Il nuovo regolamento europeo in materia di dati personali: una mappa per conoscerlo. ( seconda part
Abbiamo disegnato nell'articolo precedente i pumi cinque punti della nuova mappa delle regole in materia di dati personali disegnata dal Regolamento Europeo che è in fase di pubblicazione nella Gazzett Ufficiale dell'Unione Europea.
Ecco qui di seguito gli altri cinque punti per completare il quadro di riferimento
6) meno burocrazie più sostanza: cessa l'obbligo della notificazione al Garante
Fino ad oggi chi effettuata alcune tipologie di trattamenti (ad esempio geolocalizzazione, ricerca genetica, profilazione, analisi sulla puntualità dei pagamenti e altre tipologie di trattamenti particolarmente invasivi) e' tenuto ad effetuare un adempimento preventivo: si tratta della notificazione al Garante per la protezione dei dati personali.
Con la riforma europea che entrerà in vigore nel 2018 cambierà tutto. Viene abolito l’obbligo di Notificazione di specifici trattamenti all’Autorità Garante.
Tale adempimento è considerato dal Legislatore europeo come un obbligo che comporta oneri amministrativi e finanziari senza aver mai veramente contribuito a migliorare la protezione dei dati personali (in particolare per le piccole e medie imprese).
Si è quindi deciso di abolire tale obbligo generale di notificazione e sostituirlo con meccanismi e procedure efficaci che si concentrino piuttosto su quelle operazioni di trattamento che potenzialmente presentano rischi specifici per i diritti e le libertà degli interessati, per la loro natura, portata o finalità.
Tali trattamenti saranno l’effettuazione della valutazione di impatto nel trattamento dei dati.
7) Un nuovo protagonista della privacy aziendale: il Data Privacy Officer
Se fino ad oggi siamo stati abituati a prevedere i tre ruoli classici nel trattamento dei dati (titolare, responsabile ed incaricato), prepariamoci ad un grosso cambiamento. A parte le novità puramente terminologiche (noi italiani scopriremo infatti con sorpresa che quello che chiamiamo Titolare nel linguaggio eruopeo si chiama Responsabile del trattamento che è colui che definisce le finalità del trattamento, mentre chi noi chiamiamo oggi Responsabile nella terminologia europea viene chiamato Incaricato, mentre quelli che noi oggi in Italia chiamiamo incaricati non sono previsti dal nuovo ordinamento europeo) prepariamoci a veder nascere una nuova stella nel firmamento della privacy aziendale: nascerà infatti nel 2018 la nuova figura del Data Privacy Officer (DPO) o meglio del Responsabile della protezione dei dati personali.
Sarà una figura obbligatoria se:
a) chi tratta i dati è un soggetto pubblico
b) si trattano rivelanti quantità di dati personali
c) si trattano sistematicamente dati sensibili o giudiziaria
Il DPO, che può essere un consulente esterno all'azienda, deve possedere requisiti di professionalità ed indipendenza ed autonomia di spesa diventando una sorta di auditor interno dei processi di trattamento dei dati personali e il referente che il Garante contatterà in caso debba acquisire informazioni o formulare contrstazioni rivolte a chi tratta i dati personali in azienda.
I compiti essenziali del DPO sono questi
a) informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute;
b) vigilare sull’attuazione e sull’applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
c) verificare l’attuazione e l’applicazione del Regolamento europeo; la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento;
d) garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
e) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
f) controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
g) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa;
h) controllare che sia dato seguito alle richieste del Garante per la protezione dei dati personali e, nell’ambito delle sue competenze, cooperare di propria iniziativa o su richiesta dell’Autorità.
8) I nuovi principi della protezione della privacy fin dalla sua progettazione (privacy by design) e della protezione di default di dati e sistemi (privacy by default).
Vengono introdotti nel sistema normativo europeo due nuovi principi fondativi dell'apporccio evoluto al corretto trattamento dei dati personali: la privacy by design e la privacy by default.
Vediamo di cosa si tratta. Privacy by design significa che la tutela dei dati personali deve essere pensata ed organizzata fin dalla fase progettuale della raccolta di informazioni. Diventa obbligatorio prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l'intera gestione del ciclo di vita dei dati.
Bisgonerà analizzare i flussi di dati connessi all'attività che si vuole effetutare e adotttare criteri che minimizzino i rischi del trattamento e riducano le quantità dei dati trattati (si parla di minimization of data)
Privacy by default significa che occorrerà prevenire raccolte di dati non necessari, per le finaltià perseguite, evitando di acquisire inforamzioni eccedenti rispetto agli obiettivi dichisrati nell'informativa. La privacy quindi di acquisisce come presupposto delle attività di trattamento e cessa di essere, come è oggi, un obiettivo secondario da perseguire rispettando adempimenti formali. La privacy cessa di essere un mero requisito legale e diventa un elemento intrinseco del processo di gestione delle informazioni. Questa è la vera essenza della riforma. Chi non capisce questo sarà destinato a vagare alla ricerca di un centro di gravità permanente. Privacy by design e by default si fondono in un unico precetto organizzativo che diventa , quindi, la vera stella polare nel cammino verso il corretto trattamento dei dati personalizza
9) viene introdotto l'obbligo di autodenuncia per le violazioni di dati patite da chi tratta dati
All'estero esiste da tempo questa regole estesa a tutti coloro che trattano dati personali: si parla di data breach notification, che è l'obbligo di segnalare all'Autorità le violazioni di dati subite da chi li tratta. Per violazione dei dati personali (c.d. “personal data breaches”), si intende: la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati.
In Italia tale obbligo esiste solo per gli operatori di comunicazioni elettroniche ma con la riforma europea tutti dovranno abituarsi a questo nuovo standard di sicurezza: chi tratta dati, in caso di una violazione, dovrà mettere in atto due differenti azioni:
la notificazione della violazione all’Autorità di controllo entro 72 ore dal fatto
la segnalazione al diretto interessato (senza ritardo ingiustificato).
Il mancato rispetto di questo obbligo comporta sanzioni penali.
Appare chiaro che questo nuovo standard comporterà interventi significativi per l'adozione di software di monitoraggio (cd. Software sentinella) che segnalino immediatemente le violazioni e per l'ottenimento di adeguate coperture assicurative che proteggano dai crescenti rischi legati al cosiddetto cyber risk.
10) le sanzioni di nuova generazione
Cone la riforma europea si passa dalle sanzioni a cifra fissa alle sanzioni “personalizzate”.
Fino ad oggi in Italia le sanzioni erano definite entro misure che potevano arrivare fino a 360.000 euro salvo incrementi dovuti alle dimensioni dell'impresa ed alla particolare gravità delle violazioni. Con la riforma le sanzioni diventeranno molto più pesanti:
Fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi.
Fino al 4% del fatturato complessivo (consolidato) per i Gruppi societari
Si tratta di un cambio di passo significativo. E' chiaro che queste sanzioni sono pensate per incidere sulle condotte dei grandi gruppi multinazionali che trattano dati in diverse aree geografiche e spesso cercano di individuare i paradisi legali del trattamento dei dati personali per eludere norme e criteri di comportamento definiti dalle nazioni più rigorose.
Dulcis in fundo: consenso e profilazione
Abbiamo completato la mappa ma non abbiamo ancora parlato di due elementi essenziali, fino ad ora, per chi gestisce i dati a fini di comunicazione commerciale: il consenso e la profilazione.
Cosa dice il nuovo regolamento a questo riguardo?
Con una certa sorpresa, accolta con toni fortemente critici dai difensori della privacy individuale, la riforma apre spazi nuovi per chi voglia sperimentare e cogliere opportunità interessanti.
Per quanto riguarda il consenso, che noi siamo abituati a considerare valido solo se formulato con una dichiarazione espressa (è l'effetto del cosiddetto sitema dell'opt in che l'Italia ha adottato con convinzione fin dal 1997, anno di entrata in vigore della prima normativa sui dati personali), si introduce un approccio di chiaro sapore anglosassone meno formalista e più sostanziale.
Secondo il nuovo regolamento europeo (così recita il Considerando 25 del testo approvato) “il consenso dovrebbe essere espresso mediante un'azione positiva inequivocabile con la quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento, ad esempio mediante dichiarazione scritta, anche elettronica, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in questo contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere dato per
l'insieme delle finalità del trattamento. Se il consenso dell’interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso”.
Questo di fatto dà spazio, entro certi limiti, a forme di consenso desunto da comportamenti concludenti espressi mediante azioni positive da parte dell'interessato. E' un grosso cambiamento che apre spazi nuovi rispetto ai rigidi steccati dell'opt in che pure restano formalmente in piedi. Va tenuto conto che la definizione di “consenso dell'interessato” fornita dal regolamento è questa : “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l'interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.”
E' quindi sparito il riferimento, originariamente previsto dal testo, al carattere esplicito del consenso che, a certe condizioni si può desumere in base al comportamento attivo dell'interessato.
Quanto alla profilazione, che per molti consisterebbe nella semplice analisi e clusterizzazione di un data base, il regolamento da risposte molto precise. In particolare la riforma chiarisce che la profilazione consiste nell'analisi di dati cui fa seguito un'azione automatica senza l'intervento dell'uomo. Quindi se si analizzano con strumenti informatici i dati presenti nei propri archivi e poi l'elaborazione dei dati stessi viene sottoposta alla valutazione preventiva di una persona prima dell'utilizzo dei dati stessi, per adattare e verificare i dati stessi, non si effettua profilazione. Quindi non occorre un consenso specifico per svolgere tale attività di analisi.
E così la mappa è completa: non resta che affrontare le nuove regole, capirle e soprattutto tenere a mente che la nuova tutela dei dati personali è un diventato un essenziale processo organizzativo stategico per le imprese cessando di essere un semplicistico susseguirsi di adempimenti formali.