• GDPR - Le regole della nuova Privacy

GDPR - Le regole della nuova Privacy

Come spesso accade, è l’Europa a dettare le Regole della nuova Privacy, che amplia la definizione di protezione dei dati personali auspicando in un rafforzamento delle coscienze attraverso una autodeterminazione del diritto. Lo sviluppo delle nuove Tecnologie e l’utilizzo del trattamento dei dati personali, ma anche l’apertura dei mercati alla rete e gli inevitabili scambi commerciali e informatici tra i Paesi, hanno modificato quello che pensavamo fosse il concetto di Privacy, che oggi viene stravolto e assume una nuova connotazione.

Il 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea veniva pubblicato il Nuovo Regolamento del Parlamento Europeo e del Consiglio relativo alla protezione dei dati: il Regolamento 2016/679 che disciplina la "protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati digitali."

Il nuovo Regolamento va a sostituire e ad abrogare la direttiva europea 95/46/CE (regolamento generale sulla protezione dei dati) da cui prendeva forma il D.Lgs. 196/2003.

Il tempo sembra essersi un po’ fermato da quel lontano giorno del 2016 e il tempo per l’Italia per adeguarsi alla nuova Normativa si sta esaurendo. Due anni di tempo infatti sono il periodo dato dall’Europa per permettere a tutti gli stati membri di recepire la direttiva adottando i propri provvedimenti.

Per il mondo della privacy questo in atto è un grande cambiamento che mira soprattutto a modificare i rapporti tra l’Europa e il resto del mondo.

I principali soggetti coinvolti sono tutti i paesi extra UE tra cui in primis annoveriamo gli Stati Uniti, il Canada e la Repubblica Cinese.

L’obiettivo è proteggere i dati personali andando a disciplinare tutte quelle attività che coinvolgono i cittadini europei, in particolar modo quelle legate alla profilazione e al marketing.

Sono molte le novità introdotte dal nuovo Regolamento che rispecchiano anche i risultati dei vari procedimenti giudiziari nei vari tribunali di tutta Europa rispetto alla violazione sulla privacy, tutelando maggiormente i soggetti interessati e gravando inevitabilmente di nuovi obblighi Titolari e Responsabili del trattamento di dati personali.

Proprio alla sentenza “Google Spain”, ad esempio, dobbiamo l’introduzione del diritto all’oblio che ha portato una vera innovazione per i cittadini che oggi possono finalmente, su richiesta e osservando determinati requisiti, ottenere la cancellazione dei propri dati (in termini ad esempio di comparsa nelle ricerche di Google).

Chiaramente alla base del GDPR c’è un necessario e forzato adeguamento della normativa alle nuove tecnologie uniformando la diffusione della rete e dei nuovi mezzi tecnologici a nostra disposizione (smartphone, tablet, voip, ecc). Le ormai continue connessioni tra i Paesi e il numero di dati immessi in rete purtroppo impongono una regolamentazione nella circolazione e nel trasferimento dei dati personali all’interno e soprattutto all’esterno dell’Unione Europea.

Il nuovo regolamento non stravolge, ma impone una chiarezza, che al momento non sembra esserci.

Come per ogni legge che si rispetti, le sanzioni sono previste nel nuovo Regolamento che prevede punizioni esemplari e per i casi più gravi addirittura sono previste sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato totale. Sicuramente non conviene trasgredire, ma impegnarsi a fare le cose per bene.

Tra le varie novità c’è l’introduzione del principio di Accountability a cui Titolari e Responsabili del trattamento dovranno sottostare. Questo è un concetto ancora un po’ lontano dalla mentalità italiana, ma che ci avvicina molto al “pensiero europeo” e che comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure privacy adottate nel rispetto del nuovo Regolamento.

Saranno necessarie valutazioni d’impatto sulla protezione dei dati, o Privacy Impact Assessment e nei casi stabiliti dalla Legge bisognerà avvalersi della consulenza di un Data Protection Officer (DPO).

La designazione del DPO sarà obbligatoria in caso di:

  • trattamento effettuato da un’autorità o organismo pubblico;
  • attività principali del Titolare e del Responsabile del trattamento richiedono il monitoraggio regolare e sistematico degli interessi su larga scala;
  • attività che riguardano trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).

Il Privacy Officer potrà essere interno o esterno, in ogni caso dovrà possedere un’ampia conoscenza della normativa anche dal punto di visto giuridico e informatico e sarà in stretta relazione con i vertici aziendali. Il compito del DPO sarà di analizzare, valutare e disciplinare la gestione del trattamento e di salvaguardare i dati personali all’interno di un’azienda fornendo alle stesse la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali e un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza.

Il termine per l’adeguamento era per il 24 maggio 2018 anche se considerando la corsa a cui ci troviamo a partecipare sono presumibili ritardi per ripensare, riprogettare e riformulare i processi di trattamento dei dati e inserendo le valutazioni di impatto e tutte le figure preventivate GDPR.

Le novità sono tante e viste come un’opportunità per la crescita sono per lo più positive e permetteranno di godere di burocrazie più snelle e di favorire lo sviluppo economico e il mercato digitale.

Prima Dopo
La sede del Titolare del trattamento dei dati veniva considerata per applicare la normativa vigente. (sede americana – normativa americana). La normativa applicabile non è più quella della sede del Titolare ma diventa quella del soggetto i cui dati vengono raccolti. Tutti i social network, i motori di ricerca e le piattaforme web gestite da società con sede extra UE dovranno adeguarsi alla normativa europea.
La documentazione rivestiva un ruolo di grande importanza. Il principio dell’accountability (responsabilità verificabile), definisce che tutti i soggetti che partecipano al trattamento dati devono essere consapevoli e responsabili.
É fondamentale secondo questo principio mantenere la documentazione in maniera esaustiva e completa per ogni tipo di trattamento effettuato a prescindere dal tipo di utilizzo dei dati.
Saranno perseguibili e soggetti a sanzioni tutti i soggetti che non hanno la documentazione o che hanno una documentazione incompleta.
Chi non documenta è soggetto a possibili sanzioni.
L’informativa era lunga, con richiami normativi complessi e a volte poco comprensibile. Il nuovo Regolamento impone di utilizzare un’informativa chiara, leggibile, comunicativa, accessibile, concisa e con pochi richiami a riferimenti normativi.
L’informativa può essere fornita per iscritto o oralmente se in accordo con l’interessato.
Il consenso doveva essere informato, libero e specifico.
L’accertamento del trattamento dei dati doveva avvenire con atto formale.
Il consenso diventa ancora più fondamentale di prima per la raccolta dei dati e deve essere esplicito soprattutto per chi raccoglie dati in rete e molte sono le restrizioni soprattutto per quello che concerne la profilazione.
Il consenso deve essere informato, libero, specifico e inequivocabile.
Non sarà necessaria la spunta, ma un testo chiaro in cui la prosecuzione confermerà l’accettazione del trattamento, richiamando l’informativa estesa in un link a parte per chi volesse ampliare le proprie conoscenze o limitare il consenso.
Redazione del DPS Redazione della valutazione di impatto della privacy in azienda.
La PIA, Privacy Impact Assessment valuta e analizza i rischi, stabilisce un piano per ridurre o eliminare i rischi ove possibile mettendo in atto una serie di strategie e accorgimenti che sono da rivalutare con una cadenza predefinita.
A seconda delle finalità bisognava informare il Garante per particolari trattamenti di dati (art. 37 del D.lgs. 196/2003). Con il nuovo GDPR la notifica al Garante non sarà più necessaria, ma ogni anno si dovrà redigere la PIA che costituisce la notifica al garante.
Introduzione del DPO, cioè di un Responsabile per la protezione dei dati.
Figura manageriale autonoma con specifici requisiti che sarà in contatto direttamente con l’alta direzione, a cui è legato con regolare contratto.
Questa è la figura che in caso di controllo o necessità comunica direttamente con il Garante.
La privacy era vista come un elemento conclusivo e finale. Privacy by design e privacy by default
La privacy diviene elemento fondamentale e primario per la raccolta dati e che dovrà essere costituita su misura per ogni azienda
In caso di violazione nel trattamento dei dati la segnalazione non era necessaria. La violazione viene definita come Data breach.
In caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali.
In caso di violazione nel trattamento dei dati la segnalazione non era necessaria. Il nuovo regolamento prevede diversi e nuovi diritti per la tutela dei dati (diritto all’oblio, portabilità, ecc).

Le sanzioni del Nuovo Regolamento

Le sanzioni irrogate seguono alcuni principi, devono infatti essere: effettive, proporzionate e dissuasive.

Tra i criteri di irrogazione:

  • la natura, la gravità e la durata della violazione
  • carattere doloso o colposo
  • misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati
  • misure tecniche e organizzative da essi messe in atto
  • precedenti violazioni pertinenti
  • grado di cooperazione con l'autorità di controllo per porre rimedio/ attenuare effetti negativi
  • categorie di dati personali interessate dalla violazione

La violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

  • gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede l’identificazione), da 25 a 39 (titolare, responsabile, registri delle attività, sicurezza del trattamento, data breach, comunicazioni all’interessato, DPO), 42 e 43;
  • gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
  • gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;

In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

  • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5 («liceità, correttezza e trasparenza», limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione) 6 (liceità del trattamento), 7 (condizioni consenso: dimostrabilità, chiarezza, inequivocabilità, revocabilità) e 9 (trattamento di categorie particolari di dati);
  • i diritti degli interessati a norma degli articoli da 12 a 22;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.

In conformità del paragrafo 2 del presente articolo, l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Fatti salvi i poteri correttivi delle autorità di controllo a norma dell'articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro.