Privacy e nuovo regolamento europeo: cosa cambia per aziende e professionisti?

 

privacy pc

 

INTRODUZIONE

La valutazione di impatto privacy (la sigla inglese è DPIA: data protection impact assessment), è una procedura attraverso la quale l’azienda può valutare i rischi cui sono sottoposti i trattamenti dei dati al fine di mettere a punto tutte le misure necessarie per attenuare i rischi legati al loro utilizzo.

La valutazione deve essere eseguita prima di ogni trattamento dei dati o, se già esiste una procedura, se variano i rischi cui sono sottoposti i dati all’interno del contesto in cui vengono utilizzati.

Dunque il DPIA si configura come un documento “dinamico”, in continua evoluzione e necessita di riesame, ad intervalli regolari e continuativi.

NOVITÀ INTRODOTTE DAL REGOLAMENTO EUROPEO GDPR

Il Regolamento europeo 679 del 2016 (GDPR), è stato approvato dalla U.E. due anni fa. La sua efficacia è stata spostata al 25 maggio 2018, così da consentire agli interessati (pubbliche amministrazioni, imprese, cittadini), di potersi adeguare. Per coordinare il regolamento e la normativa nazionale, la legge di delegazione europea (legge 163/2017), ha affidato ai Governi dei Paesi Membri una delega di sei mesi che scadrà il 21 maggio; è in fase di approvazione un decreto legislativo ad hoc.

Nel nostro Paese vi è forte preoccupazione rispetto ai tempi perché il Regolamento comunitario ha diretta e automatica esecuzione negli ordinamenti giuridici nazionali  (quindi, anche in quello italiano) e da più parti si chiede, sulla scia di quanto fatto dal Garante francese, un grace  period, ovvero un lasso di tempo  in cui l’applicazione del regolamento sia meno severa, anche perché il regolamento contiene disposizioni che rendono laboriosa l’applicazione operativa.

In assenza di ciò, è necessario considerare che dal 25 maggio prossimo la “nuova privacy” è obbligatoria e che tutti i soggetti (aziende, professionisti e P.A.) si devono adeguare.

Inoltre, in base al principio dell’accountability spetterà all’azienda (o agli altri soggetti sopra citati) dimostrare di essere conforme: ciò significa che il problema della dimostrazione della correttezza del proprio operato non sorge solo in caso di inadempimento – reale o presunto – ma anche senza alcun indizio di abusi od omissioni.

Cosa cambia per le aziende e per i professionisti

Gli adempimenti legati al nuovo Regolamento europeo, impongono alle aziende di redigere il documento di “valutazione di impatto privacy” prima di qualunque utilizzo dei dati.

Le aziende, così come la P.A, e i professionisti, sono chiamati a mappare la gestione dei dati e cercare di individuare le aree più esposte sotto il profilo:

– della delicatezza delle informazioni trattate;

– delle motivazioni d’uso (ad esempio, indirizzi postali ai fini di corrispondenza personale producono minor impatto rispetto ad un loro utilizzo a fini di direct marketing);

– delle misure di sicurezza adottate (se esistono cioè postazioni informatiche prive di credenziali di accesso o con credenziali di gruppo ecc… );

– dei contesti di utilizzo.

I responsabili datori di lavoro devono quindi attivarsi per mettere a norma le aree più critiche, avvalendosi, per maggior garanzia, di un esperto in materia.

Il sistema aziendale data protection si fonda sui seguenti adempimenti obbligatori:

  1. Supervisione del sistema da parte di uno specifico organo indipendente (art.37);
  2. Tenuta della documentazione di sistema (art.30) e verifiche;
  3. Progettualità e struttura dell’intero modello data protection connotato dalla individuazione di specifici profili /ruoli (artt.24 – 27- 28 – 29 – 37 – 39)
  4. Responsabilizzazione del titolare (art.24)
  5. Adozione di adeguate misure tecnico-organizzative specifiche per la conformità (art.24)
  6. Valutazione di adeguatezza e d’impatto (art. 35)
  7. Disciplina delle relazioni infragruppo e rapporti con terze parti (art.28)

COME GESTIRE I DATI

Il principio fondante di questa riforma è la accountability, ovvero la responsabilizzazione dei titolari del trattamento che sono liberi di valutare le modalità attraverso le quali conformarsi alla norma ma che devono rispondere della correttezza del loro operato. Ciò considerato, dato che l’adeguamento alla norma è rimesso alla valutazione dell’azienda o ente, bisogna che il titolare del trattamento dei dati sia in grado di valutare il contesto (o contesti) in cui essi vengono utilizzati. Giudizio delicato sia in termini quantitativi che in termini qualitativi perché tali concetti raramente sono presenti nella cultura aziendale.

A CHI SI APPLICA IL NUOVO REGOLAMENTO EUROPEO

Il Regolamento si applica sia al settore pubblico che a quello privato.

L’IMPORTANZA DELL’INFORMATIVA

L’informativa privacy cambia è perciò è indispensabile che tutti i soggetti che trattano i dati la aggiornino.

FOCUS: LA VALUTAZIONE DI IMPATTO PRIVACY (DPIA)

L’art. 35 del Regolamento europeo, chiarisce che “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Prevede la norma che “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 4.”

Tuttavia il gruppo europeo dei Garanti della Privacy suggerisce di valutare l’adozione della procedura DPIA che in inglese sta per data protection impact assesment per tutti i trattamenti dei dati e non solo nei casi in cui il Regolamento ne preveda l’obbligatorietà.  In particolari i Garanti hanno individuato alcuni trattamenti che richiedono una valutazione d’impatto in virtù del loro rischio intrinseco ed hanno individuano nove criteri.

  1. i trattamenti valutativi o di scoring, compresa la profilazione;
  2. il “processo decisionale automatizzato che ha effetto giuridico”;
  3. il “monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico” (articolo 35, paragrafo 3, lettera c))”;
  4. i “dati sensibili o dati aventi carattere altamente personale: questo criterio include categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10”.
  5. il “trattamento di dati su larga scala”;
  6. la “creazione di corrispondenze o combinazione di insiemi di dati, ad esempio a partire da dati derivanti da due o più operazioni di trattamento svolte per finalità diverse e/o da titolari del trattamento diversi secondo una modalità che va oltre le ragionevoli aspettative dell’interessato”;
  7. i “dati relativi a interessati vulnerabili”: ad esempio: minori, lavoratori ec..
  8. l’“uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, quali la combinazione dell’uso dell’impronta digitale e del riconoscimento facciale”;
  9. “quando il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto(articolo 22 e considerando 91). Ciò include i trattamenti che mirano a consentire, modificare o rifiutare l’accesso degli interessati a un servizio oppure la stipula di un contratto. Un esempio di ciò è rappresentato dal caso in cui una banca esamina i suoi clienti rispetto a una banca dati di riferimento per il credito al fine di decidere se offrire loro un prestito o meno”.

 

LA FORMAZIONE: CENNI 

Il nuovo regolamento privacy introduce l’obbligo della formazione a tutti i livelli, all’interno delle aziende, delle Pubbliche Amministrazioni e per i professionisti.  Coloro che non si adeguano rischiano elevate sanzioni.

LE SANZIONI

Il GDPR inasprisce le sanzioni amministrative pecuniarie stabilendo tetti massimi molto più elevati di quelli sino d’ora previsti. Nel dettaglio:

  • per le violazione degli obblighi del titolare e del responsabile (art.25 sulla privacy by design/by default e art. 32 sulla sicurezza), la sanzione prevista può arrivare sino ad un massimo di 10 milioni di euro al 2% del fatturato totale annuo se superiore;
  • nel caso di violazioni dei principi fondamentali in materia di protezione dei dati personali, dei diritti dell’interessato e per l’inosservanza degli ordini dell’autorità di controllo o degli obblighi emanati dagli Stati Membri, le sanzioni possono arrivare a 20 milioni di euro o al 4% del fatturato, se superiore.

Il Regolamento europeo, lascia agli Stati Membri la possibilità di prevedere sanzioni penali.

Per maggiori informazioni contattateci o chiamate il numero +39 333 1328522.

Si visiti il sito internet del Garante per la protezione dati personali con una sezione dedicata al GDPR.

Si leggano le linee-guida concernenti valutazione impatto sulla protezione dati.

Il tema del Regolamento Europeo GDPR e delle misure da adottare è ampio e complesso. Il presente contributo non ha carattere di esaustività ma il solo scopo di fornisce alcune informazioni di base e non sostituisce il parere di un professionista.