GDPR

Il GDPR (General Data Protection Regulation)

GDPR… Ormai se ne sente parlare persino al bar. Su internet si trovano siti web con il conto alla rovescia, quasi si trattasse di un nuovo Millennium Bug o di una nuova scadenza sul calendario Maya.

25 Maggio 2018. E’ questa la fatidica data in cui il nuovo Regolamento Europeo in materia di privacy è diventato obbligatorio per tutti gli Stati Membri.

Sanzioni fino a 20 milioni di euro o fino al 4% del fatturato per chi non lo rispetta. Si tratta di numeri capaci di mettere in ginocchio anche i più grossi colossi mondiali. Il messaggio che la Commissione Europea ha voluto dare è dunque chiaro: con i dati non si scherza. Non si tratta di una normativa da dimenticare in qualche cassetto ma da tenere bene in vista sulla scrivania.

In questo articolo tratterò gli aspetti principali del GDPR. Nelle settimane e nei mesi successivi tornerò più volte sull’argomento per affrontare questioni più specifiche. L’obiettivo è quello di generare consapevolezza su quella che è la materia della protezione dei dati ed provvedere all’adeguamento al più presto.

GDPR: onere od opportunità?

Diciamoci la verità. Sino ad oggi la normativa sulla privacy è stata vista dai più come una inutile rottura di scatole. Informative e scartoffie da firmare che nessuno ha mai letto; notificazioni al Garante; banner per i cookie; ostacoli in ogni progetto. Tutto questo per cosa? La nostra casella e-mail è invasa da spam; il telefono continua a squillare per offerte che non vogliamo; le pubblicità su Internet riflettono i nostri gusti personali e le nostre foto più imbarazzanti si trovano su Facebook alla mercé di chiunque.

Sino ad oggi, la domanda che molti si ponevano per verificare di essere in regola con la privacy era: hai fatto firmare l’informativa? Una volta eseguito questo automatico adempimento il più era fatto. Ma facciamoci alcune domande: in quante aziende le password dei computer dei dipendenti si trovano su un post-it attaccato allo schermo? In quanti studi legali i fascicoli con i dati sensibili dei clienti si trovano in bella vista sui tavoli, accessibili anche all’addetto alle pulizie? In una delle mie esperienze lavorative, non nego di essermi imbattuto una volta in un documento stampato su carta riciclata ove sul retro vi erano parti di una cartella clinica.

Il GDPR vuole cambiare tutto questo. L’informativa firmata non salva più nessuno se il dato personale non è trattato con il rispetto che merita. Meno scartoffie inutili e più concretezza dunque. I dati personali vanno protetti e bisogna farlo nel miglior modo possibile.

E’ vero. Le sanzioni fanno paura e ci sarà molto da fare. Ma siamo sicuri che il GDPR non rappresenti un’opportunità per le aziende? Essere “privacy compliant” può diventare per un’azienda, per uno studio professionale, per un software etc. un valore aggiunto. Aldilà dei singoli adempimenti, sono dunque la mentalità e l’approccio che abbiamo nei confronti dei dati personali che devono cambiare radicalmente.

Il GDPR chi interessa? … Tutti!

Per capire perché il GDPR non deve essere una preoccupazione esclusiva delle grandi aziende ma interessa tutti indistintamente, occorre comprendere l’oggetto della sua protezione: il dato personale.

Dato personale è qualsiasi informazione relativa ad una persona fisica che sia identificata o identificabile anche indirettamente[1].

Da questa definizione si evince che i dati delle persone giuridiche, quali società o associazioni, non rientrano nella normativa. Poco cambia in realtà, poiché le persone giuridiche sono formate da persone fisiche, quali i dipendenti, gli amministratori etc., le cui informazioni sono dati personali.

E’ dato personale qualsiasi informazione, purché il soggetto a cui si riferisce sia identificabile anche in via indiretta. Ad esempio, è dato personale l’indirizzo IP dinamico, quando sia possibile risalire al soggetto che lo sta usando tramite informazioni aggiuntive in possesso dell’Access Provider [2].

A titolo esemplificativo. Se invio ad un mio amico un SMS di questo tenore: “stasera qui a Firenze è prevista pioggia, credo che resterò in casa a vedermi la partita della Fiorentina su Sky“, sto trasmettendo molti dati personali. Da questo messaggio si ottengono le seguenti informazioni: vivo a Firenze; sono tifoso della Fiorentina; posseggo un televisore; sono abbonato Sky; questa sera mi troverò in casa. L’amico che riceve il mio messaggio non dovrà certo farmi firmare un’informativa privacy, ma se questi dati finissero in mano ad una società di telecomunicazioni, sarebbero di per sé sufficienti a profilarmi per finalità di marketing.

Ecco dunque che, quando otteniamo informazioni di questo tipo al di fuori della nostra vita privata, dovremo sempre porci il problema di come le stiamo trattando.

Che cosa si intende per trattamento?

Per trattamento si intende qualunque operazione concernente: la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnesione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati. In poche parole… tutto!

Cosa cambia con il GDPR?

Le numerose novità che interessano il nuovo Regolamento Europeo in materia di Privacy possono essere riassunte in 5 punti fondamentali:

• il principio dell’Accountability;
• Privacy by Design e by Default;
• la Data Protection Impact Assessment;
• la figura del DPO (Data Protection Officer);
• la Data Breach Notification.

Il principio dell’Accountability (art. 5, comma 2 Reg. UE 2016/679)

Accountability si traduce in italiano con principio di responsabilizzazione del titolare del trattamento. Più corretto sarebbe invece parlare di responsabilizzazione e capacità di dimostrazione.

Il trattamento dei dati personali viene considerato attività pericolosa ai sensi dell’art. 2050 c.c.[3]. Il titolare del trattamento ne è responsabile e deve essere in grado di dimostrare di aver fatto tutto il possibile per trattare il dato in conformità con il Regolamento. L’imprenditore deve prendere consapevolezza dei dati trattati e dei rischi. In conseguenza di ciò, deve decidere quali sono le misure di sicurezze adeguate per la sua azienda.

Il titolare dovrà dotarsi di un modello di gestione privacy che sia in grado di mostrare come tratta i dati personali in conformità al Regolamento. Esso potrà essere usato all’occorrenza in caso di verifica da parte dell’Autorità Garante.

Privacy by Design e by Default (art. 25 Reg. UE 2016/679)

Trattasi del principio in base al quale la privacy va tenuta in considerazione ed applicata sin dalla fase di progettazione di qualsiasi attività.

In parole semplici, ogniqualvolta si progetti una nuova attività che possa comportare l’acquisizione ed il trattamento di dati personali, bisogna tenere in considerazione la privacy. Occorrerà valutare fin dalla genesi quelli che saranno i dati raccolti, come verranno trattati, quali saranno i rischi e come porvi rimedio in conformità col Regolamento.

La Data Protection Impact Assessment (DPIA) (art. 35 Reg. UE 2016/679)

Diretta conseguenza dei suddetti principi di Accountability e Privacy by Design e by Default è la necessità di effettuare una valutazione di impatto sulla protezione dei dati.

Ogniqualvolta si dà inizio ad un nuovo trattamento, è necessario preventivare l’impatto che ciò potrà avere sui dati personali ed i rischi che potrebbero verificarsi. Conseguentemente dovrà essere adottato un modello di gestione della privacy che elimini o riduca il più possibile l’impatto ed i rischi.

Il DPO – Data Protection Officer (artt. 37-39 Reg. UE 2016/679)

Il nuovo Regolamento Europeo Privacy introduce la figura del Data Protection Officer (DPO). Si tratta di un soggetto dotato di specifiche competenze, che dovrà occuparsi di sovrintendere il modello di gestione della privacy.

Fra gli altri compiti, il DPO dovrà verificare la corretta applicazione della normativa, collaborare con titolare e responsabile in caso di Data Breach e nella stesura delle DPIA, partecipare alle decisioni che riguardano i dati personali, collaborare con l’Autorità Garante.

L’assunzione o la nomina di un DPO è sempre consigliata per conformarsi al principio di Accountability. Trattasi invece di un adempimento obbligatorio nei seguenti casi:

• pubbliche amministrazioni ed organismi pubblici;
• soggetti le cui attività principali richiedano il monitoraggio regolare e sistematico di dati su larga scala (ad esempio società che gestiscono dati di profilazione per effettuare web marketing);
• soggetti le cui attività principali comportino il trattamento su larga scala di dati sensibili o relativi a condanne penali (ad esempio le cliniche private e le strutture sanitarie private).

Si veda anche “DPO (Data Protection Officer): chi è e chi deve assumerlo“.

La Data Breach Notification (art. 33 Reg. UE 2016/679)

Nel caso di un accesso illegittimo ad una banca dati o al sistema informatico, il titolare del trattamento (tramite il DPO se nominato) deve avvertire l’Autorità Garante della violazione. Ciò deve avvenire senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui se ne è avuta conoscenza.

La notificazione dovrà contenere una descrizione della violazione e della quantità e qualità dei dati interessati; una valutazione sulle possibili conseguenze ed un descrizione degli adempimenti posti in essere per porvi rimedio.

Conclusioni

Quanto sopra descritto rappresenta soltanto una panoramica generale di quello che il GDPR comporterà. Per adeguarsi e restare al passo con i tempi occorre ripensare alla radice il concetto che abbiamo dei dati. Se qualcuno ci chiede quali carte dovrà far firmare ed una lista di adempimenti da porre in essere per adeguarsi al GDPR per poi non pensarci più, significa che non ha ben compreso il principio che sta alla base del nuovo Regolamento Europeo Privacy.

[1] Art. 4, comma 1, lett. b) Codice Privacy.
[2] CJEU, Breyer v. Bundesrepublik Deutschland, C-582/14.
[3] Art. 2050 c.c.: “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno“.

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia