Nuove regole europee per la privacy incombono sulle aziende; con un “agile” volumetto (sole 187 pagine) il Garante per la protezione dei dati personali (sul sito istituzionale – aggiornamento del 9 aprile) illustra il Regolamento generale sulla Protezione dei dati applicativo del Reg. Ue 2016/679 (http://www.garanteprivacy.it/web/guest/home/docweb/docweb-display/docweb/8135449).
Il testo entra in vigore il 25 maggio ed è “obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri”.
Il testo supera e annulla la precedente direttiva n. 95/46/Cee (attualmente vigente in Italia, attraverso il Dlgs. n. 196/2003).
Le nuove regole europee contemplano un mutamento di prospettiva: si passa da una previsione “formale” di adempimento secondo certi parametri documentali ad un principio “sostanziale” incentrato sull’effettività della tutela dei dati e dei soggetti interessati. In pratica, non esistono più parametri minimi da adottare per adempiere agli obblighi di riservatezza ma il titolare del trattamento dei dati deve definire gli interventi e gli strumenti atti ad ottemperare agli obblighi legali di prevenzione ed efficacia; in pratica, l’azienda deve attivarsi per la predisposizione di “policies” concrete idonee a garantire la concreta attuazione dei princìpi fissati dal Regolamento; trattasi del principio di accountability, è quindi spostato l’accento non più sull’adempimento formale ma sulla verifica dell’efficacia concreta dei comportamenti aziendali e della capacità di garantire i diritti previsti dal Regolamento, prevenendo abusi nel trattamento dei dati personali.
La nuova norma si basa, quindi, sul rischio (“risk based approach”) che responsabilizza i titolari dei trattamenti nei confronti di soggetti sottoposti; in tale contesto, le misure da adottare nell’ambito dei vari adempimenti sulla privacy saranno proporzionali ai rischi effettivamente individuati all’interno della realtà aziendale mediante “un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli”.
Il Regolamento si poggia poi su ulteriori principi, i c.d. data protection by design e by default: il primo si propone di tutelare il dato prima di procedere al trattamento prevedendo le garanzie indispensabili per tutelare i diritti degli interessati sulla base del contesto complessivo in cui il trattamento si inserisce e dei rischi per i diritti e le libertà dei soggetti interessati; il secondo si pone l’obiettivo di porre ai titolari del trattamento l’adozione di misure tecniche e organizzative idonee a garantire, con modalità predefinite, il trattamento dei dati personali, solo se necessari; in pratica, la quantità dei dati raccolti ovvero la durata della loro conservazione non deve andare oltre il minimo necessario per le finalità perseguite (necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità).
Sulla base dell’art. 13 della L. n. 163/2017, il Governo è delegato ad adottare, entro sei mesi dalla data di entrata in vigore della legge, decreti legislativi per l’adeguamento della normativa nazionale alle disposizioni del Reg. Ue 2016/679. Vediamo i principali adempimenti previsti dalle nuove regole.
Registro attività di trattamento
Il titolare del trattamento o il suo rappresentante hanno l’obbligo di tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e/o del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale; f) se possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate; analogo registro dovrà tenere ogni responsabile del trattamento. I registri sono tenuti in forma scritta, anche in formato elettronico; i registri sono a disposizione dell’autorità di controllo.
Le norme sul registro non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari “sensibili” (dati che rivelino l’origine razziale, etnica, le opinioni politiche, religiose, filosofiche, appartenenza sindacale, dati medici, di salute, sessuali ecc.). Peraltro il Garante consiglia di adottare il registro prescindendo da qualunque limite poiché “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”; trattandosi quindi di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti e delle misure di sicurezza in essere all’interno di un’azienda e indispensabile per la valutazione e l’analisi del rischio e allo scopo di provare quanto si è fatto “ab origine” per la tutela della riservatezza.
Misure di sicurezza
Il regolamento prevede per i titolari e i responsabili del trattamento l’onere di adottare misure per la sicurezza del trattamento e ciò tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. La sicurezza (che può essere provata se si aderisce ad un codice di condotta o a un meccanismo di certificazione) deve garantire dai rischi di distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Notifica violazioni “data breach”
A partire dal 25 maggio tutti i titolari hanno l’obbligo di notificare, all’autorità di controllo, le violazioni dei dati personali comunque entro 72 ore dalla conoscenza e comunque “senza ingiustificato ritardo”, in ogni caso, tutti i titolari del trattamento hanno l’obbligo di documentare tutte le violazioni subite.
Responsabile protezione dati
Il titolare e il responsabile del trattamento hanno l’obbligo di designare sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure; c) le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (c.d. sensibili) o di dati relativi a condanne penali e a reati particolari.
Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascun stabilimento. Qualora il titolare o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici. Nei casi diversi dai citati, il titolare e il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto da fonti del diritto applicabili, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dati può agire per dette associazioni e altri organismi rappresentanti i titolari o i responsabili del trattamento. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia. Il responsabile della protezione dei dati può essere un dipendente del titolare o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. Il titolare o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.
Diritti dei soggetti interessati
L’art. 15 prevede il diritto di accesso ai dati personali da parte di qualunque soggetto per i dati che lo riguardano e in corso di trattamento (finalità, destinatari, periodo di conservazione). L’art. 17 prevede il diritto alla cancellazione (c.d. “all’oblio”). L’art. 18 prevede il diritto alla “limitazione” mentre l’art. 20 prevede la “portabilità” dei dati per trattamento effettuato con mezzi automatizzati.