Entro il 25 Maggio 2018 tutti i Titolari ed i Responsabili del Trattamento dovranno adeguarsi al nuovo Regolamento Europeo per la protezione dei dati personali (Regolamento UE 679/216 detto GDPR) e, in alcuni casi specifici, nominare anche un Responsabile della Protezione dei Dati (DPO) con atto di designazione formale da inviare al Garante della Privacy, sempre entro la scadenza di cui sopra.

Di seguito Vi segnaliamo alcune delle principali novità introdotte dal Regolamento UE 679/2016:

LICEITÀ

Ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti sono indicati all’art. 6 del GDPR e sono sinteticamente: consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

RESPONSABILIZZAZIONE

Il nuovo regolamento introduce in modo forte ed inequivocabile il concetto di “responsabilizzazione” (accountability) di titolari e responsabili. Cosa vuol dire?  Significa che titolari e responsabili DEVONO adottare politiche, attività e comportamenti in grado di dimostrare inequivocabilmente la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

DATA PROTECTION BY DESIGN AND BY DEFAULT

Rappresentano la necessità di configurare il trattamento prevedendo fin dall’inizio di ogni processo le garanzie indispensabili legate al trattamento dati. In sostanza è un concetto che prevede la protezione dei dati sin dalla progettazione ed ideazione di un’attività. Ne consegue che è NECESSARIA un’analisi preventiva dimostrabile, che si traduce poi in azioni predefinite e ben organizzate (il default).

Il DPIA (Data Protection Impact Assessment)

È la valutazione del rischio inerente particolari trattamenti che possono impattare sulle libertà e i diritti degli interessati. Gli impatti dovranno essere analizzati attraverso un apposito processo di valutazione TARATO sulla propria realtà specifica (analisi “preconfezionate” possono non garantire un risultato reale inficiando, tra le altre cose, il concetto di “responsabilizzazione” di cui sopra).

REGISTRO DEI TRATTAMENTI

I titolari e i responsabili del trattamento, ad eccezione di quelli che impiegano meno di 250 dipendenti e che non effettuano trattamenti particolari (altrimenti vige l’obbligo anche per questi soggetti) devono tenere un registro delle operazioni di trattamento. È uno strumento fondamentale ed indispensabile per poter davvero definire delle politiche di gestione concrete e tarate sulle proprie attività, oltre che per effettuare una sana valutazione del rischio.  Il consiglio del Garante della Privacy è quello di redigerlo anche per i soggetti non formalmente obbligati, quale valido strumento per dimostrare l’adozione del principio di “responsabilizzazione” (come sarebbe altrimenti possibile avere contezza di cosa si tratta, come si tratta, e giustificare l’adozione o meno di determinati presidi di sicurezza senza un’analisi delle operazioni che si effettuano?).

MISURE DI SICUREZZA

Le misure adottate devono “garantire un livello di sicurezza adeguato al rischio” del trattamento, la valutazione dell’adeguatezza è quindi da valutare caso per caso. Ne consegue che NON è possibile avere la certezza di adottare misure e presidi adeguati senza una valutazione del rischio (ovviamente tarata in equilibrio con le dimensioni e l’attività del titolare o del responsabile del trattamento. Ad esempio un laboratorio analisi mediche ha rischi legati alla tipologia di dati trattati molto diverse da un piccolo artigiano del legno arredo che lavora conto terzi).

NOTIFICA DELLE VIOLAZIONI DI DATI PERSONALI (DATA BREACH)

Tutti i titolari dovranno notificare all’autorità Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati Ne consegue, ancora una volta, che senza un’adeguata valutazione del rischio diventa impossibile effettuare un’oggettiva analisi della violazione occorsa e quindi decidere in modo consapevole “se si deve segnalare o meno”. Inoltre devono essere predisposti sistemi per poter prevenire e mappare gli eventi che intervengono sui dati (accessi abusivi, perdita, cancellazione, furto etc. etc.).

CODICI DI CONDOTTA E SCHEMI DI CERTIFICAZIONE

È prevista la possibilità di aderire a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate e la corretta applicazione del GDPR. Questi strumenti sono utili sia per adottare un adeguato sistema di gestione, sia in caso di controllo da parte delle autorità potendo in determinati casi essere addirittura certificabili (processo in corso di definizione).

FORMAZIONE E ISTRUZIONE

È essenziale che le persone autorizzate a trattare i dati e tutti i soggetti coinvolti siano formati ed istruiti con costanza.

TRASFERIMENTI INTERNAZIONALI DI DATI

Saranno da adottare maggiori garanzie per il trasferimento dati all’estero.

SOGGETTI

I dati personali saranno trattabili solo tramite persone specificamente autorizzate (gli incaricati odierni) o responsabili espressamente nominati.

INFORMATIVE

Dovranno contenere nuovi e più dettagliati riferimenti rispetto al Codice Privacy. Ad esempio  saranno da  specificare i dati di contatto del DPO, la base giuridica del trattamento, qual è il suo interesse legittimo, se si trasferiscono i dati personali in Paesi terzi, attraverso quali strumenti, il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, il diritto di presentare un reclamo all’autorità di controllo, se il trattamento comporta processi decisionali automatizzati (anche la profilazione), la logica di tali processi decisionali e le conseguenze previste per l’interessato. Ancora una volta ci si chiede, senza una vera analisi delle operazioni di trattamento, come sia possibile predisporre le informative indicando tutti gli elementi necessari?

DIRITTO “ALL’OBLIO”

Un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato di informare della richiesta di cancellazione gli altri titolari che trattano i dati personali oggetto della richiesta di “oblio”. Ancora una volta si richiama un concetto di controllo del processo di trattamento in capo a titolare.

DIRITTO ALLA PORTABILITÀ

È il diritto di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli ad un altro titolare del trattamento senza impedimenti. Non si applica ai trattamenti non automatizzati e sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato.

Infine vogliamo porre la vostra attenzione su una nuova figura introdotta dal Regolamento UE 679/2016:

IL DPO (DATA PROTECTION OFFICER) O RPD (RESPONSABILE DELLA PROTEZIONE DEI DATI)

A meno di due mesi dall’entrata in vigore del nuovo Regolamento UE 679/216, il Garante Privacy ha pubblicato le nuove FAQ sul Responsabile della Protezione dei Dati (DPO) in ambito privato, chiarendo quali sono i soggetti obbligati alla nomina del DPO.

Detto in modo formale: “sono tenuti alla designazione del responsabile della protezione dei dati personali (Data Protection Officer – DPO), il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679 (#GDPR)“.

Tradotto dal burocratese possiamo dire che si tratta di soggetti (privati) le cui principali attività (in primis, le attività dette “core business”), consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.

Ancora difficile? Facciamo allora alcuni esempi.

Sono tenuti alla nomina del DPO, a titolo esemplificativo e non esaustivo:

  1. istituti di credito (facile da immaginare dopo le denunce di molti imprenditori di accesso non autorizzato alla Centrale Rischi da parte delle banche);
  2. imprese assicurative;
  3. sistemi di informazione creditizia;
  4. società finanziarie;
  5. società di informazioni commerciali;
  6. società di revisione contabile;
  7. società di recupero crediti;
  8. istituti di vigilanza(che già hanno alcuni requisiti che devono rispettare sulla Data Protection con le norme UNI 10891 – UNI CEI EN 50518 – Decreto del Ministero dell’Interno 04/06/2014 n. 115, Decreto del Ministero dell’Interno 01/01/2010 n. 269 e Disciplinare del Capo della Polizia, e sappiamo già che saranno “poco proattivi” nell’applicazione di requisiti ancora più stringenti sulla Data Protection);
  9. partiti e movimenti politici;
  10. sindacati;
  11. CAF e patronati;
  12. società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  13. imprese di somministrazione di lavoro e ricerca del personale;
  14. società operanti nel settore della cura della salute (Case di cura, Cliniche…), della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi e centri di riabilitazione(dove spesso l’applicazione della Data Protection non sempre è attuata, ad esempio per l’utilizzo di software obsoleti o di procedure di check-in non conformi);
  15. società di call center (che utilizzano dati di cittadini Europei anche se hanno sede fuori dall’Europa);
  16. società che forniscono servizi informatici;
  17. società che erogano servizi televisivi a pagamento;
  18. studi associati o società di elaborazione paghe di professionisti associati (per esclusione al punto a) di “Chi non è obbligato”).

Chi non è obbligato:

  1. liberi professionisti operanti in forma individuale(Avvocato, Ingegnere, Architetto, Commercialista);
  2. agenti, rappresentanti e mediatori operanti non su larga scala;
  3. imprese individuali o familiari;
  4. piccole e medie imprese (PMI), con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti (nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria). È chiaro che se la PMI ha come funzionale al “core business” un’attività di Marketing (email, call center, ecc.), deve nominare il DPO.

Sembra inoltre evidente che la maggior parte delle aziende e degli studi professionali sono impreparati o non hanno compreso pienamente la necessità di trasformare i propri processi per adeguarsi al nuovo Regolamento UE, nonostante le sanzioni siano pesanti (fino al 4% del fatturato complessivo o fino a 20 milioni di euro).

Ci sentiamo in dovere di ricordare che il mancato adeguamento espone a pesanti sanzioni:

  • per violazioni meno gravi è prevista una sanzione amministrativa fino a 10.000.000 € o il 2% del fatturato;
  • per violazioni gravi è prevista una sanzione amministrativa fino a 20.000.000 € o il 4% del fatturato.

Restiamo a Vostra completa disposizione per tutte le ulteriori informazioni che vi fossero necessarie.