“Il nuovo Regolamento UE sulla protezione dei dati personali (Regolamento UE 2016/679) – Ing. Susanna Bulferetti, Studio di ingegneria StC S.r.l

 

IL NUOVO REGOLAMENTO UE SULLA PROTEZIONE DEI DATI PERSONALI (REGOLAMENTO UE 2016/679)

 

  1. L’attualità della privacy

Attualizzare il significato di privacy non può prescindere dal considerare la fondamentale evoluzione tecnologica a cui abbiamo assistito, giungendo, di fatto, ad indicare, con l’allocuzione privacy, in senso lato, il diritto di controllo sui propri dati personali, tanto più necessario dal momento in cui la tecnologia e la globalizzazione hanno preso il sopravvento.

La cronaca ne è testimonianza e la notizia di pochi giorni fa “Facebook crolla in Borsa dopo lo scandalo di Cambridge Analytica, società di consulenza che avrebbe utilizzato illecitamente i dati di milioni di utenti del social network”, riporta all’attenzione di tutti l’importanza di garantire il controllo dei dati, delle identità e delle informazioni che, una volta ottenute, possono diventare oggetto di un uso quanto meno inappropriato, soprattutto se non autorizzato. Questo è forse il più recente ed eclatante episodio che attesta quanto l’argomento della tutela del Dato personale sia importante e la portata, sotto i più diversi profili, della questione.

Si corre ai ripari, e grande interesse destano l’attuazione delle “norme relative alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”, quanto cioè previsto dal Regolamento UE 2016/679 “Regolamento o Gdpr”  che verrà applicato tra pochi giorni (25 maggio 2018) e che prevede, tra l’altro, severe sanzioni amministrative pecuniarie (art. 83) e penali laddove previste (art. 84) in caso di violazione del diritto privacy.

  1. Cenni sull’evoluzione normativa della privacy

Come noto, la gestione della privacy ha radici lontane ed è già stata affrontata in modo articolato nella prima direttiva europea in tema di tutela e protezione dati personali, la cosiddetta “Direttiva madre” (95/46/CE) nel lontano ottobre 1995, che con l’attuazione del Regolamento UE  2016/679 verrà abrogata. La “Direttiva madre” rappresenta una pietra miliare ed i suoi principi ispiratori restano validi, ma nel tempo sempre più forte è divenuta l’esigenza di assicurare omogeneità ed evitare la frammentazione della normativa nei diversi Stati membri dell’UE. Il “Regolamento o Gdpr” è entrato in vigore il 25 maggio 2016, ai sensi dell’art. 99. Il legislatore europeo ha scelto di concedere una finestra di due anni per l’applicazione di detto decreto, al fine di permettere ad ogni Stato membro di adeguare il proprio ordinamento giuridico al nuovo assetto imposto appunto dal Regolamento. L’art. 13 della Legge 163/2017 prevede che il nostro Governo adotti, in realtà entro 6 mesi a decorrere dal 25 ottobre 2017, uno o più decreti legislativi “al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento”. Si assisterà pertanto a breve, all’abrogazione delle disposizioni del DLgs 30 giugno 2003 n. 196 (il “Codice privacy”) incompatibili con le disposizioni del Regolamento, oltre che alla modifica del “Codice privacy” in accordo con quanto previsto dal Regolamento e, aspetto rilevante, all’adeguamento del “Codice privacy” per quanto riguarda il sistema sanzionatorio penale e civile in accordo con il Regolamento. Ad ogni modo si rammenta che il Regolamento, per sua stessa natura, sarà immediatamente applicabile, senza necessità di recepimento.

  1. Le principali novità introdotte dal “Regolamento o Gdpr”

Richiamati brevemente alcuni aspetti di carattere generale, occorre quindi entrare nel merito del Regolamento per coglierne le vere innovazioni: maggiori responsabilità in capo al Titolare  e/o Responsabile che devono implementare idonee Misure di sicurezza (accountability) volte a garantire e provare il rispetto del Regolamento nel proprio agire, l’espressione di un consenso esplicito e consapevole da parte dell’Interessato, il riconoscimento di fondamentali diritti dell’Interessato e nuovi obblighi in capo al Titolare. Non più quindi un generico consenso, magari verbale, ma una vera e propria presa di coscienza – il Considerando 39 del Regolamento prevede tra l’altro l’uso di un linguaggio semplice e chiaro – circa le finalità del trattamento, i soggetti coinvolti, la durata per la gestione dei Dati che diviene strettamente necessaria per la finalità dichiarata. Tutto ciò garantito da un vero e proprio Sistema di sicurezza, in grado anche di facilitare l’attribuzione delle responsabilità tra i diversi attori, nel caso di violazione o non conformità nel trattamento dei Dati e delle sanzioni di carattere amministrativo pecuniario, decisamente inasprite e penali laddove previste.

  1. L’impianto del Regolamento / Riflessioni su alcuni importanti aspetti

Il Regolamento si applica solo al trattamento dei dati personali di persone fisiche (art. 1) e riguarda trattamenti interamente o parzialmente automatizzati o non automatizzati, se i dati sono custoditi in un archivio o destinati a figurarvi (art. 2). Non si applica (art. 2) ai trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico o effettuati da autorità di pubblica sicurezza. All’art. 3 viene trattato l’”Ambito di applicazione territoriale”, notevolmente ampliato, che prevede l’applicazione del Trattamento di Dati personali secondo il Regolamento, nelle seguenti fattispecie: se il Titolare o Responsabile è stabilito nella UE, se il trattamento ha ad oggetto Dati personali di interessati che si trovano nell’UE; se il Trattamento è effettuato da un Titolare stabilito in uno Stato extra UE  soggetto al diritto di uno Stato UE in virtù del diritto internazionale pubblico. All’art. 4 sono introdotte nuove definizioni, tra le quali trovano declinazione le definizioni di alcune fattispecie di dati personalidati geneticidati biometrici, dati relativi alla salute, unitamente ad alcune nuove definizioni: profilazione (art. 4 par. 4) cioè “qualsiasi forma di trattamento automatizzato di Dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, …l’ubicazione o gli spostamenti di detta persona fisica”, che in linea generale è vietata a meno che non vi siano circostanze specifiche, tra le quali il chiaro consenso informato dell’interessato, pseudonimizzazione (art. 4 par. 5) che consiste nel “trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive…”, consenso dell’interessato (art. 4 par. 11) “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Sempre all’art. 4 vengono modificate alcune definizioni, tra cui quella di Dato personale, trattamento, Titolare del trattamento, Responsabile del trattamento e Terzo. All’art. 5 vengono introdotti i Principi applicabili al trattamento di dati personali: liceità, correttezza, trasparenza. Vengono inoltre chiariti alcuni aspetti fondamentali circa i dati raccolti: devono essere raccolti per finalità determinate, esplicite e legittime, adeguati, pertinenti e limitati a quanto necessario per le finalità per le quali sono trattati, esatti e se necessario aggiornati, conservati in modo che sia permessa l’identificazione degli interessati per un tempo non superiore al conseguimento delle finalità per cui sono trattati, trattati in modo che sia garantita una adeguata sicurezza dei dati personali.

L’art. 6 chiarisce la Liceità del trattamento, che passa necessariamente per le condizioni espresse nel Regolamento, tra cui il consenso dell’interessato, l’esecuzione di un contratto, l’adempimento di un obbligo legale, l’esecuzione di un compito di interesse pubblico, il perseguimento di un interesse legittimo (quest’ultimo non applicabile per le Pubbliche Amministrazioni). Ciò comporta che per ogni Trattamento sia specificata la base giuridica che lo giustifica e spetta al Titolare, per il principio di accountability, dimostrare di aver adempiuto alla raccolta del consenso. L’art. 7 introduce il Diritto di revocare il consenso da parte dell’interessato e l’Art. 8, Art. 9 e Art. 10 approfondiscono alcuni aspetti relativi rispettivamente al Consenso dei minori, il Trattamento di categorie particolari di dati personali (sensibili) che presuppone il Consenso esplicito dell’interessato e di quelli relativi a Condanne penali e reati.  Il Capo III tratta i Diritti dell’Interessato e si articola in diverse sezioni, tra cui: Trasparenza e modalità (Art. 12), Informazione ed accesso ai dati personali (Art. 13 – Art. 15), Rettifica e cancellazione (Art. 16 – Art. 20) Diritto di opposizione (Art. 21 e Art. 22). Quanto previsto nelle succitate Sezioni si traduce concretamente nell’obbligo per i Titolari di informare gli Interessati in modo chiaro, conciso e trasparente circa il Trattamento che intendono effettuare (Art. 12 – Art. 14) oltre che nel fornire esplicite ed ulteriori informazioni circa il Diritto dell’interessato ad opporsi al Trattamento dei Dati personali che lo riguardano (Art. 13). L’innovativo approccio del Regolamento si basa senz’altro sul nuovo concetto di Consenso quale risultato di un comportamento attivo da parte dell’Interessato, che ha chiaramente manifestato l’intenzione di far trattare i suoi Dati personali. La possibilità inoltre di esercitare i Diritti previsti nel Regolamento (Art. 15 – Art. 22) da parte dell’Interessato è senz’altro in sintonia con questo fattivo e nuovo approccio. Il Regolamento al Capo IV “Titolare del trattamento e responsabile del trattamento” introduce dei nuovi obblighi in capo a queste fondamentali figure. In particolare (Art. 24) “il Titolare del trattamento deve mettere in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al presente Regolamento. Dette misure sono riesaminate ed aggiornate qualora necessario.” Per dimostrare il rispetto degli obblighi in capo al Titolare, possono essere utilizzate l’adesione ai Codici di condotta (Art. 40) o ad un Meccanismo di certificazione(Art. 42).  All’Art. 28 è contemplata la possibilità di individuare un Responsabile del trattamento, qualora il trattamento debba essere effettuato per conto del Titolare. E’ obbligo per il titolare di avvalersi di soggetti che garantiscono il rispetto del Regolamento. Attraverso un “contratto o altro atto giuridico” a norma del diritto UE, viene sancito il vincolo tra il Responsabile del trattamento ed il Titolare del trattamento, nel merito: l’oggetto del trattamento, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento.  Importante novità introdotta nel Regolamento è la tenuta del Registro delle attività di trattamento (Art. 30), a cura del Titolare o, se applicabile, del suo Rappresentante, nel quale vengono riportati, a titolo esemplificativo, i riferimenti ed i contatti del Titolare, l’indicazione dei Dati trattati, le Finalità del trattamento, gli interessati, le categorie di destinatari a cui i Dati sono stati o saranno comunicati, e ove possibile una descrizione generale delle misure di Sicurezza dei dati personali, tecniche ed organizzative di cui all’Art. 32 par.1. Anche il Responsabile è tenuto alla redazione del Registro. Il Regolamento (Art. 30 par. 5) esenta i Titolari che hanno meno di 250 dipendenti dal tenere il registro, salvo il caso in cui trattino Dati sensibili o siano presenti elevati rischi per gli Interessati. In questo modo non è più obbligatoria la notifica all’Anc (Autorità di controllo), ma è necessario esibire tale registro all’Anc (Autorità prevista nel Capo VI, Art. 51 – Art. 59), su richiesta. All’Anc dovrà essere invece comunicata entro 72 ore la Violazione dei dati personali (Data breach) (Art. 33), in applicazione della procedura di gestione di tale violazione, di cui deve rimanere traccia anche nell’organizzazione del Titolare. Si ricorda l’opportunità di adeguare le polizze assicurative in relazione a tale rischio! Tale accadimento dovrà essere comunicato tempestivamente anche all’Interessato (Art. 34), unitamente alle informazioni circa le misure di sicurezza implementate per porvi rimedio o attenuarne gli impatti. Un processo importante, previsto all’Art. 35, da porre in atto prima di un Trattamento potenzialmente lesivo per i diritti e le libertà delle persone fisiche, è la Valutazione di impatto privacy (Vip) sulla protezione dei dati personali. Nella fattispecie è lo strumento atto a valutare i potenziali rischi di uno o più Trattamenti, a dimostrazione della conformità dell’operato del Titolare alle norme del Regolamento. E’ previsto che l’Autorità di controllo stenda un elenco delle tipologie di trattamento soggette o meno a tale procedura. La Sezione IV (Art. 37 – Art. 39) è interamente dedicata all’introduzione di una nuova figura: il Responsabile della protezione dei dati “Data Protection Officer (DPO)”. La sua designazione è obbligatoria se “il trattamento è effettuato da una autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali”, “le attività principali del Titolare del trattamento o del responsabile consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala”, oppure “le attività principali del Titolare del trattamento o del Responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’Art. 9 o di dati relativi a condanne penali e a reati di cui all’Art. 10”. Il DPO è designato in funzione delle qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati. E’ figura apicale e può essere anche un consulente esterno, che svolge i suoi compiti in base ad un contratto di servizi. All’Art. 39 sono elencati i compiti attribuiti al DPO. Il Capo V disciplina i “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” (Art. 44 – Art. 50). Il Capo VI (Art. 51 – Art. 59) è incentrato sulle “Autorità di controllo indipendenti”, di cui già brevemente accennato. Il Capo VII è dedicato alla “Cooperazione e coerenza” (Art. 60 – Art. 76). A seguire, nel Capo VIII (Art. 77 – Art. 84) sono affrontati i temi dei “Mezzi di ricorso, responsabilità e sanzioni”. E’ in questo Capo che si trovano il “Diritto al risarcimento dei danni” (Art. 82) secondo cui il Titolare ed il Responsabile (in alcune fattispecie di comportamento) sono tenuti a risarcire all’interessato i danni (siano essi materiali o immateriali) subiti in ragione di un trattamento illecito, qualora Titolare e Responsabile non siano in grado di dimostrare che l’evento dannoso non è loro imputabile in alcun modo. All’Art. 83 vengono illustrate le “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, che continuano ad essere “effettive, proporzionate e dissuasive”, in ragione anche degli elementi riportati al par. 2. Ai par. 4 e par. 5 sono riportati i massimali delle sanzioni amministrative pecuniarie inflitte, che possono arrivare a 20 milioni di € per le persone fisiche e al 4% del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa, per i casi di violazioni e non conformità. L’Autorità competente ad infliggere le sanzioni è l’Anc, che decide se e quanto sanzionare rispettivamente Titolare e Responsabile del trattamento. All’Art. 84 vengono introdotte le “Sanzioni” (chiaramente non amministrative). In questo caso viene lasciata discrezionalità a ciascun Paese, all’interno del proprio ordinamento giuridico nazionale, in merito all’introduzione di norme penali. Dette disposizioni è previsto che siano notificate alla Commissione entro il 25 maggio 2018. In questo ambito potrà venir meno il principio di omogeneità e non frammentazione della normativa, che invece ha ispirato l’intero Regolamento.

  1. Alcune considerazioni finali

L’approccio al tema, peraltro come si ricordava in apertura, di grande interesse, trova nel Regolamento un utile guida, in attesa di sapere, tra l’altro, le modifiche che il Codice privacy subirà.

Grande interesse nasce senz’altro dalla volontà ed esigenza che ciascuno di noi nutre di garanzia del rispetto della propria libertà e di difesa del proprio patrimonio identitario, in un mondo sempre più affannato e confuso, fatto di notizie, ultimamente spesso fake news, proposte falsate, dove dietro alla nostra libertà di scelta spesso si celano lacune di conoscenza per una scelta che si riveli davvero consapevole.

Principi sacrosanti, condivisibili e assolutamente nobili ispirano il Regolamento, ma spesso ci si chiede se la sua attuazione sarà per adempiere a norme peraltro severe, o se davvero più nobile e cioè il rispetto dei diritti e la salvaguardia della libertà delle persone. Per avere contezza di ciò dovremo attendere e vedere l’evoluzione della privacy; solo così sapremo se siamo andati nella giusta direzione, tutti uniti, cogliendo appieno lo spirito che ha ispirato questo Regolamento.

Per ora siamo chiamati ad impegnarci perché si tratta di una materia in continua evoluzione e che presuppone un processo aziendale che, nello spirito del Regolamento, deve essere oggetto di costante aggiornamento e revisione, nella consapevolezza per le aziende, che è necessaria la diffusione della cultura del Dato, una assidua e seria formazione degli incaricati che a vario titolo sono coinvolti nella gestione dei Dati, ciascuno in relazione ai trattamenti che effettua, e la necessità di innestare un vero e proprio circolo virtuoso in grado di accogliere le importanti istanze e prassi introdotte dal Regolamento e dalla normativa in evoluzione, traducendole in azioni concrete.

Non può esistere un “pacchetto privacy” valido per tutti, ma il percorso che ciascuno dovrà affrontare sarà “cucito” sulla propria realtà aziendale, e come già ricordato, potrà subire modifiche, aggiornamenti, implementazioni ogni qualvolta anche la realtà aziendale stessa subirà delle evoluzioni. In attesa degli inevitabili sviluppi che si delineeranno nei prossimi giorni, non ci resta che augurare e augurarci buon lavoro!

 

Dott. Ing. Susanna Bulferetti, Ph.D. – Studio di ingegneria “stC S.r.l. Bergamo”

Annunci
Explore posts in the same categories: Articoli

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...


%d blogger hanno fatto clic su Mi Piace per questo: