Il 25 maggio 2018 è entrato in vigore in tutti gli Stati membri dell’Unione Europea il Regolamento UE 2016/679, noto anche come GDPR General Data  Protection Regulation. Si tratta della nuova normativa sulla privacy che nasce con un  unico grande obiettivo: la protezione dei dati personali delle persone fisiche (“interessati”) presenti in Europa, nel pieno rispetto della loro libertà e dignità.

Perché elaborare un nuovo Regolamento sulla privacy?

Qual è stata l’esigenza dell’Unione Europea? Cosa ha determinato la necessità di rivedere la precedente normativa in materia?

Sono diverse le ragioni che hanno portato il legislatore a studiare un nuovo modo per proteggere la privacy dei cittadini europei. In passato questo tema è stato regolamentato dalla direttiva 95/46/CE del Parlamento e del Consiglio d’Europa che è stata recepita dai vari Paesi dell’Unione Europea in maniera differente, adattandola cioè alle specifiche esigenze e dinamiche dello Stato stesso. Anche l’Italia ha fatto altrettanto attraverso il Codice in materia di Protezione dati personali (D. Lgs. 196/2003). Ciò ha comportato varie difficoltà nella gestione delle problematiche legate ai trattamenti di dati personali tra uno Stato e l’altro.

Cerchiamo di chiarire meglio. L’evoluzione tecnologica, l’esplosione del web come principale strumento di comunicazione, il ruolo prominente degli smartphone e dei social network, l’e-commerce: tutti questi cambiamenti hanno determinato l’aumento della circolazione dei dati sul web (dati personali come nome e cognome, sesso, età, numeri di carte di credito, password e pin, ecc…) tra Stati. Ma prima del 2018, se per esempio un utente italiano acquistava su un sito web tedesco,  e si ritrovava vittima di un illecito durante la transazione di acquisto, quale legislazione sulla privacy era necessario prendere in considerazione per tutelare la persona? Quella italiana o quella tedesca?

In virtù di tutte le considerazioni qui sopra argomentate, nasce nel maggio 2016 il Nuovo Regolamento Europeo sulla Privacy. Il 25 maggio 2018 il Regolamento entra invece nella sua piena applicazione. Gli Stati hanno avuto due anni di tempo per organizzarsi, far conoscere la nuova normativa alle imprese e far sì che questa venisse recepita e applicata correttamente. Il legislatore ha inoltre concesso un lieve marginedi adattamento alla specificità del paese: così è stato anche per l’Italia che ha armonizzato, tramite il D. Lgs. 101/2018, la precedente legge sulla Privacy 196/03 in cui con le nuove disposizioni europee.

La protezione dei dati personali: il principio di trasparenza

Quando la Commissione Europea ha individuato la necessità di elaborare una legge sulla Privacy più aggiornata rispetto alla precedente aveva un unico obiettivo in mente: proteggere i dati personali delle persone. Quando si parla di privacy è facile pensare per prima cosa alla riservatezza. In realtà il termine deve essere inteso in maniera più ampia. L’intento del Regolamento infatti è la protezione della persona, nonché il suo diritto alla libertà e alla dignità.

In particolare il principio portante del GDPR è che il trattamento dei dati delle persone venga fatto in maniera lecita o legittima, in virtù del principio di trasparenza. L’utente deve cioè sempre sapere se un’azienda pubblica o privata sta trattando i propri dati, come li sta trattando e per quale finalità. L’azienda pertanto deve avere un atteggiamento appunto di trasparenza verso la persona, informandolo circa le sue intenzioni e chiedendo un consenso esplicito per l’utilizzo dei suoi dati. Esistono ovviamente delle eccezioni. Nel caso di finalità condivise, come per esempio quelle contenute nella stipula di un contratto (di lavoro, di acquisto di beni o servizi etc.) è implicito che la persona che sta firmando acconsente al trattamento dei propri dati (nome, cognome, luogo e data di nascita, sesso ecc…). Non serve quindi in questo caso un consenso esplicito.

La sicurezza dei dati e i relativi strumenti per garantirla

I dati personali degli interessati che vengono trattati dalle imprese devono essere protetti ad ogni costo. Questo vuol dire che non possono essere persi, contraffatti, rubati o divulgati, in quest’ultimo caso senza uno specifico ed esplicito consenso da parte della persona coinvolta. Con la precedente legge le misure di sicurezza previste per la tutela dei dati eranodi due tipi: “misure minime”predefinite dal legislatore e obbligatorie per tutte le aziende e “misure adeguate”  da individuare dalla singola azienda in base ai rischi a cui erano sottoposti i dati personali.

Il GDPR fa un salto di qualità. Infatti il titolare dei dati (l’azienda che è in possesso dei dati personali delle persone), in virtù del principio di accountability deve capire quali sono le misure più adeguate  che può mettere in atto per proteggerli. Cosa vuol dire prima di tutto principio di accountability? Si tratta del principio di responsabilizzazione delle aziende, un concetto introdotto per la prima volta dal nuovo Regolamento Europeo. Esso stabilisce che le aziende devono dimostrare di aver messo in atto tutte le misure possibili necessarie per evitare la perdita, la divulgazione o la contraffazione dei dati delle persone di cui erano in possesso. Pertanto, quando si parla di protezione,  le aziende devono effettuare un analisi del rischio, cioè capire quali sono i pericoli a cui sono sottoposti i dati che trattano e di conseguenza individuare e mettere in atto gli strumenti più adatti per proteggerli, tenendo conto della natura dei dati (comuni, particolari, giudiziari etc.), delle operazioni di trattamento, delle caratteristiche dei sistemi informatici, ecc.

Tra i vari adempimenti richiesti al Titolare si può citare il registro dei trattamenti, un vero e proprio manuale in cui viene spiegato in maniera chiara e dettagliata quali trattamenti sono effettuati con i dati personali, le finalità e come vengono utilizzati i dati di cui l’azienda è in possesso, in modo che in caso di controllo possa essere mostrato all’ente di controllo – o Autorità Garante.

Privacy impact assessment

Il privacy impact assessment  è una procedura che viene applicata nel momento in cui è previsto un nuovo trattamento dei dati che presentano rischi elevati. Per esempio, se un’azienda di autotrasporti decide di controllare gli spostamenti dei propri dipendenti con il mezzo aziendale allo scopo di studiare nuovi percorsi che ottimizzino l’utilizzo delle risorse e rendere così più efficienti i tempi di consegna, sarà necessario effettuare una valutazione d’impatto sui dati dei collaboratori per verificare che la loro libertà e dignità non vengano lesi. In caso negativo, ovvero se le misure di protezione adottate non sono sufficienti a garantire la libertà e la dignità degli interessati, il risultato dovrà essere sottoposto al giudizio del Garante della privacy, che deciderà se la nuova procedura è lecita o meno.

Privacy by design e by default

Un altro principio su cui si basa il Regolamento UE 2016/679 è la privacy by design e by default, per il quale si intende una progettazione delle applicazioni (incluse APP e e-commerce) e dei processi che trattano dati personali che tenga già in considerazione il soddisfacimento della privacy dei dati personali. In particolare secondo questo concetto è necessario capire già in fase di progettazione quali rischi potrebbero correre i dati personali, capendo pertanto cosa è davvero necessario chiedere agli utenti. Se in fase di registrazione ad una newsletter il numero di telefono della persona che si sta iscrivendo non è necessario ai fini dell’invio delle comunicazioni, già in fase di sviluppo tale campo non dovrà essere previsto e inserito.

Cosa fare in caso di hackeraggio?

Nel caso in cui si verifichi una violazione dei dati personali (il caso più classico è la clonazione dei dati delle carta di credito emesse da un ente bancario) è obbligatorio inviare una comunicazione ufficiale all’Autorità Garante entro 72 ore dall’accertamento, a meno che il Titolare non dimostri che i dati trafugati siano illeggibili, come per nel caso di utilizzo della crittografia. Ma non finisce qui. Qualora l’hackeraggio o la violazione dei dati vada ad impattare sui diritti e sulla libertà delle persone stesse, allora sarà necessario inviare una comunicazione anche a loro.

La responsabilità del trattamento dei dati

È ovvio che in un’azienda di medio-grandi dimensioni il trattamento dei dati non può essere gestito da una sola persona, ma da un team a volte dislocato in sedi differenti. Come fare allora per avere una corretta gestione di tali dati? Il regolamento ribadisce un concetto già presente nella precedente normativa e cioè quello della responsabilità del trattamento dei dati. Il titolare del trattamento è la persona giuridica, ma possono esserci altre persone interne che utilizzano quotidianamente questi dati. Il titolare pertanto può dare delle responsabilità precise, delle deleghe, oltre che avere un referente specifico interno che funge da coordinatore di tutte le iniziative e attività di adeguamento e mantenimento del sistema privacy.

Il titolare dei dati deve fornire delle istruzioni specifiche agli incaricati al trattamento dei dati, affinché sappiamo cosa fare e come comportarsi per attenersi al meglio alle disposizioni del Regolamento.

Si pensi per esempio al caso di una catena di supermercati e alla gestione delle tessere fedeltà su cui vengono caricati punti o attraverso le quali i clienti possono accedere a vantaggi e promozioni. Tanto più è elevato il livello di personalizzazione delle offerte, quanto più è sofisticata la tipologia di dati che il brand tratta e, pertanto, le procedure di tutela a cui esso e tutto il personale coinvolto, deve attenersi.

In alcuni casi la gestione dei dati viene affidata a delle società esterne, che assumono il ruolo di responsabili esterni del trattamento dei dati. L’art. 28 del Regolamento disciplina questa situazione indicando tutti gli adempimenti  che devono essere seguiti.

La nuova figura del DPO

Il Data Protection Officer o DPO è una nuova figura introdotta dal Regolamento e viene prevista in molti casi. Si tratta in pratica di una sorta di assistente del Titolare dei dati ed ha il compito di vigilare sulla corretta implementazione della nuova normativa all’interno dell’azienda. La figura del DPO è prevista dalla norma in molti casi, per esempio se l’azienda tratta dati sensibili e su larga scala, come un ospedale, ed è obbligatoria nelle aziende pubbliche.

Il Data Protection Officer è una figura interna o esterna all’azienda e la sua presenza va comunicata e registrata sul sito dell’Autorità Garante. Il DPO è una garanzia per le aziende perché permette loro di evitare di incorrere in errori nell’applicazione del GDPR. In particolare svolge audit, effettua verifiche e follow up, provvede alla formazione dei collaboratori, elabora report per evidenziare al Titolare  la situazione in essere e le migliorie da implementare e si interfaccia con l’Autorità Garante, ove necessario.

Considerazioni finali

Il GDPR ha rappresentato per le aziende italiane, così come per gli altri paesi europei, diverse novità ed un impegno particolarmente significativo:i cambiamenti richiesti dalla norma sono  davvero sostanziali e richiedono anche un grande sforzo di mantenimento. La valutazione  dei rischi, l’aggiornamento delle informative e delle nomine, la raccolta del consenso esplicito,l’aggiornamento dei contratti con i fornitori, sono tutte procedure che implicano notevole lavoro da parte dell’azienda. I progetti di adeguamento e di miglioramento delle misure di sicurezza in un’ottica a 360 gradi, richiedono tempi lunghi e notevoli risorse sia tecnologiche che di competenze specifiche.

Le aziende che ancora non hanno completato l’adozione del Regolamento devono accelerare,  visto che fra pochi mesi l’Autorità Garante in caso di controlli potrebbe “cessare di considerare eventuali inadempienze  delle aziende con comprensione” come recita il D. Lgs. 101/2018.

L’applicazione del Regolamento richiede peraltro una costante e continua attività di monitoraggio e di verifica, tramite istanze di audit, per garantire l’adeguatezza e l’efficacia nel tempo delle misure adottate, sia tecnologiche che organizzative, finalizzate alla ottemperanza di quanto previsto dal GDPR.

Sarà fondamentale per le aziende affidarsi a professionisti competenti sulle dimensioni normative, organizzative e tecnologiche presenti nel Regolamento,  in grado di accompagnarle e affiancarle nel processo di adeguamento e di mantenimento.

Ti informiamo che il nostro sito utilizza cookie al fine di migliorare la fruibilità del sito. Accedendo ai contenuto di questo sito accetti l'utilizzo di questi cookie. Per maggiori informazioni ti chiediamo di consultare la nostra Privacy e Cookie Policy Informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi