamentali, ma vanno attentamente studiate e realizzate ‘su misura’ per ogni organizzazione per evitare di cadere in un formalismo non richiesto dal contesto un cui si opera.
- IL REGISTRO DEI TRATTAMENTI
Contenuto all’articolo 30 del GDPR il registro è uno degli adempimenti più importanti del nuovo assetto normativo.
Lo scopo del documento è quello di descrivere i trattamenti realizzati dal titolare e le misure di sicurezza adottate, così rispondendo alle semplici domande: quali dati tratta il titolare, chi li tratta e come. Il documento che ne esce consente di avere un utile strumento di controllo, ma anche verifica in caso di ispezioni del Garante.
L’obbligo di redazione e adozione del registro non è, tuttavia, generale. Sono esentati i titolari con meno di 250 dipendenti salvo che non effettuino trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato, non occasionale, non includa categorie particolari di dati o dati relativi a condanne penali e a reati. Il Garante italiano ha già vivamente consigliato di predisporre detto registro, anche qualora si rientri nell’esenzione.
Si concorda, comunque, con tale interpretazione, la funzionalità del registro e i benefici superano di gran lunga gli eventuali tempi di redazione e mantenimento per le aziende.
- PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Titolari e Responsabili dovranno porre in atto misure tecniche organizzative adeguate per garantire ed essere in grado di dimostrare sin dall’origine che il trattamento dei dati è conforme al nuovo quadro normativo. Questo implica rinnovati equilibri contrattuali con i fornitori che dovranno assicurare misure tecniche organizzative idonee a soddisfare il rispetto del Regolamento.
- STRUMENTI OPERATIVI.
Privacy Risk Assesment: essenziale per individuare e tracciare un perimetro dei rischi a cui è sottoposto un processo.
Privacy Impact Assessment: un documento, richiesto in alcuni casi specifici dal Regolamento, che dovrà contenere gli aspetti relativi all’impatto, dal punto di vista della sicurezza della gestione dei dati, che il trattamento posto in essere potrà avere sui medesimi.
- I NUOVI DIRITTI DEGLI INTERESSATI.
Il termine per la risposta all’interessato è 1 mese, estendibili fino a 3 mesi in casi di particolare complessità.
Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso.
La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell’esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e) ).
- DATA RETENTION.
Il titolare deve ora stabilire i termini di conservazione per ogni tipologia di trattamento, contemperando l’obbligo di conservazione previsto dalla legge per taluni documenti e taluni dati rispetto all’obbligo di cancellazione che il Regolamento renderà ancor più coercitivo. Il tempi di conservazione dei dati è diventato uno degli elementi da inserire nell’informativa.
- DATA PROTECTION OFFICER.
Una figura completamente nuova per l’ordimento italiano, il Data Protection Officer (DPO) è destinato a diventare una figura chiave dei sistemi di gestione del dato complessi. Chiunque può decide di nominare il DPO; ma l’obbligo di nominarlo riguarda:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Cosa deve fare il DPO:
a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Avv. Alessandra Delli Ponti
Data Protection Officer, certificata presso TUV Italia
www.avvocatodelliponti.it