di Marco Maglio
Abbiamo disegnato nell'articolo precedente i pumi cinque punti della nuova mappa delle regole in materia di dati personali disegnata dal Regolamento Europeo che è in fase di pubblicazione nella Gazzett Ufficiale dell'Unione Europea.
Abbiamo disegnato nell'articolo precedente i pumi cinque punti della nuova mappa delle regole in materia di dati personali disegnata dal Regolamento Europeo che è in fase di pubblicazione nella Gazzett Ufficiale dell'Unione Europea.
Ecco qui di seguito gli altri cinque punti per completare il quadro di riferimento
6) meno burocrazie più sostanza: cessa l'obbligo della notificazione al Garante
Fino
ad oggi chi effettuata alcune tipologie di trattamenti (ad esempio
geolocalizzazione, ricerca genetica, profilazione, analisi sulla
puntualità dei pagamenti e altre tipologie di trattamenti
particolarmente invasivi) e' tenuto ad effetuare un adempimento
preventivo: si tratta della notificazione al Garante per la protezione
dei dati personali.
Con
la riforma europea che entrerà in vigore nel 2018 cambierà tutto. Viene
abolito l’obbligo di Notificazione di specifici trattamenti
all’Autorità Garante.
Tale
adempimento è considerato dal Legislatore europeo come un
obbligo che comporta oneri amministrativi e finanziari senza
aver mai veramente contribuito a migliorare la protezione dei
dati personali (in particolare per le piccole e medie
imprese).
Si
è quindi deciso di abolire tale obbligo generale di notificazione e
sostituirlo con meccanismi e procedure efficaci che si
concentrino piuttosto su quelle operazioni di trattamento che
potenzialmente presentano rischi specifici per i diritti e le
libertà degli interessati, per la loro natura, portata o finalità.
Tali trattamenti saranno l’effettuazione della valutazione di impatto nel trattamento dei dati.
7) Un nuovo protagonista della privacy aziendale: il Data Privacy Officer
Se
fino ad oggi siamo stati abituati a prevedere i tre ruoli classici nel
trattamento dei dati (titolare, responsabile ed incaricato),
prepariamoci ad un grosso cambiamento. A parte le novità puramente
terminologiche (noi italiani scopriremo infatti con sorpresa che quello
che chiamiamo Titolare nel linguaggio eruopeo si chiama Responsabile del
trattamento che è colui che definisce le finalità del trattamento,
mentre chi noi chiamiamo oggi Responsabile nella terminologia europea
viene chiamato Incaricato, mentre quelli che noi oggi in Italia
chiamiamo incaricati non sono previsti dal nuovo ordinamento europeo)
prepariamoci a veder nascere una nuova stella nel firmamento della
privacy aziendale: nascerà infatti nel 2018 la nuova figura del Data
Privacy Officer (DPO) o meglio del Responsabile della protezione dei
dati personali.
Sarà una figura obbligatoria se:
a) chi tratta i dati è un soggetto pubblico
b) si trattano rivelanti quantità di dati personali
c) si trattano sistematicamente dati sensibili o giudiziaria
Il
DPO, che può essere un consulente esterno all'azienda, deve possedere
requisiti di professionalità ed indipendenza ed autonomia di spesa
diventando una sorta di auditor interno dei processi di trattamento dei
dati personali e il referente che il Garante contatterà in caso debba
acquisire informazioni o formulare contrstazioni rivolte a chi tratta i
dati personali in azienda.
I compiti essenziali del DPO sono questi
a)
informare e consigliare il titolare o il responsabile del trattamento
in merito agli obblighi derivanti dal regolamento europeo e conservare
la documentazione relativa a tale attività e alle risposte ricevute;
b)
vigilare sull’attuazione e sull’applicazione delle politiche del
titolare o del responsabile del trattamento in materia di protezione dei
dati personali, compresi l’attribuzione delle responsabilità, la
formazione del personale che partecipa ai trattamenti e gli audit
connessi;
c)
verificare l’attuazione e l’applicazione del Regolamento europeo; la
sicurezza dei dati; il riscontro alle richieste degli interessati di
esercitare i diritti riconosciuti dal Regolamento;
d) garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
e) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
f)
controllare che il titolare o il responsabile del trattamento effettui
la valutazione d’impatto sulla protezione dei dati e richieda
l’autorizzazione preventiva o la consultazione preventiva nei casi
previsti;
g)
fungere da punto di contatto per il Garante per la protezione dei dati
personali oppure, eventualmente, consultare il Garante di propria
iniziativa;
h)
controllare che sia dato seguito alle richieste del Garante per la
protezione dei dati personali e, nell’ambito delle sue competenze,
cooperare di propria iniziativa o su richiesta dell’Autorità.
8)
I nuovi principi della protezione della privacy fin dalla sua
progettazione (privacy by design) e della protezione di default di dati e
sistemi (privacy by default).
Vengono
introdotti nel sistema normativo europeo due nuovi principi fondativi
dell'apporccio evoluto al corretto trattamento dei dati personali: la
privacy by design e la privacy by default.
Vediamo
di cosa si tratta. Privacy by design significa che la tutela dei dati
personali deve essere pensata ed organizzata fin dalla fase progettuale
della raccolta di informazioni. Diventa obbligatorio prevedere
meccanismi di protezione dei dati fin dalla progettazione delle attività
e per l'intera gestione del ciclo di vita dei dati.
Bisgonerà
analizzare i flussi di dati connessi all'attività che si vuole
effetutare e adotttare criteri che minimizzino i rischi del trattamento e
riducano le quantità dei dati trattati (si parla di minimization of
data)
Privacy
by default significa che occorrerà prevenire raccolte di dati non
necessari, per le finaltià perseguite, evitando di acquisire
inforamzioni eccedenti rispetto agli obiettivi dichisrati
nell'informativa. La privacy quindi di acquisisce come presupposto delle
attività di trattamento e cessa di essere, come è oggi, un obiettivo
secondario da perseguire rispettando adempimenti formali. La privacy
cessa di essere un mero requisito legale e diventa un elemento
intrinseco del processo di gestione delle informazioni. Questa è la vera
essenza della riforma. Chi non capisce questo sarà destinato a vagare
alla ricerca di un centro di gravità permanente. Privacy by design e by
default si fondono in un unico precetto organizzativo che diventa ,
quindi, la vera stella polare nel cammino verso il corretto trattamento
dei dati personalizza
9) viene introdotto l'obbligo di autodenuncia per le violazioni di dati patite da chi tratta dati
All'estero
esiste da tempo questa regole estesa a tutti coloro che trattano dati
personali: si parla di data breach notification, che è l'obbligo di
segnalare all'Autorità le violazioni di dati subite da chi li tratta.
Per violazione dei dati personali (c.d. “personal data breaches”), si
intende: la distruzione, la perdita, la modifica, la rivelazione non
autorizzata o l'accesso, in modo accidentale o illecito, ai dati
personali trasmessi, memorizzati o comunque elaborati.
In
Italia tale obbligo esiste solo per gli operatori di comunicazioni
elettroniche ma con la riforma europea tutti dovranno abituarsi a questo
nuovo standard di sicurezza: chi tratta dati, in caso di una
violazione, dovrà mettere in atto due differenti azioni:
-
la notificazione della violazione all’Autorità di controllo entro 72 ore dal fatto
-
la segnalazione al diretto interessato (senza ritardo ingiustificato).
Il mancato rispetto di questo obbligo comporta sanzioni penali.
Appare
chiaro che questo nuovo standard comporterà interventi significativi
per l'adozione di software di monitoraggio (cd. Software sentinella) che
segnalino immediatemente le violazioni e per l'ottenimento di adeguate
coperture assicurative che proteggano dai crescenti rischi legati al
cosiddetto cyber risk.
10) le sanzioni di nuova generazione
Cone la riforma europea si passa dalle sanzioni a cifra fissa alle sanzioni “personalizzate”.
Fino
ad oggi in Italia le sanzioni erano definite entro misure che potevano
arrivare fino a 360.000 euro salvo incrementi dovuti alle dimensioni
dell'impresa ed alla particolare gravità delle violazioni. Con la
riforma le sanzioni diventeranno molto più pesanti:
-
Fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi.
-
Fino al 4% del fatturato complessivo (consolidato) per i Gruppi societari
Si
tratta di un cambio di passo significativo. E' chiaro che queste
sanzioni sono pensate per incidere sulle condotte dei grandi gruppi
multinazionali che trattano dati in diverse aree geografiche e spesso
cercano di individuare i paradisi legali del trattamento dei dati
personali per eludere norme e criteri di comportamento definiti dalle
nazioni più rigorose.
Dulcis in fundo: consenso e profilazione
Abbiamo
completato la mappa ma non abbiamo ancora parlato di due elementi
essenziali, fino ad ora, per chi gestisce i dati a fini di comunicazione
commerciale: il consenso e la profilazione.
Cosa dice il nuovo regolamento a questo riguardo?
Con
una certa sorpresa, accolta con toni fortemente critici dai difensori
della privacy individuale, la riforma apre spazi nuovi per chi voglia
sperimentare e cogliere opportunità interessanti.
Per
quanto riguarda il consenso, che noi siamo abituati a considerare
valido solo se formulato con una dichiarazione espressa (è l'effetto del
cosiddetto sitema dell'opt in che l'Italia ha adottato con convinzione
fin dal 1997, anno di entrata in vigore della prima normativa sui dati
personali), si introduce un approccio di chiaro sapore anglosassone meno
formalista e più sostanziale.
Secondo
il nuovo regolamento europeo (così recita il Considerando 25 del testo
approvato) “il consenso dovrebbe essere espresso mediante un'azione
positiva inequivocabile con la quale l'interessato manifesta
l'intenzione libera, specifica, informata e inequivocabile di accettare
che i dati personali che lo riguardano siano oggetto di trattamento, ad
esempio mediante dichiarazione scritta, anche elettronica, o orale. Ciò
potrebbe comprendere la selezione di un'apposita casella in un sito
web, la scelta di impostazioni tecniche o qualsiasi altra dichiarazione
o qualsiasi altro comportamento che indichi chiaramente in questo
contesto che l'interessato accetta il trattamento proposto. Non dovrebbe
pertanto configurare consenso il consenso tacito o passivo o la
preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le
attività di trattamento svolte per la stessa o le stesse finalità.
Qualora il trattamento abbia più finalità, il consenso dovrebbe essere
dato per
l'insieme
delle finalità del trattamento. Se il consenso dell’interessato è
richiesto con modalità elettronica, la richiesta deve essere chiara,
concisa e non disturbare inutilmente il servizio per il quale il
consenso è espresso”.
Questo
di fatto dà spazio, entro certi limiti, a forme di consenso desunto da
comportamenti concludenti espressi mediante azioni positive da parte
dell'interessato. E' un grosso cambiamento che apre spazi nuovi rispetto
ai rigidi steccati dell'opt in che pure restano formalmente in piedi.
Va tenuto conto che la definizione di “consenso dell'interessato”
fornita dal regolamento è questa : “qualsiasi manifestazione di volontà
libera, specifica, informata e inequivocabile con la quale l'interessato
accetta, mediante dichiarazione o azione positiva inequivocabile, che i
dati personali che lo riguardano siano oggetto di trattamento.”
E'
quindi sparito il riferimento, originariamente previsto dal testo, al
carattere esplicito del consenso che, a certe condizioni si può desumere
in base al comportamento attivo dell'interessato.
Quanto
alla profilazione, che per molti consisterebbe nella semplice analisi e
clusterizzazione di un data base, il regolamento da risposte molto
precise. In particolare la riforma chiarisce che la profilazione
consiste nell'analisi di dati cui fa seguito un'azione automatica senza
l'intervento dell'uomo. Quindi se si analizzano con strumenti
informatici i dati presenti nei propri archivi e poi l'elaborazione dei
dati stessi viene sottoposta alla valutazione preventiva di una persona
prima dell'utilizzo dei dati stessi, per adattare e verificare i dati
stessi, non si effettua profilazione. Quindi non occorre un consenso
specifico per svolgere tale attività di analisi.
E
così la mappa è completa: non resta che affrontare le nuove regole,
capirle e soprattutto tenere a mente che la nuova tutela dei dati
personali è un diventato un essenziale processo organizzativo stategico
per le imprese cessando di essere un semplicistico susseguirsi di
adempimenti formali.