Regolamento Europeo 2016/679 – GDPR

Il prossimo 25 maggio 2018 acquisterà piena applicazione il Regolamento UE 2016/679, meglio noto come GDPR (General Data Protection Regulation), che rappresenta un punto di svolta, fortemente voluto dall’Unione Europea, in materia di protezione dei dati personali.

Tale norma Europea rientra in un più ampio ambito di potenziamento delle attività digitali, che rappresenterà, nell’intento e previsione degli Organi Comunitari, una rivoluzione digitale, e che potrà determinare un notevole sviluppo economico (stimato in circa 415 Miliardi di Euro/anno)

Questo New Deal digitale necessita però di una particolare attenzione e tutela per la protezione delle persone fisiche “con riguardo al trattamento di dati di carattere personale”.

Tale sviluppo economico potrà avvenire solo in presenza di una particolare attenzione verso i dati personali, con conseguente incremento di fiducia da parte delle persone fisiche/consumatori nei confronti delle tecnologie digitali.

Cos’è il GDPR – Come è strutturato il nuovo regolamento per la Privacy

Il Regolamento è costituito da 99 articoli, corredati da 173 Considerando, i quali rappresentano una fonte diretta interpretativa ed esplicativa dei principi rientranti nel testo degli articoli medesimi.

Il principio che ha ispirato l’Unione Europea è stato quello di voler creare una unica normativa relativa alla protezione dei dati personali ed alla sicurezza, valida per tutti gli Stati Membri e superare le difformità che esistevano tra le varie legislazioni nazionali.

Al fine di garantire l’uniformità di applicazione del testo regolamentare, l’Unione ha previsto l’esistenza di un Data Protection Board, Organo che di fatto controllerà e supervisionerà le Data Protection Authority nazionali.

Il necessario punto di partenza nell’analisi del Regolamento non può che essere l’oggetto della norma, che letteralmente viene indicato nella “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”; sarà inoltre necessario comprendere ciò che viene denominato per “Dato” meritevole di tutela.

GDPR – Le tipologie di dati sensibili

L’Art 4 definisce il significato dei molteplici istituti e concetti regolati nel testo e, tra gli altri, indica quali siano i dati posti a tutela, suddividendoli nelle seguenti tipologie:

  • Dato personale – informazione riguardante una persona fisica identificata o identificabile
  • Dati genetici – dati personali relativi alle caratteristiche genetiche di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica
  • Dati biometrici – dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono o confermano l’identificazione univoca (immagine facciale o dati dattiloscopici)
  • Dati relativi alla salute – dati personali attinenti alla salute fisica o mentale di una persona

Necessario appare inoltre comprendere il concetto di trattamento, che viene definito come qualsiasi operazione svolta per attività commerciali e professionali, che ha per oggetto i dati personali, come la raccolta, la registrazione, l’organizzazione, ecc.

Il principio generale che permea l’intero impianto regolamentare è quello della Accountability, che rappresenta una innovazione legislativa per il nostro continente, e che assegna al titolare del trattamento l’obbligo di adottare tutte le misure adeguate ed efficaci affinchè vengano rispettati i dettami di tutela dei dati, ed inoltre sia in grado di dimostrare la conformità delle attività di trattamento con il regolamento medesimo.

Trattamento dati personali, chi è autorizzato a fare cosa

I soggetti autorizzati alla trattazione dei dati sono:

  • Il Titolare del trattamento (Data Controller) – soggetto responsabile direttamente e personalmente per il trattamento dei dati, che determina le finalità ed i mezzi del trattamento e che deve porre in essere le misure tecniche ed organizzative adeguate per la tutela dei dati.
  • Il Responsabile del trattamento (Data Processor) – soggetto che tratta i dati personali per conto del titolare del trattamento ed è da questi designato.
  • Rappresentante – soggetto all’interno dell’Unione Europea nominato dal Titolare o dal Responsabile del trattamento ove questi non siano stabiliti all’interno dell’Unione, nel caso in cui vengano trattati dati personali di interessati che risiedono nell’Unione.
  • Incaricato del trattamento – non previsto in modo esplicito dal Regolamento, ma identifica qualsiasi soggetto che agisca sotto l’autorità e controllo del titolare o del responsabile e che abbia l’accesso ai dati trattati.

Consenso per il trattamento dei dati personali

Particolare attenzione viene posta sul Consenso per il trattamento dei dati che, al momento della raccolta presso l’interessato, deve essere accompagnato da attenta e chiara informativa, la quale dovrà contenere:

  • l’identità ed i contatti del titolare del trattamento e del responsabile della protezione dei dati
  • le finalità del trattamento e gli eventuali destinatari dei dati personali
  • l’eventuale intenzione del titolare del trattamento di trasferire i dati personali ad un paese terzo
  • il periodo di conservazione dei dati personali
  • l’esistenza del diritto dell’interessato a chiedere al titolare del trattamento l’accesso ai dati personali, la rettifica o la cancellazione, la limitazione del trattamento, la portabilità dei dati
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento
  • l’esistenza del diritto di proporre reclamo ad un’autorità di controllo
  • l’esistenza di un eventuale processo decisionale automatizzato, compresa la profilazione.

Dall’analisi del regolamento si comprende come sia fondamentale per il legislatore Europeo il fattore Sicurezza.

Palese infatti appare tale principio laddove vengono previsti obblighi stringenti in capo al titolare ed al responsabile del trattamento, i quali dovranno adottare le misure tecniche ed organizzative adeguate al fine di garantire un livello di sicurezza in relazione al rischio (ad esempio la cifratura, la pseudonomizzazione, la resilienza dei sistemi).

GDPR – Nuovi Organismi introdotti dal Regolamento.

Responsabile della Protezione dei Dati (Data Protection Officer) l’art. 37  introduce questa nuova figura, designata dal titolare del trattamento, che è obbligatoria per alcune tipologie di soggetti, tra i quali la Pubblica Amministrazione, i soggetti che trattano dati particolari quali quelli sanitari, o quelli su larga scala. La nomina del DPO deve essere comunicata all’autorità di controllo.

I suoi compiti sono fondamentalmente quelli di:

  • informare e fornire consulenza circa gli obblighi di cui al Regolamento,
  • sorvegliare l’osservanza del Regolamento in materia di protezione dei dati personali,
  • fornire un parere in ordine alla valutazione dell’impatto sulla protezione dei dati,
  • essere un punto di riferimento e di raccordo con l’autorità di controllo in merito a questioni connesse al trattamento.

Il Regolamento non esprime con precisione i requisiti che deve avere il DPO, salvo indicare che la sua designazione deve essere effettuata in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.

Con un documento integrativo del 13 dicembre 2016 il Working Party 29 ha chiarito le caratteristiche professionali che devono essere possedute del DPO (legali, tecnologiche e di processo), con necessità di indicare il livello di tali caratteristiche in ragione della sensibilità, complessità ed ampiezza dei dati trattati.

Registro delle attività di trattamento dei dati sensibili

Si tratta di uno strumento fondamentale, analogo al Documento Programmatico della Sicurezza, che non rappresenta un mero documento formale, ma al contrario si concretizza come un necessario processo per la corretta gestione dei dati personali.

Il Regolamento prevede l’obbligo di tenuta del Registro per le Pubbliche Amministrazioni, le Aziende con numero di dipendenti maggiore di 250, o per quei soggetti che trattino dati sensibili o su larga scala.

Il Registro, che deve essere mantenuto in forma scritta (cartacea o elettronica) dovrà contenere informazioni dettagliate ed aggiornate in ordine a tutte le attività espletate in funzione del trattamento, quali:

  • il nome del Titolare del trattamento, e del DPO
  • le finalità del trattamento e durata della conservazione dei dati
  • la descrizione delle categorie di interessati e delle categorie dei dati (dipendenti, fornitori, clienti, ecc)
  • i destinatari a cui i dati personali sono stati o saranno comunicati e gli eventuali trasferimenti di dati personali verso un paese terzo e la documentazione relativa alle garanzie adeguate (rispetto dei paesi terzi al livello di obblighi e sicurezza previsti dal Regolameto)
  • una descrizione generale delle misure di sicurezza tecniche e organizzative.

Privacy By Design e Privacy By Default

Si tratta di assoluta novità che rappresenta la necessità di porre in essere adeguate misure di protezione dei dati, sin dalla progettazione strutturale dei processi, misure che dovranno essere poi mantenute nel corso di tutto l’arco di gestione dei dati, al fine di garantire il costante controllo sulla sicurezza e la tutela dei dati trattati.

Il Titolare del trattamento dovrà pianificare le più accurate misure tecniche adeguate alla corretta gestione del trattamento dei dati, quali la minimizzazione dell’elaborazione dei dati, la pseudonomizzazione, la crittografia dei dati.

Valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment)

E’ lo strumento necessario a valutare i rischi connessi all’attività di trattamento. Il Regolamento prevede l’obbligo di realizzare una valutazione dell’impatto dei trattamenti dei dati, solo in particolari casi di possibili rischi (valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basate su un trattamento automatizzato, compresa la profilazione, il trattamento su larga scala, la sorveglianza sistematica su larga scala di una zona accessibile al pubblico).

La valutazione che dovrà contenere:

  • descrizione dei trattamenti previsti e delle finalità del trattamento
  • valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità
  • valutazione dei rischi per i diritti e le libertà degli interessati
  • le misure previste per affrontare i rischi

Le risultanze della valutazione dovranno essere la base per la progettazione delle misure di sicurezza adeguate ai rischi rilevati.

Violazione dei dati (Data breach)

Indica la perdita, distruzione o divulgazione dei dati trattati. Tale violazione può avvenire a seguito di fatti che rientrano in varie tipologie di azioni:

  • Errore umano – identifica la possibile fuoriuscita non voluta di dati in modo incontrollato e non tracciato (smarrimento di smartphone, tablet, PC, usb drive).
  • Attività infedele – attiene alle attività che possono essere compiute ad opera di personale interno al soggetto titolare dei dati, in grado di accedere ai dati (modifica non autorizzata, rivelazione non autorizzata, furto).
  • Accesso abusivo – attiene alla attività illecita di accesso non autorizzato ai dati attraverso i sistemi informatici da parte di soggetti esterni (hacker), con la finalità di acquisire e divulgare (o minacciare) i dati medesimi.

Il Titolare del trattamento ha l’onere di porre in essere tutte le misure adeguate al fine di evitare tale patologica conseguenza, che può avere gravi ripercussioni economiche per l’ azienda coinvolta.

L’articolo 33 del Regolamento ha introdotto l’obbligo di notifica dell’avvenuta violazione all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento di conoscenza del “Breach”.

L’articolo 34 prevede inoltre l’obbligo di dare comunicazione della violazione all’interessato, nei casi in cui essa sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Regolamento ha posto anche la necessità di dare formale comunicazione all’Autorità di controllo competente, dell’avvenuta violazione, con tali elenti necessari:

  • la descrizione della natura della violazione dei dati, con indicazione delle categorie e del numero degli interessati
  • la descrizione delle probabili cause della violazione e delle conseguenze di essa
  • il contatto del responsabile della protezione dei dati
  • la descrizione delle misure adottate o previste in merito ai rimedi per ripristinare la corretta gestione dei dati e per attenuare gli effetti negativi.

Diritti previsti dal GDPR

Il GDPR ha introdotto diritti riconosciuti in capo ai soggetti fisici (utenti, clienti, dipendente, ecc):

Diritto di accesso

L’interessato ha il diritto di ottenere dal Titolare del trattamento informazioni relative ai propri dati, con particolare riguardo

  • alle finalità del trattamento e periodo di conservazione dei dati personali
  • alle categorie di dati personali trattati
  • i destinatari a cui i dati personali sono stati o saranno comunicati, con particolare evidenza se i destinatari siano in paesi terzi
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione

Diritto di rettifica

L’interessato ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti.

Diritto all’oblio

L’’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo. Il Regolamento ha inoltre previsto che il Titolare abbia l’obbligo di cancellare i dati personali senza ingiustificato ritardo nei casi in cui:

  • i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti
  • l’interessato revoca il consenso su cui si basa il trattamento
  • l’interessato si oppone al trattamento
  • i dati trattati sono stati trattati illecitamente

Diritto alla portabilità

Il GDPR prevede che l’interessato abbia diritto di ricevere in formato strutturato e leggibile i dati personali per trasmetterli ad un altro Titolare del trattamento. Il concetto di portabilità, mutuato dai servizi bancari e telefonici, potrà ora essere applicato a tutti i settori (sanitari, cloud, social network, mail services, ecc).,Il problema maggiore che dovrà essere affrontato è quello relativo alla possibile non compatibilità dei diversi sistemi; l’interessato ha infatti il diritto di chiedere che i dati possano essere trasferiti da un Titolare ad un altro, lasciando a loro le problematiche tecniche relative alla compatibilità e leggibilità dei dati. In punto il WP 29 ha predisposto una linea guida in data 13 dicembre 2016 che esamina gli aspetti tecnici relativi ai requisiti di compatibilità tra i diversi sistemi informatici, ponendo le basi per la realizzazione di applicativi che possano rendere possibile e la compatibilità dei difformi sistemi.

Processo decisionale automatizzato

Il GDPR evidenzia il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardino o che incida sulla sua persona.

Il progresso tecnologico e le attività sempre più avanzate di Machine Learning rischiano di determinare decisioni, anche importanti ed invasive, da parte di Aziende (banche, assicurazioni) sulla base di algoritmi automatizzati, senza l’applicazione della volontà umana, e proprio per tali ragioni il Regolamento vuole limitare l’utilizzo di determinati strumenti di Intelligenza Artificiale solo sul piano di analisi ed elaborazione dei dati, con esclusione dei processi decisionali.

Tutela dati riservati – Sanzioni

Il Regolamento prevede un impianto sanzionatorio estremamente severo in caso di violazioni.

L’art 83 prevede infatti che le Autorità di controllo possano infliggere sanzioni pecuniarie amministrative, che dovranno essere effettive, proporzionate e dissuasive.

Le sanzioni comminate verranno stabilite nel loro ammontare in relazione alla natura dei dati oggetto di violazione, il comportamento del Titolare o del Responsabile circa l’adozione delle misure tecniche ed organizzative richieste, il carattere doloso o colposo della violazione, ecc.

Nei casi più gravi, le sanzioni comminabili potranno giungere fino ad € 20 milioni o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

GDPR – Come diventare “Compliance” e cosa fare

Per concludere, fatte salve le suntive illustrazioni effettuate, si può ritenere necessario, per i soggetti che trattino i dati personali, porre in essere le attività che di seguito, ancor più brevemente, si indicano, al fine di raggiungere la Compliance al Regolamento.

  • Realizzare attenti Data Audit relativamente a tutti i gruppi di dati (dipendenti, fornitori, clienti, ecc) ed individuare i processi per la raccolta dei dati
  • Identificare la figura del DPO (interno o esterno)
  • Individuare le corrette modalità di raccolta del consenso con le necessarie informative
  • Identificare i trattamenti suddivisi per i vari gruppi di dati, ed i relativi responsabili
  • Revisionare i contratti attinenti alla gestione e trattamento dei dati, con attenzione particolare alla Privacy Policy
  • Porre in essere analisi e progettazione dei processi e software (Privacy by Design e Privacy by Default)
  • Analizzare la strumentazione tecnologica, e progettare la corretta archiviazione di dati con processo di Backup automatizzato e sicuro
  • Realizzare un piano di gestione degli incidenti informatici, con particolare riguardo alla violazioni dei dati. Prevedere gli strumenti necessari per la Business Recovery, attraverso il principio di resilienza.
  • Predisporre gli strumenti necessari per garantire il diritto degli interessati ai propri dati, garantendo loro tutti i connessi diritti (oblio, accesso, portabilità)

 

Avv. Gianluca Marmorato