Inizia una nuova stagione della privacy per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese: il 25 maggio 2018 è entrato in vigore il Regolamento europeo 679/2016 in materia di protezione dei dati personali. Questa Nuova Era sviluppa un nuovo rapporto tra il cittadino e l’espansione dei servizi digitali, creando un sistema di responsabilità e implementazione di misure di sicurezza a protezione dei dati personali.

Cos’è il GDPR o Regolamento Europeo 679/2016? E a chi si riferisce?

Il nuovo Regolamento UE 679/2016, per la protezione dati o GDPR (General Data Protection Regulation) determina le “linee guida” da adottare in materia di protezione dei dati trattati (siano essi informatici o cartacei) che appartengono alle persone fisiche. L’evoluzione tecnica dell’era digitale ha anche evidenziato le vulnerabilità. Tutti i nostri dati personali sono a rischio.

Il nuovo Regolamento UE, che è semplicemente un “rafforzamento” della nostra Legge 196/03 (ancora in vigore tra l’altro), tende in poche parole ad armonizzare le leggi nazionali con quelle Europee. La tutela riguarda le Persone fisiche e responsabilizza le aziende. Quest’ultime verranno coinvolte dai nuovi adempimenti e dalle nuove procedure e da eventuali sanzioni.

Una delle novità fondamentali del nuovo Regolamento è quella del coinvolgimento globale. Devono rispettarne le regole anche le imprese situate fuori dall’Unione europea. Imprese che offrono servizi o prodotti a persone presenti nel territorio europeo o ne monitorano il comportamento. Tutte le aziende, che trattano dati di cittadini UE, ovunque esse siano, sono chiamate al rispetto delle regole privacy stabilite dall’UE.

I protagonisti del GDPR

Vediamo, nello specifico, i protagonisti del nuovo Regolamento con alcune terminologie che entreranno ben presto nel nostro linguaggio ordinario:

• Interessato: la Persona fisica, cui appartengono i dati;
• Titolare del trattamento: azienda/ente;
• Incaricato (ad esempio dipendente) e Responsabili del Trattamento (che possono essere esterni o interni);
• DPO (Data Protection Officer) la nuova figura introdotta dal GDPR. Il suo compito principale è informare e consigliare sulle modalità di gestione del trattamento dei dati personali e sulla relativa protezione all’interno di un’azienda, sia essa pubblica (dove la figura è obbligatoria) che privata (qui in alcuni casi è obbligatorio).

Diritto alla portabilità dei dati e diritto all’oblio

Il Regolamento stabilisce alcuni diritti. Il più importante sicuramente è il diritto, per ogni utente, di ricevere informazioni chiare sull’uso che viene fatto dei suoi dati personali.

Alla luce di questa “responsabilizzazione”, dovuta a tutti i cittadini, nel nuovo GDPR spiccano due diritti o responsabilità da parte delle autorità, al fine di garantire sicurezza e libertà. Si parla di:

Diritto alla portabilità dei dati: previsto dall’articolo 20 del regolamento UE, questa norma riconosce al soggetto interessato: “il diritto di ricevere da un titolare del trattamento i propri dati personali, allo stesso forniti, in un formato strutturato, di uso comune, leggibile da dispositivo automatico al fine di memorizzarli su un dispositivo proprio (o nella propria disponibilità) ed eventualmente (ma non è lo scopo indispensabile del diritto) trasferirli a un altro titolare”.

In parole povere questo diritto stabilisce il controllo ,da parte dell’interessato, dei propri dati e la libertà di scegliere come e se farli circolare.

C’è un duplice obiettivo alla base: da un lato, si tenta di agevolare il più possibile il passaggio e lo scambio dei dati da un ambiente informatico a un altro, promuovendo la libera circolazione dei dati all’interno dell’UE e favorendo la concorrenza tra i titolari del trattamento, dall’altro, c’è la volontà di rafforzare la posizione del soggetto interessato cui i dati trattati si riferiscono. In questo modo vengono riconosciuti un ampio potere di controllo e gestione sui propri dati.

Diritto all’oblio: ai sensi dell’art. 17 del Regolamento , si rafforza qui, per l’utente, il potere di far cancellare, anche on-line, le informazioni non più necessarie rispetto alle finalità per le quali sono state raccolte. La Corte di Cassazione definisce il diritto all’oblio come: "giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata".

Ad esempio un individuo può richiedere la cancellazione dei propri dati personali da tutte le piattaforme esistenti. Un altro caso(estremo), può vedere l’interessato, autore di un reato passato, richiedere che il fatto non venga più pubblicizzato o divulgato dalla stampa o da altri mezzi di informazione, internet incluso. Questo a patto che dall’evento sia trascorso molto tempo e non sia tornato a essere di pubblico interesse e di pubblico dominio.

Il principio di tutti i principi: “il Principio di Accountability”

Uno dei pilastri su cui si fonda il GDPR. Il termine anglosassone “accountability” in italiano significa responsabilità o “obbligo di rispondere”. Il legislatore Italiano però, ha ritenuto di doverlo tradurre con il termine di responsabilizzazione. Questo “change” mette l’accento su un processo preventivo, alla base del nuovo GDPR.

Il Regolamento evidenzia la “responsabilizzazione” o accountability da parte di titolari e responsabili, e quindi “sull´adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l´applicazione del regolamento”.

Titolare e Responsabile del trattamento non dovranno solo garantire il rispetto delle regole fissate per il trattamento dei dati personali, ma dovranno adottare, e dimostrare di aver adottato, una serie di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi, adeguati al settore di interesse in cui svolge la propria attività.

E’ una novità: ai titolari viene affidato il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali.

La gestione degli obblighi, volti sempre al rispetto del principio di responsabilizzazione, rispondono a due criteri: Valutazione del rischio o rischio inerente al trattamento e obbligo di privacy by design.

Per valutazione del rischio si intende: analisi delle “minacce” sui trattamenti e delle misure adottate per ridurre il rischio.

Questa serie di rischi dovranno essere analizzati attraverso una valutazione, tenendo conto dei rischi noti e delle misure tecniche e organizzative(anche di sicurezza), che il titolare riterrà di dover adottare per mitigare tali rischi.

Dopo un’attenta valutazione, in cui tra l’altro occorrerà una revisione ciclica(potendo ricorrere anche all’aiuto dell’autorità competente), il Titolare potrà scegliere in autonomia se iniziare il trattamento(avendo adottato misure idonee) o consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuo.

L’autorità non ha però il compito di “autorizzare” il trattamento, bensì di indicare alcune misure, eventualmente da implementare, e potrà adottare tutte le misure correttive ai sensi dell’art. 58: ammonimento del titolare, limitazione o divieto di procedere al trattamento.

Obbligo di privacy by design, ogni azienda è chiamata a determinare preventivamente le modalità di gestione dei dati. Ciò significa progettare a monte il sistema, prima che inizi qualsiasi trattamento tenendo conto anche del tipo di dati trattati. Ad esempio in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti in considerazione del fatto che il rischio è maggiore.

Adempimenti per Titolari e responsabili del trattamento

Più che adempimenti forse bisognerebbe dire linee guida per la messa in sicurezza degli utenti e non solo. Sta di fatto che il Regolamento UE stabilisce alcuni “strumenti” standard come:

• Registro dei trattamenti. E’ una parte integrante di un sistema di corretta gestione dei dati personali. Sono obbligati al registro: tutti i Titolari e i Responsabili del trattamento, organismi con più di 250 dipendenti(anche se è sempre consigliabile in tutti i casi). Tutti i Titolari ed i Responsabili del trattamento, con meno di 250 dipendenti se trattano dati a rischio. E’ uno strumento fondamentale, non solo ai fini di un’eventuale supervisione da parte del Garante, ma anche perché fa disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Il registro può essere sia in forma scritta che elettronica, e deve essere esibito su richiesta al Garante;
• Misure di sicurezza: le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1). O meglio: per il tipo di rischio in cui si potrebbe incorrere(condizionale d’obbligo se ricordiamo il principio di responsabilizzazione) occorre ricorrere a misure adeguate con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato;
• DATA BREACH NOTIFICATION o obbligo di notifica: in caso di Violazione dei Dati, dal 25 Maggio 2018, scatterà l’obbligo di denuncia da parte di tutti i titolari che dovranno notificare alle Autorità Competenti, come il Garante Privacy, e ai diretti interessati, entro e non oltre 72 ore dalla scoperta;
• Responsabile della protezione dei dati (RPD) o DPO (Data Protection Officer): E’ una figura che abbiamo già citato. La sua designazione è obbligatoria in alcuni casi. Il regolamento delinea i compiti di questa figura: informare, consigliare, verificare e se richiesto fornire pareri in merito alla valutazione d’impatto.

Bisogna essere pronti davanti ad un attacco informatico. Il GDPR vuole essere lo stimolo utile per la messa in sicurezza del patrimonio dati sia elettronici che cartacei.

I vantaggi del GDPR

L’acquisizione dei principi su cui si fonda il nuovo Regolamento UE, porterà vantaggi percepibili a tutti. I privati, le aziende e l’intero mercato saranno più sicuri. Aumenterà la fiducia nella realtà digitale. Ecco i principali vantaggi del GDPR:

• trasparenza nei servizi: livelli qualitativi di gestione (tempistiche più certe) per la protezione dei dati personali;
• garanzia e competitività: garantire al cliente la sicurezza delle informazioni che trasmette. Permette di guadagnarne la fiducia e al tempo stesso di essere più competitivi.

Perché adeguarsi al GDPR? E quanto potrebbe costare ad un’azienda non investire sul GDPR?

E’ lecito pensare a tale impegno come all’ennesima trappola in cui i vantaggi sono minimi ed i costi alti. Basta approfondire accedendo alla piattaforma di EBAFoS o partecipando ai seminari proposti anche dalla FIRAS-SPP per comprendere che oltre ad essere un obbligo sancito dalla legge, investire nella progettazione privacy, è invece il primo step per non rimanere fuori dal mondo commerciale globale. Non adeguarsi e non investire sul GDPR oltre a mettere a rischio di sanzioni e d’immagine gli inadempimenti ne bloccherebbe la crescita aziendale.

Il mercato è competitivo e basta poco per essere vinti dalla concorrenza. Non aggiornarsi non è una scelta economica. I dati aziendali sono il primo patrimonio da proteggere. La perdita dati è sempre un danno enorme per le imprese.

Le sanzioni

Professionisti e imprese devono adeguarsi ai nuovi adempimenti e obblighi, perché in caso di violazione delle nuove regole privacy, saranno sottoposti a pesanti sanzioni amministrative e non solo. Le sanzioni previste dal Garante hanno carattere: effettivo, proporzionale e dissuasivo.

Gli elementi che porteranno a valutare nella decisione sono:

• natura, gravità e durata della violazione;
• carattere doloso o colposo della violazione;
• misure adottate per attenuare il danno;
• grado di responsabilità del titolare o del responsabile del trattamento;
• eventuali precedenti pertinenti.

Alcuni esempi di sanzioni previste

La violazione di disposizioni come: principi base, diritti degli interessati, trasferimenti di dati personali ad un destinatario in un paese terzo o ad una organizzazione internazionale e obblighi relativi ai sensi della legislazione degli stati membri, comporterà sanzioni amministrative pecuniarie fino a 20.000.000(venti milioni), o per le imprese fino al 4% del fatturato mondiale annuo.

La violazione di obblighi: del Titolare del trattamento e del Responsabile del trattamento, dell’organismo di certificazione, dell’organismo di controllo comporterà sanzioni amministrative pecuniarie fino a 10.000.000(dieci milioni) o per le imprese, fino al 2% del fatturato mondiale totale annuo.

A queste si aggiungono le possibili implicazioni penali previste dalla legislazione del paese in caso di violazione grave, a cui sarebbero soggetti sia il Titolare (legale rappresentante) che il Responsabile del Trattamento se separati.

E’ previsto che sarà compito delle Autorità competenti, valutare la gravità del reato e commutare la giusta pena.

No a rinvii

Chi spera in un rinvio del GDPR si sta illudendo. Non si parla di Direttiva ma di Regolamento, perciò il nuovo GDPR è in vigore dal 25 maggio 2018 e con esso le regole e gli obblighi a cui tutti sono chiamati a rispondere.

Attualmente è in previsione l’ emanazione da parte del Garante Privacy Italiano, il decreto di attuazione che lo armonizzerà alla normativa europea.

Per chi ancora non si fosse messo in regola può ancora farlo fino al 21 agosto. Si ricorda però che le sanzioni previste dal Regolamento sono in vigore e non si farà alcuno sconto.

Conclusioni

Lasciarsi guidare dal GDPR, permetterà l’accesso al nuovo mondo digitale, agli scambi commerciali e dei servizi. Il nuovo Regolamento UE rappresenterà un valore aggiunto per la crescita e la sicurezza globale. Le persone, principali attori di tutto il movimento, con la messa in sicurezza e la tutela dei dati di ogni singolo, avranno finalmente il diritto alla privacy.

Come affermano i “guru” informatici: “non esiste un sistema informatico in grado di sradicare il fenomeno Hacker. Tutti siamo potenzialmente vittime dei mostri informatici. Con la nuova legge sulla privacy hai il tuo piano B…”.

Il progresso non deve rappresentare una minaccia bensì una corsa verso un futuro migliore e più sicuro!

Buon viaggio verso la Nuova Privacy