Come ormai noto ai più, è stato pubblicato il 4 maggio 2016 nella Gazzetta Ufficiale dell’Unione Europea il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Il suddetto regolamento si applicherà in tutti gli Stati membri dell’Unione Europea a decorrere dal 25 maggio 2018.
La necessità di emanare un Regolamento Europeo in materia di protezione dei dati personali nasce dalla continua evoluzione degli stessi concetti di privacy e di protezione dei dati personali e, quindi, dalla relativa tutela dovuta principalmente alla diffusione del progresso tecnologico.
Gli incalzanti sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali. La portata della condivisione e della raccolta dei dati, infatti, è aumentata in modo vertiginoso.
La tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle proprie attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla reta mondiale informazioni personali che li riguardano. Il progresso tecnologico non ha trasformato solo l’economia ma anche le relazioni sociali.
È divenuto, pertanto, necessario instaurare un quadro giuridico più solido e coerente con le nuove esigenze in materia di protezione dei dati nell’Unione che, affiancato da efficaci misure di attuazione nonché da importanti sanzioni in caso di violazione del nuovo Regolamento, consentirà lo sviluppo dell’economia digitale nel mercato interno, garantirà alle persone fisiche il controllo dei loro dati personali ed, infine, rafforzerà la certezza giuridica e operativa per le azione e per le autorità pubbliche.
* * *
APPROFONDIMENTO GIURIDICO
Fatte queste brevi premesse, è quindi possibile introdurre più nello specifico la portata giuridica del General Data Protection Regulationa “GDPR” individuandone i principali fondamenti.
1. Principio di trasparenza e nuovi diritti degli interessati
Il principio fondamentale e che maggiormente è divenuto oggetto dell’intervento modificativo del Legislatore è sicuramente il principio di trasparenza.
Invero, le informazioni che il titolare del trattamento deve fornire all’interessato con riferimento alle modalità di trattamento dei suoi dati, devono sempre essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Innanzitutto i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato vengono, quindi, ribaditi quei principi di liceità, correttezza e trasparenza che assumono un’importanza cruciale nell’era tecnologica.
Il trattamento, inoltre, deve essere effettuato per finalità determinate, esplicite e legittime e, successivamente, i dati devono essere sempre trattati in un modo tale che non siano incompatibile con tali finalità.
Ultimo ma non meno importante, i dati devono essere esatti, sempre aggiornati, conservati in una formato che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati e con modi che garantiscano in ogni momento sicurezza, integrità e riservatezza.
Con riguardo al principio di liceità del trattamento, lo stesso è lecito se l’interessato ha espresso il suo consenso al trattamento o se esso è necessario per l’esecuzione di un contratto, l’adempimento di un obbligo legale, la salvaguardia di interessi vitali per una persona fisica, l’esecuzione da parte del titolare di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri o il perseguimento di un legittimo interesse ove non prevalgano i diritti e le libertà del soggetto interessato .
Il consenso, quando è necessario, deve sempre essere libero, informato e fornito per iscritto, in modo chiaramente distinguibile, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.
Ed è proprio in quest’ottica che si introducono il diritto all’oblio (art. 17) il diritto di limitazione di trattamento (art. 18) nonché il diritto alla portabilità dei dati (art. 20).
Il diritto all’oblio è il diritto dell’interessato a veder cancellati i dati personali che lo riguardano.
Per la sua attuazione occorre distinguere tra due casi: se il trattamento è effettuato subordinatamente alla prestazione del consenso, la revoca dello stesso costituisce requisito necessario e sufficiente ai fini della cancellazione.
Nel caso in cui, invece, i dati personali siano stati raccolti per finalità o tipologie di trattamento per le quali il consenso non è richiesto, la cancellazione potrà essere attuata ove i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati.
I diritto di limitazione di trattamento è un diritto, posto in capo all’interessato ed esercitabile verso il titolare del trattamento, a che l’utilizzo dei dati e, quindi, il trattamento, sia limitato a quanto necessario ai fini della conservazione. Esso è esercitabile in alcuni casi particolari dallo stesso articolo elencati.
Ed infine, il diritto alla portabilità dei dati consente all’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti. Tale diritto può essere esercitato qualora: il trattamento si basi sul consenso o su un contratto e il trattamento sia effettuato con mezzi automatizzati.
Analizzato il principio di trasparenza e diritti degli interessati occorre, ora, focalizzare l’attenzione sulle novità organizzative e metodologiche introdotte dal GDPR.
2. Principio di accountability
Il principio di Accountability Privacy si può tradurre in un obbligo di responsabilizzazione e rendicontazione in capo alle Imprese.
Il Regolamento Europeo, infatti, attribuisce al titolare del trattamento la responsabilità di adottare e, soprattutto, di rispettare complesse misure tecniche, organizzative e legali idonee a garantire adeguata ed effettiva protezione dei dati personali, anche attraverso lo studio di modelli organizzativi ad hoc. Obbligo a cui si aggiunge l’onere di documentare, verificare (audit) e dimostrare che il trattamento dei dati è stato effettuato in conformità al Regolamento Europeo in materia di privacy.
L’obbligo di rendicontazione introdotto dal GDPR attribuisce alle imprese una responsabilità che non ha precedenti all’interno del Codice della privacy.
Invero, quest’ultimo prevede esclusivamente una serie di adempimenti formali (ad es. informativa, consenso, notificazione al garante etc.), ma non vi è una vera e propria responsabilizzazione delle Aziende. Al contrario il nuovo Regolamento UE introduce, per la prima volta, un principio di garanzia di effettività nei confronti dell’interessato al trattamento.
Le Aziende devono adottare e dimostrare di aver adottato modelli organizzativi che siano idonei a garantire il rispetto della normativa, soprattutto sotto il profilo della valutazione preventiva dei rischi e delle misure di sicurezza.
Per il corretto adempimento agli obblighi, di cui sopra, sarà necessaria la tenuta di un registro delle attività del trattamento dei dati personali previsto espressamente dall’art. 30 del GDPR.
Il tutto tenendo conto dei principi di Privacy by Default e by Design che si avrà modo di analizzare nel prosieguo.
3. La privacy diventa “risk based” & “by design”
L’art. 32 del Regolamento fa riferimento alla valutazione del rischio.
Invero, le aziende devono “tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura dell’oggetto, del contesto e delle finalità del trattamento, come anche de rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Le organizzazioni che trattano dati personali dovranno determinare il livello adeguato di protezione da applicare ai dati nonché modellare tutti i processi che implicano un trattamento di dati in modo che fin dall’origine siano idonei ad “attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento e le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Ciò significa che tenuto conto della best available technology dei costi (approccio pragmatico), dell’ambiente di trattamento dei dati, dei soggetti coinvolti, del perimetro di circolazione, del rischio (asset dato personale) nonchè del bene giuridico tutelato (diritto alla Privacy e alla tutela dei dati personali) occorre porre in essere misure adeguate.
È necessario, quindi, tracciare i processi Privacy secondo il principio di Data Protection By Design già allineati al Regolamento GDPR, e questo può avvenire solo sulla base della valutazione del rischio.
Un concetto, quest’ultimo, che ritroviamo non solo nell’art. 32, ma anche in numerosi altri articoli ad esempio l’art. 25 e 35, a testimonianza di come la normativa Privacy stia cambiando profondamente con il GDPR.
4. “Privacy by default”
L’art. 25 introduce non solo il principio già analizzato di privacy by design ma, altresì, il principio di privacy by default ovvero di “impostazione predefinita”.
Secondo il summenzionato articolo il titolare del trattamento deve essere in grado di garantire che siano trattati di default solo i dati personali necessari per ciascuna finalità specifica del trattamento.
Inoltre, la quantità dei dati raccolti e la durata della loro conservazione non devono andare oltre il minimo necessario per le finalità perseguite.
In tal senso, quindi, la minimizzazione costituisce una misura di riduzione del trattamento by default finalizzata a impostare a priori la massima protezione dei dati attraverso il loro minimo trattamento, sia in fase di raccolta sia in fase di trattamento successivo all’acquisizione dei dati personali, secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità.
Detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali.
5. Il responsabile della protezione dei dati personali
Occorre ora guardare la figura del Data Protection Officer, che necessita, come minimo, di due qualità oggettive e di una qualità soggettiva.
Tra le qualità oggettive rientrano la competenza giuridica unitamente ad una competenza tecnica e di security per poter operare il risk assessment, la valutazione del rischio e applicare misure di sicurezza adeguate.
Quanto, poi, alla qualità soggettiva il responsabile deve avere ottime capacità comunicative dovendo interagire sia con i dipendenti che con i vertici aziendali a cui deve riferire direttamente ed, inoltre, deve essere sempre in contatto con tutti i suddetti soggetti al fine di evitare di restare isolato all’interno dell’azienda rischiando, in tal modo, di non essere coinvolto fin dall’inizio nelle attività che prevedono il trattamento di dati personali.
Da ultimo il responsabile della protezione dei dati personali deve essere indipendente.
6. Data Breach
Secondo l’art. 4. Comma 12, per «violazione dei dati personali» si deve intendere ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Il Regolamento UE, quindi, estende ai Titolari e ai Responsabili del trattamento l’obbligo di comunicare al Garante Privacy eventuali violazioni dei dati personali a seguito di attacchi informatici, accessi abusivi, incidenti o calamità naturali, come ad es. incendi o alluvioni.
L’obiettivo di tale comunicazione è chiaramente quello di consentire al Garante Privacy di attivarsi il prima possibile, valutare tempestivamente la gravità della situazione e stabilire le misure correttive eventualmente da imporre al Titolare per ridurre al minimo i pericoli per la Privacy degli Interessati a cui si riferiscono i dati.
Il Regolamento GDPR Europeo specifica i soggetti destinatari dell’obbligo di comunicazione, entro quanto tempo la stessa deve essere inviata, le modalità e il contenuto della notifica e le sanzioni previste in caso di inosservanza della normativa.
La segnalazione deve essere effettuata dal Titolare del Trattamento in modo chiaro e specifico, nel più breve tempo possibile, e deve riportare la natura della violazione, le circostanze ad essa relative, le sue probabili conseguenze e i provvedimenti adottati (o che si intendono adottare) per porvi rimedio e attenuare i possibili effetti negativi.
Nella comunicazione deve inoltre essere indicato il Responsabile della Protezione dei dati (c.d. Data Protection Officer), con i relativi dati di contatto.
Occorre, infine, precisare che il termine entro cui effettuare la notifica al Garante Privacy varia a seconda del soggetto Titolare del trattamento.
* * *
FOCUS: LE RICADUTE SANZIONATORIE
Il Regolamento Europeo ha comportato un inasprimento delle sanzioni amministrative pecuniarie che le Autorità garanti possono infliggere ove la normativa a protezione dei dati personali non sia rispettata.
Le sanzioni sono strutturate in modo da prevedere una cifra massima che il Garante può applicare e, ove si tratti di impresa, è previsto un metodo di quantificazione alternativo, da applicarsi ove il quantum in tal modo determinato sia superiore al massimo della sanzione applicabile. Tale metodo di quantificazione consiste nel calcolo di una percentuale del fatturato mondiale annuo dell’esercizio precedente.
Nel caso in cui, quindi, la percentuale indicata dalla norma del fatturato annuo sia superiore alla sanzione massima prevista dalla norma, sarà la prima a dover essere applicata.
Più nel dettaglio, le sanzioni astrattamente applicabili sono:
a) Sanzioni Amministrative fino a Euro 10.000,00 o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente in caso di inosservanza degli obblighi del Titolare e del Responsabile del trattamento; inosservanza degli obblighi dell’organismo di certificazione; inosservanza degli obblighi dell’organismo di controllo.
b) Fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente in caso di inosservanza dei principi base del trattamento; inosservanza dei diritti degli interessati; inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali; inosservanza di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo.
c) Fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente in caso di inosservanza di un ordine correttivo dell’Autorità di Controllo.
****
Note conclusive
Il processo di adeguamento al GDPR deve necessariamente essere avviato con una Due Diligence & Gap Analysis, la fase di censimento dei trattamenti e dello stato di compliance dell’organizzazione.
Verificate le risultanze d’esame, sarà possibile quindi pianificare la portata dell’intervento da approntare per un adeguamento al Regolamento in commento.
Lo scopo è quello di dotare l’azienda di documento c.d. di Governance Privacy efficace e conforme alle prescrizioni di legge onde evitare ricadute sanzionatorie come quelle sopra esaminate.
Lo scrivente studio si rende sin d’ora disponibile per qualsiasi necessità, chiarimento o approfondimento volto a sviluppare la tematica in oggetto, mediante invio di una richiesta via mail all’indirizzo segreteria@margiottalegal.it