Sicurezza Salute Privacy.
Il GDPR è entrato in vigore. Qualche considerazione.
Da venerdì 25 maggio il GDPR (General Data Protection Regulation) è pienamente applicabile, con tutti i suoi effetti, abrogando la direttiva del 1995 sulla protezione dei dati personali, recepita dalla normativa nazionale attuale. In pratica si tratta del nuovo Regolamento Europeo sulla Privacy (Regolamento UE 2016-679) che, a dire il vero, quanto a prescrizioni, non è poi così innovativo. Collocandosi in continuità con la normativa ormai in pensione, le vere novità risiedono nei principi e nelle responsabilità a esso connesse. Dalle responsabilità discendono le sanzioni, in caso di mancato loro adempimento, arrivando, in funzione del tipo di violazione, a prevedere sanzioni fino a 20 milioni di euro o al 4% del fatturato complessivo dell’azienda o del gruppo di aziende.
Quindi è necessario non sottovalutare l’impatto di questo nuovo disposto comunitario, al quale le aziende si sono già adeguate (poche), o si stano adeguando (molte). Tuttavia rimane impressionante, secondo le fonti ufficiali, la percentuale di aziende che non prevedono ancora un budget per l’adeguamento: ben il 42%! In dettaglio, nel 23% dei casi sarà stanziato nei prossimi 6 mesi e nel 19% non è previsto del tutto.
Uno fra i principi chiave del GDPR 2018 è quello di accountability, appunto, di responsabilizzazione del Titolare rispetto alle misure, organizzative e tecniche, poste in essere per conformarsi al GDPR. In sintesi, fra le principali prescrizioni contenute nel GDPR, oltre al principio di responsabilizzazione citato, figura un criterio reso molto correttamente dall’espressione in inglese “data protection by default and by design”. Il criterio introdotto è legato alla necessità di configurare il trattamento con la previsione, fin dall’inizio, delle garanzie indispensabili al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati. Comunque va tenuto altrettanto conto del contesto complessivo nel quale si colloca il trattamento e dei rischi per i diritti e le libertà degli interessati. E proprio in questo ambito «le misure di sicurezza devono garantire un livello di sicurezza adeguato al rischio del trattamento». Niente di più.
In ogni caso il Titolare è il responsabile di qualunque decisione circa le misure adeguate da predisporre, misure da stabilire sulla scorta dei risultati a seguito dell’analisi dei rischi. Un’analisi che va condotta sui trattamenti, per cui occorre redigere un Registro dei Trattamenti, in pratica l’elenco delle operazioni (trattamenti) effettuate dal Titolare e che prevedono l’utilizzo di dati personali. Malgrado sia in pratica consigliato tenere questo registro, oltre che assai utile, non è una misura obbligatoria per tutte le imprese:
«5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.»
Il Titolare dei trattamenti ha anche degli obblighi, fra i quali:
• la notifica al Garante delle violazioni di sicurezza relative a dati personali e la comunicazione della violazione agli interessati, laddove necessario;
• l’obbligo di tenere conto della Data Protection fin dalla progettazione, in caso di sviluppo di nuovi servizi o per la revisione di quelli esistenti;
• l’obbligo di procedere a un’analisi approfondita dell’impatto sui diritti e le libertà degli interessati quando l’innovazione comporti rischi particolari, anche in virtù delle tecnologie innovative utilizzate.
Inoltre, molto importante: vengono ridisegnati i rapporti fra il Titolare e i fornitori di servizi che trattano dati personali per conto del titolare stesso, con la previsione, a determinate condizioni, della responsabilità solidale dei due soggetti per i danni eventualmente provocati.
Infine viene introdotta la nuova figura del Data Protection Officer (DPO), finalizzata a facilitare la corretta applicazione del GDPR da parte del Titolare. Ma questa figura non è la sola a essere stata introdotta in via obbligatoria e definitiva. Fra gli obblighi figura anche la DPIA (Data Protection Impact Assessment), il processo inteso a garantire e a dimostrare la conformità al regolamento europeo, con tutti i rischi legati al trattamento dei dati. La procedura viene stabilita all’articolo 35 del GDPR:
«Quando un tipo di trattamento, prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi».
Però, occorre fare attenzione: se il DPO è obbligatorio per tutti gli enti e per le aziende che effettuano il monitoraggio dei dati regolarmente e sistematicamente su larga scala, la DPIA invece è «obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone». In ogni caso la DPIA spetta al Titolare del trattamento dei dati, nonostante poi la conduzione materiale della valutazione di impatto possa essere affidata a un altro soggetto, sia interno sia esterno all’organizzazione.
Anche la redazione della DPIA è raccolta nel nuovo principio della responsabilizzazione (accountability), dato che contribuisce ad aiutare il titolare del trattamento non soltanto nel rispetto del GDPR, ma anche nell’attestazione di aver condotto tutte le misure idonee a garantire il rispetto del regolamento medesimo. Perché il GDPR non rappresenta una serie di misure da applicare, in altre parole, di cui sgravarsi, ma è stato introdotto per cambiare lo spirito e l’attenzione verso i dati personali, motore del marketing e dell’economia digitale, autentico tesoro per le imprese che sanno farne buon uso.
Inoltre desideriamo invitarti ad approfondire ancora leggendo gli articoli nel Blog di FormadHoc:
Accedi agli articoli
Arrivederci alla prossima newsletter.
Buona formazione da FormadHoc