GDPR: l'evoluzione continua

GDPR: dieci cose da fare

Per le organizzazioni che trattano dati personali in modo significativo diventa essenziale definire un piano di azione per gestire in modo adeguato le regole che sono introdotte dal Regolamento Europeo. Questi sono i passi preliminari da intraprendere per strutturare un Privacy Program.

1. Fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole.
2. Valutare cosa significa in concreto dover introdurre l’indicazione della fonte dei dati e il tempo di conservazione dei dati. Sperimentare nuove forme di informative visuali basate su icone.
3. Analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati.
4. Dotarsi di “software sentinella” per gestire il nuovo obbligo di notifica delle violazioni nell’uso dei dati personali e verificare l’eventuale flusso extraeuropeo dei dati usando servizi cloud.
5. Sperimentare la Privacy by Design ed effettuare il Privacy Impact Assessment affidandosi a esperti competenti che aiutino l’azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti.
6. Selezionare un Data Protection Officer (DPO) in azienda.
7. Analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele organizzative per evitare impatti gravi sulla stabilità dei data base aziendali.
8. Definire le nuove regole di acquisizione e documentazione del consenso.
9. Verificare con cura i fornitori dei dati. Questo è il tempo in cui fare test, test e ancora test.
10. Verificare se vengono trattati dati di minori. Tenere conto che le nuove regole impongono di gestire anche il consenso degli esercenti la potestà dei genitori, insieme al consenso del minore al di sotto dei 16 anni.

La data protection sarà sempre di più un fattore competitivo, e favorirà le aziende che capiranno che non si tratta più solo di una serie di adempimenti da gestire ma di un processo organizzativo aziendale che ha natura produttiva e non solo normativa. Nella gestione delle attività di trattamento dei dati si passa dalla Compliance all’Assessment. Occorre prepararsi alla nuova era del Privacy Impact Assessment e del Compliance Risk Management. È sempre più evidente che i dati personali sono la nuova materia prima che genera il fatturato delle imprese. La materia prima va gestita con modelli organizzativi evoluti ed efficienti, comprendendo che si tratta di un tema strategico per le imprese.

GDPR: dieci cose da sapere

di Marco Maglio - Avvocato – Fondatore di Lucerna Iuris – International Legal Network

1. Cambiano i criteri per stabilire a chi si applicano le norme

La domanda è classica: se una società extraeuropea tratta dati di cittadini europei quale legge si applica? La risposta fino ad oggi è stata questa: si applica la legge del titolare del trattamento, cioè di chi raccoglie i dati. Con la riforma cambia tutto: viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti. È una rivoluzione rispetto alla regola precedente, in base alla quale la normativa applicabile è quella del luogo in cui ha sede il Titolare del trattamento. Facebook e Google saranno soggette alla normativa europea.

2. Cambiano gli obblighi a carico di chi tratta i dati: il nuovo criterio dell'accountability

Fino ad oggi gli adempimenti in materia di dati personali erano basati su criteri formali e sulla logica dell'effettivo abuso dei dati raccolti. Si era sanzionati se gli adempimenti non erano stati applicati e se le autorità di controllo lo rilevavano e lo contestavano. Ora invece diventa obbligatorio elaborare un sistema documentale di gestione della privacy, contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità al Regolamento. È la logica dell'accountability, cioè della corretta organizzazione e della documentazione e tracciabilità obbligatoria delle attività di trattamento. Chi non organizza bene la gestione dei dati che raccoglie è punibile per questo semplice fatto, a prescindere dall'abusivo utilizzo dei dati che ne possa derivare.

3. Cambia l'informativa

L'informativa non sarà più uno strumento burocratico e formale. Deve essere resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, se del caso in formato elettronico. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato. Inoltre occorrerà informare gli interessati sull'origine dei dati trattati e indicare il tempo di conservazione dei dati.

4. Cambiano i meccanismi per l'esercizio dei diritti degli interessati

Oggi esercitare i diritti di accesso, modifica, integrazione e cancellazione dei dati personali richiede che l'interessato si attivi e superi a volte difficoltà rilevanti per formulare l'istanza verso chi ha raccolto i suoi dati. I nuovi criteri introdotti dal Regolamento invece richiedono di prevedere modalità volte ad agevolare l’esercizio, da parte dell'interessato, dei suoi diritti, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare, l'accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Diventerà onere di chi raccoglie i dati predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici.

5. Si introduce l’analisi dei rischi e valutazione di impatto del trattamento dei dati personali

Con il nuovo regolamento europeo dovremo presto imparare a destreggiare un nuovo strumento: il Privacy Impact Assessment (PIA) ovvero il documento di valutazione di impatto nel trattamento dei dati. Sarà una vera e propria analisi dei rischi in concreto generati dal trattamento dei dati aziendali. Chi raccoglie i dati dovrà effettuare una valutazione degli impatti determinati dal trattamento dei dati stessi fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, in particolare nei casi in cui il trattamento alla base degli stessi, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati. Il processo prevede tre distinte fasi da volgersi periodicamente con cadenza almeno annuale:

1. Analisi dei rischi (risk analysis)
2. Definizione della lista delle criticità (gap list)
3. Definizione del programma di intervento (action plan)

La probabilità e la gravità del rischio legato al trattamento dei dati dovranno essere determinate in funzione della natura, del campo di applicazione, del contesto e delle finalità del trattamento dei dati. Il rischio dovrà essere considerato in base ad una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato. Sarà una vera e propria rivoluzione per quanti sono abituati alle cadenze confortevoli del DPS e all'approccio tecnico informatico alla materia. Con il PIA viene introdotta un'analisi dei processi aziendali profonda che mira a gestire i rischi, prevedendoli.

6. Cessa l'obbligo della notificazione al Garante

Oggi chi effettuata alcune tipologie di trattamenti (ad esempio geolocalizzazione, ricerca genetica, profilazione, analisi sulla puntualità dei pagamenti e altre tipologie di trattamenti particolarmente invasivi) è tenuto ad effettuare un adempimento preventivo – la notificazione al Garante per la protezione dei dati personali. Con la riforma europea del GDPR cambierà tutto. Viene abolito l’obbligo di Notificazione di specifici trattamenti all’Autorità Garante. Tale adempimento è considerato dal Legislatore europeo come un obbligo che comporta oneri amministrativi e finanziari, senza aver mai veramente contribuito a migliorare la protezione dei dati personali (in particolare per le piccole e medie imprese). Si è quindi deciso di abolire tale obbligo generale di notificazione, e di sostituirlo con meccanismi e procedure efficaci che si concentrino piuttosto su quelle operazioni di trattamento che potenzialmente presentano rischi specifici per i diritti e le libertà degli interessati, per la loro natura, portata o finalità. Tali trattamenti saranno l’effettuazione della valutazione di impatto nel trattamento dei dati.

7. Nasce il Data Protection Officer (DPO)

Se fino ad oggi siamo stati abituati a prevedere i tre ruoli classici nel trattamento dei dati (titolare, responsabile e incaricato), prepariamoci ad un grosso cambiamento. Nascerà una nuova stella nel firmamento della privacy aziendale: il Data Protection Officer (DPO) o Responsabile della protezione dei dati personali. Sarà una figura obbligatoria se:

1. Chi tratta i dati è un soggetto pubblico
2. Si trattano rilevanti quantità di dati personali
3. Si trattano sistematicamente dati sensibili o giudiziari

Il DPO, che può essere un consulente esterno all'azienda, deve possedere requisiti di professionalità, indipendenza ed autonomia di spesa, diventando una sorta di auditor interno dei processi di trattamento dei dati personali, nonché il referente che il Garante contatterà in caso debba acquisire informazioni o formulare contestazioni rivolte a chi tratta i dati personali in azienda.

8. S’introducono i nuovi principi della protezione della privacy fin dalla sua progettazione (privacy by design) e della protezione di default di dati e sistemi (privacy by default)

Vengono introdotti nel sistema normativo europeo due nuovi principi fondativi dell'approccio evoluto al corretto trattamento dei dati personali: la privacy by design e la privacy by default. Privacy by design significa che la tutela dei dati personali deve essere pensata e organizzata fin dalla fase progettuale della raccolta di informazioni. Diventa obbligatorio prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l'intera gestione del ciclo di vita dei dati. Bisognerà analizzare i flussi di dati connessi all'attività che si vuole effettuare e adottare criteri che minimizzino i rischi del trattamento e riducano le quantità dei dati trattati (si parla di minimization of data). Privacy by default significa che occorrerà prevenire raccolte di dati non necessari, per le finalità perseguite, evitando di acquisire informazioni eccedenti rispetto agli obiettivi dichiarati nell'informativa. La privacy quindi di acquisisce come presupposto delle attività di trattamento e cessa di essere, come è oggi, un obiettivo secondario da perseguire rispettando adempimenti formali. La privacy cessa di essere un mero requisito legale e diventa un elemento intrinseco del processo di gestione delle informazioni. Questa è la vera essenza della riforma. Chi non capisce questo sarà destinato a vagare alla ricerca di un centro di gravità permanente. Privacy by design e by default si fondono in un unico precetto organizzativo che diventa, quindi, la vera stella polare nel cammino verso il corretto trattamento dei dati personali.

9. Viene introdotto l'obbligo di notifica per le violazioni di dati patite da chi tratta dati

All'estero esiste da tempo questa regole estesa a tutti coloro che trattano dati personali: la data breach notification è l'obbligo di segnalare all'Autorità le violazioni di dati subite da chi li tratta. Per violazione dei dati personali si intende la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati. In Italia tale obbligo esiste solo per gli operatori di comunicazioni elettroniche, ma con la riforma europea tutti dovranno abituarsi a questo nuovo standard di sicurezza. Chi tratta dati, in caso di una violazione, dovrà mettere in atto due differenti azioni:

1. La notificazione della violazione all’Autorità di controllo entro 72 ore dal fatto
2. La segnalazione al diretto interessato (senza ritardo ingiustificato)

Il mancato rispetto di questo obbligo comporta sanzioni penali. Appare chiaro che questo nuovo standard comporterà interventi significativi per l'adozione di software di monitoraggio (altrimenti detti software sentinella) che segnalino immediatamente le violazioni e per l'ottenimento di adeguate coperture assicurative che proteggano dai crescenti rischi legati al cosiddetto cyber risk.

10. Le sanzioni aumentano

Con la riforma europea si passa dalle sanzioni a cifra fissa alle sanzioni “personalizzate”. Fino ad oggi in Italia le sanzioni erano definite entro misure che potevano arrivare fino a €360.000, salvo incrementi dovuti alle dimensioni dell'impresa e alla particolare gravità delle violazioni. Con la riforma le sanzioni diventeranno molto più pesanti:

1. Fino a €20.000.000 per i privati e le imprese non facenti parte di gruppi
2. Fino al 4% del fatturato complessivo (consolidato) su base mondiale per i Gruppi societari multinazionali

Si tratta di un cambio di passo significativo. Queste sanzioni sono pensate per incidere sulle condotte dei grandi gruppi multinazionali che trattano dati in diverse aree geografiche, e che spesso cercano di individuare i paradisi legali del trattamento dei dati personali per eludere norme e criteri di comportamento definiti dalle nazioni più rigorose. Così la mappa è completa: non resta che affrontare le nuove regole, capirle e soprattutto tenere a mente che la nuova tutela dei dati personali è un diventato un essenziale processo organizzativo strategico per le imprese cessando di essere un semplicistico susseguirsi di adempimenti formali.

Le normative ufficiali

Testo completo del regolamento Pagina del garante Pagina del Gruppo dei Garanti europei con le loro linee guida Lista completa con link a tutte le autorità estere