Il Regolamento data protection oramai è realtà. Il 25 maggio del 2018 la direttiva privacy 95/46/CE viene sostituita definitivamente dal nuovo Regolamento Ue. Non si tratta solo di un cambio di terminologia, in quanto le norme del Regolamento – diversamente da quelle della direttiva – sono direttamente vincolanti per Stati membri, imprese ed individui.
Tale Regolamento fa parte, insieme alla direttiva 2016/680, di quello che è stato battezzato “Pacchetto europeo protezione dati”.
Le novità introdotte sono diverse e significative rispetto al tessuto normativo precedente; oramai non più al passo con i tempi e con la crescente complessità tecnologica. Le principali novità che meritano di essere evidenziate, riguardano innanzitutto un cambio culturale per le imprese quali titolari del trattamento dei dati personali nonché la previsione di nuovi diritti, principi e obblighi in capo ai vari soggetti, elementi finalizzati a meglio tutelare i dati degli interessati.
In effetti la protezione dei dati personali rappresenta un settore in cui le sfide, soprattutto per le strutture economiche e produttive, sono senza frontiere: cloud computing, big data e l’Internet of things sono solo alcuni degli esempi. La realtà attuale orbita intorno alle informazioni e l’impresa è divenuta uno dei principali centri i di produzione, conservazione e gestione di dati considerando le sue diverse interazioni con clienti, utenti, fornitori e lavoratori. Nella new digital economy i dati personali sono divenuti asset da salvaguardare; di conseguenza l’impresa deve tenere sotto controllo i confini materiali delle informazioni di propria pertinenza, costruendo un effettivo ed efficace sistema di gestione e controllo data protection fatto di procedure, deleghe e misure di salvaguardia.
È su tali premesse che il nuovo Regolamento trova fondamento.
Uno dei principi che fa da architrave al sistema delle responsabilità introdotto dalla nuova normativa è il cd. principio di accountability ovvero un obbligo di rendiconto della impresa titolare delle attività che incidono sulla protezione dei dati personali ma in un’ottica proattiva. Si è voluto proporre un graduale passaggio da un approccio formalistico (come era nella vecchia disciplina), ad uno di alta responsabilizzazione sostanziale. Le imprese non dovranno più porre in essere adempimenti avvertiti come burocratici, ma dovranno adeguarsi e conformarsi alla disciplina data protection partendo da una analisi interna volta a costruire un modello data protection ad hoc per le proprie esigenze.
Per esempio il considerando n. 74 asserisce che “il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure”, inoltre, è previsto che “Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità” (considerando n. 82 e art. 30).
In tale panorama viene quindi introdotto un obbligo, per le imprese titolari del trattamento di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili.
Tuttavia, viene soltanto stabilito che “I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico”, inoltre, quanto al contenuto, viene previsto che debba contenere “ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 [… ] Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato”.
L’attività che titolari e responsabili del trattamento dati devono compiere è quella di minimizzare il rischio per i dati in modo proattivo: prevedere misure di sicurezza tecniche ed organizzative identificative dei rischi connessi al trattamento (c.d. risk-based approach) e adozione di misure adeguate tenendo in conto dei principi di trasparenza oltre ai principi di privacy by design e by default .
Una delle principali novità della riforma sul data protection è rappresentato dalla figura del Data protection officer (DPO): ruolo già previsto come eventuale nella direttiva 95/46/CE anche se con compiti diversi, ma che nel Regolamento assume una posizione centrale nel sistema di conformità delineato dalle nuove regole. In questo nuovo sistema di compliance il DPO in italiano “Responsabile per la protezione dei dati personali”, assumerà un ruolo importante. Tale nuova figura essendo concepita in posizione di centralità nella dimensione aziendale rivestirà funzioni manageriali e di supporto verso il titolare per la implementazione del modello di governance dei dati.
Nel concreto il DPO è un supervisore indipendente che dovrà essere incaricato dagli apicali sia dalle pubbliche amministrazioni che in ambito privato. Sarà obbligatorio nelle pubbliche amministrazione e negli enti pubblici, mentre nelle imprese sarà obbligatorio solo in alcune circostanze quando per esempio il trattamento riguarderà un monitoraggio regolare e sistematico dei dati personali dell’interessato su larga scala, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili oppure giudiziari, tenuto conto dell’ambito applicativo, della natura e delle finalità.
Il compito principale del DPO è quello di vigilare sulla corretta ed efficace attuazione del sistema organizzato di gestione dei dati personali nonché di supportare i ruoli di garanzia per la protezione dei dati (titolare e responsabili). Pertanto, il DPO non risponde della corretta tenuta del sistema di protezione dei dati personali dell’azienda. La funzione del DPO è, quindi, di vigilanza e non di garanzia. Una sorta di Organismo di Vigilanza (monocratico) ex d.lgs. 231/2001.
Passando ad analizzare altri aspetti, è importante evidenziare che il Regolamento è basato sul principio di semplificazione degli oneri: i singoli professionisti e le piccole e medie imprese sono escluse da un serie di adempimenti. Per esempio nei considerando nn. 89 e 91 del Regolamento si riconoscono, da una parte l’abolizione di obblighi generali ed indiscriminati di notifica e dall’altra l’obbligo per il titolare di effettuare una valutazione d’impatto sulla protezione dei dati personali (Data Protection Impact Assessment).
In effetti il Data Protection Impact Assessment (PIA) rappresenta, come declinazione del principio di accountability, un ulteriore elemento che connota un diverso approccio rispetto alla vecchia disciplina. Il Regolamento stabilisce che allorquando un trattamento di dati personali potrebbe presentare rischi specifici nei riguardi degli interessati, il titolare debba eseguire preventivamente un test di valutazione dei rischi, dettagliato ed effettivo, basato sulle specifiche circostanze del caso, tenendo conto altresì delle ragionevoli aspettative degli interessati (art. 33).
Anche per quanto concerne gli incidenti informatici, oramai una vera e propria emergenza globale nella gestione e conservazione dei dati, il regolamento prevede delle novità: la procedura di garanzia degli interessa coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) avrà una portata estesa che potrà riguardare i diversi operatori dalla sanità agli operatori di internet e altri), non essendo più limitata ai soli fornitori di servizi di comunicazioni elettroniche.
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Tuttavia Il titolare del trattamento potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti (quando non si tratti, ad esempio, di frode, furto di identità, danno di immagine, ecc.); oppure se dimostrerà di avere adottato misure di sicurezza (come la cifratura) a tutela dei dati violati; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato). In questo ultimo caso, è comunque richiesta una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare).
La semplificazione intesa come garanzia riguarda anche il rapporto che intercorre tra le multinazionali che operano sul territorio europeo e le Autorità di Controllo. In effetti altra importante novità è il cd. Sportello unico (One-Stop-Shop) che consente: 1. alle multinazionali con diversi stabilimenti in Europa di dialogare con una sola Autorità garante nazionale, 2. agli interessati, in ossequio al principio di prossimità. di rivolgersi al proprio Garante nazionale o in alternativa alle autorità giurisdizionali nazionali.
L’obbiettivo sarà, quindi, di garantire una semplificazione della gestione dei trattamenti e un approccio uniforme della disciplina. Salvo casi specifici, le imprese stabilite in più Stati membri o che offrono prodotti e servizi in vari Paesi dell’Ue, per risolvere possibili problematiche sull’applicazione e il rispetto del Regolamento potranno rivolgersi ad un solo interlocutore: cioè all’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.
Lo spirito riformatore del legislatore europeo, cercando di adattare la nuova disciplina ai nuovi fenomeni della tecnologia legata ad internet, è intervenuto anche sull’ambito di applicazione territoriale della nuova disciplina, facendo venire meno, in alcuni casi, il collegamento tra il titolare e/o responsabile con il territorio europeo.
In pratica il Regolamento si applica anche a tutte quelle imprese che pur non essendo stabilite sul territorio della unione europea pongono in essere un trattamento che riguarda: “a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione” (art.3).
Questa disposizione è importante perché consentirà di applicare il Regolamento anche a tutti gli operatori che non dispongono di un stabilimento in Europa.
Infine, in caso di violazione del Regolamento sono previste sanzioni cospicue, che in alcuni casi comportano l’applicazione fino a venti milioni di euro o del 4% del fatturato mondiale annuo; è questa ultimo tipo di sanzione, essendo agganciato al fatturato annuo, si spera, possa rappresentare un effetto deterrente e quindi di stimolo al rispetto della disciplina.
Tutto queste novità dovranno inevitabilmente fare interrogare gli operatori economici sullo stato dell’arte del livello di protezione e gestione dei dati personali al loro interno; in modo da attivarsi per arrivare nel 2018 con una struttura di compliance interna che sia effettivamente ed efficacemente integrata anche con un modello di gestione data protection.
