Aziende e Privacy: nuove regole dal 25/05/2018.
Nuove regole europee per la privacy incombono sulle aziende, con un “agile” volumetto (di sole 187 pagine) il Garante per la protezione dei dati personali (pubblicato sul sito istituzionale – ultimo aggiornamento del 9 aprile 2018) illustra al volgo il Regolamento Generale sulla Protezione dei dati applicativo del Regolamento UE 2016/679 adottato dal Parlamento Europeo e dal Consiglio del 27 aprile 2016. Come recita l’art. 99 del Regolamento UE, il testo entra in vigora il 25 maggio 2018 ed è “obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri”. Dopo 73 pagine di “considerando”, il testo illustra i 99 articoli del Regolamento, che supera e annulla la precedente direttiva n. 95/46/CEE del 24 ottobre 1995, attualmente vigente in Italia, attraverso il D.lgs. n. 196/2003. Le nuove regole europee contemplano un mutamento di prospettiva: si passa da una previsione “formale” di adempimento secondo certi parametri documentali ad un principio “sostanziale” incentrato sulla effettività della tutela dei dati e dei soggetti interessati;. In pratica, non esistono più parametri minimi da adottare per adempiere agli obblighi di riservatezza ma il titolare del trattamento dei dati deve definire gli interventi e gli strumenti atti ad ottemperare agli obblighi legali di prevenzione ed efficacia;: in pratica, l’azienda deve attivarsi per la predisposizione di “policies” concrete idonee a garantire la concreta attuazione dei princìpi fissati dal Regolamento; trattasi, per gli eruditi anglofoni, del principio di accountability, è quindi spostato l’accento non più sull’adempimento formale ma sulla verifica della efficacia concreta dei comportamenti aziendali e della capacità di garantire i diritti previsti dal Regolamento, prevenendo abusi nel trattamento dei dati personali oggetti della tutela. La nuova norma si basa, quindi, sul rischio (“risk based approach”) che responsabilizza i titolari dei trattamenti nei confronti di soggetti sottoposti; in tale contesto, le misure da adottare nell’ambito dei vari adempimenti sulla Privacy sarano proporzionali ai rischi effettivamente individuati all’interno della realtà aziendale mediante “un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli”. Il Regolamento si poggia poi su ulteriori principi, i c.d. data protection by design e by default”:
Il primo si propone di tutelare il dato prima di procedere al trattamento prevedendo le garanzie indispensabili per tutelare i diritti degli interessati sulla base del contesto complessivo in cui il trattamento si inserisce e dei rischi per i diritti e le libertà dei soggetti interessati; il secondo si pone l’obiettivo di porre ai titolari del trattamento l’adozione di misure tecniche ed organizzative idonee a garantire, con modalità predefinite, il trattamento dei dati personali, solo se necessari; in pratica, la quantità dei dati raccolti ovvero la durata della loro conservazione non deve andare oltre il minimo necessario per le finalità perseguite (necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità). Sulla base dell’art. 13 della L. 25.10.2017, n. 163, il Governo è delegato ad adottare, entro sei mesi dalla data di entrata in vigore della legge, decreti legislativi per l’adeguamento della normativa nazionale alle disposizioni del REG. UE 2016/679, analogamente il Garante per la protezione dei dati personali, in base all’art. 1, c. 1020 ss., L. 205/2017, ha predisposto una guida all’applicazione delle nuove norme in materia di protezione dei dati personali contenente, tra l’altro raccomandazioni specifiche e suggerimenti circa le azioni che possono essere intraprese immediatamente e fondate su disposizioni precise del Regolamento, che non necessitino di diversi interventi da parte del legislatore nazionale (http://www.garanteprivacy.it/web/guest/home/docweb/docweb-display/docweb/8135449).
Vediamo i principali adempimenti previsti dalle nuove regole.
A) Registro delle attività di trattamento (art. 30 del Regolamento)
Il titolare del trattamento o il suo rappresentante hanno l’obbligo di tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e/o del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale; f) se possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate; analogo registro dovrà tenere ogni responsabile del trattamento. I registri sono tenuti in forma scritta, anche in formato elettronico; i registri sono a disposizione dell’autorità di controllo. Le norme sul registro non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari “sensibili” (dati che rivelino l’origine razziale, etnica, le opinioni politiche, religiose, filosofiche, appartenenza sindacale, dati medici, di salute, sessuali, ecc…). Peraltro il Garante consiglia di adottare il registro prescindendo da qualunque limite poiché la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”; trattandosi quindi di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti e delle misure di sicurezza in essere all’interno di un’azienda ed indispensabile per la valutazione e l’analisi del rischio e allo scopo di provare quanto si è fatto “ab origine” per la tutela della riservatezza.
B) Misure di sicurezza (art. 32 Regolamento)
Il regolamento prevede per i titolari ed i responsabili del trattamento l’onere di adottare misure per la sicurezza del trattamento e ciò tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. La sicurezza (che può essere provata se si aderisce ad un codice di condotta o a un meccanismo di certificazione) deve garantire dai rischi di distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Notifica delle violazioni di dati personali “Data Breach”
A partire dal 25 maggio 2018, tutti i titolari hanno l’obbligo di notificare, all’autorità di controllo, le violazioni dei dati personali comunque entro 72 ore dalla conoscenza e comunque “senza ingiustificato ritardo”, in ogni caso, tutti i titolari del trattamento hanno l’obbligo di documentare tutte le violazioni subite
C) Responsabile della protezione dei dati (art. 37 Regolamento)
Il titolare del trattamento e il responsabile del trattamento hanno l’obbligo di designare sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure; c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (c.d. sensibili) o di dati relativi a condanne penali e a reati particolari. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Nei casi diversi dai citati, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto da fonti del diritto applicabili, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti previsti. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.
D) Diritti dei soggetti interessati
L’art. 15 del Regolamento prevede il diritto di accesso ai dati personali da parte di qualunque soggetto per i dati che lo riguardano ed in corso di trattamento (finalità del trattamento, destinatari, periodo di conservazione).
L’art. 17 del regolamento prevede il diritto alla cancellazione (c.d. “all’oblio”)
L’art. 18 del Regolamento prevede il diritto alla “limitazione” del trattamento mentre l’art. 20 del Regolamento prevede la “portabilità” dei dati in caso di trattamento effettuato con mezzi automatizzati.
Il Regolamento prevede un rilevante apparato sanzionatorio:
Sanzioni amministrative pecuniarie
L’Autorità Garante può applicare, in caso di violazione del Regolamento, sanzioni amministrative pecuniarie. Le sanzioni sono previste
- fino a € 10.000.000 ( ovvero fino € 20.000.000 per le violazioni più gravi) e
- per le imprese, fino al 2 % (ovvero fino al 4 % per le violazioni più gravi) del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
L’art. 83 del Reg. prevede i canoni (ad. es., natura, gravità, durata della violazione) che le autorità di controllo assumeranno per valutare sia l’opportunità di irrogare una sanzione amministrativa sia l’importo della sanzione stessa
- Diritto al risarcimento dell’interessato
L’art. 82 del Regolamento prevede poi che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. I responsabili del trattamento sono esonerati da qualsivoglia responsabilità se provano che l’evento dannoso lamentato dall’interessato non è imputabile agli stessi.
(M. Mazzanti)