GDPR: la lunga estate dei dati

Technology


GDPR: la lunga estate dei dati

A un mese di distanza dall’entrata in vigore, ecco perché il GDPR è stata una rivoluzione copernicana. Cosa fare per avere tutte le carte in regola, in attesa del decreto attuativo di agosto.

A un mese di distanza dall’entrata in vigore, ecco perché il GDPR è stata una rivoluzione copernicana. Cosa fare per avere tutte le carte in regola, in attesa del decreto attuativo di agosto.

Il decreto attuativo che dal 25 maggio slitta al 21 agosto, l’Organismo Congressuale Forense che scrive al Garante della Privacy affinché vengano sospese le sanzioni fino a quando gli avvocati non «verranno posti nelle condizioni di adeguarsi alla normativa». E poi e-mail inviate a tutto spiano da giganti del Web ma anche da piccole aziende – con un picco il 25 maggio stesso – in cui si invitavano gli utenti a confermare eventuali iscrizioni alla newsletter, dando il cosiddetto consenso informato.

A un mese da quando il GDPR è partito l’indifferenza non paga ed è necessario adeguarsi quanto prima. In Italia è successo un po’ di tutto. Compreso quell’atteggiamento tipico di chi si affanna nei giorni immediatamente vicini per poi entrare in una situazione di calma apparente. Bastano un solo dipendente, un sito web attivo, una pagina social aperta, per rendersi, anche indirettamente, titolari del trattamento dei dati personali di persone fisiche.

Ma vediamo cos’è il GDPR e cosa sta cambiando davvero per aziende, PMI, liberi professionisti e cittadini.

Cos’è il GDPR e perché è stato adottato

GDPR è un acronimo che sta per Global General Data Protection Regulation e altro non è che il Regolamento 2016/679  adottato dalla UE il 27 aprile 2016. Un regolamento «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)».

Perché la UE ne ha sentito l’esigenza? Per avere certezza giuridica riguardo al trattamento dei dati dall’Europa verso altre parti del mondo oltre che questioni di armonizzazione interna e maggiore semplicità riguardo al trasferimento di essi.

Probabilmente sulla decisione pesano anche gli attacchi alla cybersecurity del 2016  e il fatto che, stando alle statistiche sull’indice di sicurezza informatica di Accenture Security e Oxford Economics, la media dei paesi UE (eccezion fatta per UK e Francia) è al di sotto, per esempio, di Giappone, USA, Brasile e Singapore, anche se l’Italia non è poi messa così male (11esimo posto).

La “paura” del GDPR

Per certi versi, il GDPR è stato accolto quasi come il passaggio dal 1999 al 2000 o dalla lira all’euro, ossia con un certo timore. Probabilmente su ciò influiscono tanti fattori: la lentezza della comunicazione in merito e che, per esempio, TG e quotidiani dedichino poco spazio all’argomento (non è così main stream, eccezion fatta per il web). C’è da dire, però, che basta andare sul sito del Garante della Privacy per avere tutte le informazioni e dove è disponibile una guida molto chiara.

A questo si aggiunge che la Commissione incaricata di adeguare la normativa italiana in materia di dati personali al GDPR si è insediata con un certo ritardo.

Metteteci poi che alcune società di software e/o fornitori di servizi informatici, così come presunti esperti – provate a cercare su LinkedIn “GDPR specialist” –  cavalcano l’onda puntando sulle sanzioni per chi non sarà in regola e il quadro in Italia è completo.

Il GDPR e il Codice della Privacy

Negli ultimi giorni si è parlato molto del rapporto tra il Codice della Privacy e il GDPR e di un’eventuale abrogazione del primo, anche alla luce di un comunicato del Consiglio dei Ministri. Al momento in cui scriviamo, i due coesistono. Lo schema di Decreto legislativo attuativo del GDPR nella prima versione prevedeva infatti l’abolizione integrale del Codice privacy. La seconda versione, che attende di essere approvata dalle commissioni parlamentari, prevedrebbe invece l’abolizione integrale di singoli articoli specifici nonché la modifica di altri articoli. Per saperne di più, bisognerà aspettare i prossimi giorni.

Le principali novità del GDPR

L’accountability o responsabilità del trattamento dei dati

Tra le novità c’è sicuramente il principio dell’accountability (responsabilità): il titolare o il responsabile del trattamento dei dati sono tenuti a dimostrare di avere fatto tutto il possibile per tutelare i dati della persona. C’è infatti l’onere della prova nei confronti di terzi (Garante della Privacy/organi di controllo) di avere adottato un processo fatto di misure giuridiche, organizzative, tecniche per proteggere i dati della persona.

Il registro dei trattamenti: chi deve tenerlo
Titolare e responsabile hanno pertanto l’obbligo di tenere un registro delle “attività di trattamento effettuato sotto la loro responsabilità” come precisato nell’articolo 30.

Un obbligo che non è generale perché, come spiega il paragrafo 5, «non compete alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati […] o dati personali relativi a condanne penali e a reati di cui all’articolo 10».

Principi cardini dell’accountability, come espresso dall’art. 25 sono:

  • privacy by design: i dati vanno protetti fin dalla progettazione.
  • privacy by default: ossia per impostazione predefinita. Le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
  • minimizzazione del trattamento: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

     

Titolare del trattamento e responsabile del trattamento

L’articolo 4 indica come titolare «la persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali». Ha pertanto poteri decisionali, può impartire istruzioni e direttive e svolge funzioni di controllo. Quando è una persona giuridica, viene considerata l’entità nel suo complesso.

Quanto al responsabile del trattamento, è la «persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento». Può essere interno o esterno.

Data breach o violazione dei dati

Altra novità è il data breach, ossia l’obbligo da parte di titolare o responsabile del trattamento dei dati di notificare sia agli interessati che al Garante un’eventuale violazione dei dati entro 72 ore da quando se ne è venuti a conoscenza, questo a meno che «sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche».

Le tempistiche variano di azienda in azienda così come le sanzioni: fino a 20 milioni di euro o per le imprese fino al 4% del fatturato mondiale annuo dell’esercizio precedente. L’importo delle sanzioni varia anche a secondo della “mancanza” che si ha nei confronti del regolamento. Diversa è per esempio, dal punto di vista della sanzione, la mancata comunicazione al Garante o all’utente. Così come vige la proporzionalità delle sanzioni a seconda del tipo di azienda.

 Chi è il DPO e cosa fa

Che si voglia dirlo all’inglese, ossia Data Protection Officer o all’italiana, Responsabile per la protezione dei dati, è una figura cruciale del GDPR nonché una vera e propria novità. Attenzione perché non tutti sono tenuti a dotarsi del responsabile per la protezione dei dati.

Sono obbligati:

  • ​tutti gli enti pubblici e la PA,
  • le aziende che superano i 250 dipendenti
  • imprese o liberi professionisti che, per motivi diversi, fanno trattamenti dei dati su larga scala.

    Un esempio, in quest’ultimo caso, stando all’interpretazione di quanto dice il GDPR, può essere il consulente del lavoro che ha tanti clienti per i quali gestisce molti cedolini della busta paga.

    Il Dpo può essere una figura interna all’azienda così come esterna, un supervisore indipendente che in un’azienda dipende dal CDA. Ecco perché è importante che abbia una sua struttura e un suo budget in modo che possa muoversi il meglio possibile.

    Anche se il GDPR non lo dice espressamente, dato che il DPO è l’interfaccia dell’azienda con il Garante, è consigliabile sia un giurista esperto di dati.

    Tra i suoi compiti: sorvegliare e consigliare il titolare dei trattamenti, visionare i processi, vedere come funzionano e capire se ledono la privacy o meno. Assicurarsi, cioè, la gestione corretta dei dati. Viene individuato in funzione delle qualità professionali e della sua conoscenza specialistica.

    Due cose: deve mantenere l’autonomia decisionale e deve essere estraneo rispetto alla determinazione delle finalità e modalità del trattamento.

    Inoltre, non esiste una “certificazione DPO” così come non esiste una certificazione GDPR. Il DPO indubbiamente si avvale di un team, ha una conoscenza multidisciplinare, ma non può vantare una certificazione.

Diritto all’oblio

Il GDPR ha introdotto il diritto all’oblio. Come detto nell’articolo 17, l’interessato ha il diritto di chiedere e ottenere la cancellazione dei dati personali che lo riguardano se:

  • i dati personali non sono più necessari rispetto alle finalità del trattamento
  • revoca il consenso su cui si basa il trattamento
  • si oppone al trattamento dei dati e non sussiste motivo perché questi vengano trattati
  • sono trattati illecitamente
  • i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  • i dati personali sono stati raccolti relativamente all’offerta di servizi della società

     

Portabilità dei dati

L’interessato può decidere di trasferire i dati da un titolare a un altro. Questo non è concesso quando i dati sono di interesse pubblico come è il caso delle anagrafi. I dati, inoltre, non possono essere “portati” verso Paesi extra UE o organizzazioni internazionali che non rispondono agli standard di sicurezza e alla tutela.

Cosa deve fare un’azienda

In primo luogo deve informarsi e affidarsi a un consulente se non ha esperienza. Anche perché non esistono soluzioni pronte e valide per tutti.

Prima di capire quali soluzioni e strumenti tecnologici adottare, deve analizzare cosa ha già al suo interno: ossia codice di condotta e comportamentale, regolamento interno, policy della sicurezza ecc., individuare un responsabile dell’amministrazione dei sistemi, creare – se non ce l’ha già – un mansionario delle attività con le competenze di ciascuno.

Bisogna procedere con la mappatura dei processi e realizzare la mappatura dei trattamenti nonché creare dei registri dei trattamenti. Da qui fare un’analisi dei rischi, definire le liste di criticità (gap) per adeguarsi alla normativa, eventualmente revisionare i modelli contrattuali e dopodiché individuare i nomi dei responsabili della privacy, nominare eventuale DPO ecc. (Le attività elencate non sono in ordine cronologico).

Deve inoltre definire il territorio in cui opera e il mercato di riferimento perché in base a questo le regole cambiano. Senza tralasciare i percorsi formativi che attuerà nei confronti dei dipendenti (il GDPR è strettamente collegato alla formazione delle persone).

Il numero dei documenti prodotti così come le persone da individuare cambiano in base alle dimensioni delle aziende e alle sue attività.

GDPR e liberi professionisti

Se è vero che, in generale chi svolge la libera professione, non è tenuto a nominare il DPO né ad avere un registro (dipende se tratta dati in larga scala o meno) c’è da dire che deve essere comunque in regola nei confronti del GDPR. Chiunque faccia profilazione deve avere i consensi degli interessati. Un consenso che non è unico, è infatti necessario che chi dà i propri dati esprima il consenso per ogni singola voce del trattamento, abbia la possibilità – se per esempio si sta iscrivendo a un form – di uscire senza che nessun suo dato sia registrato, così come deve sapere dove saranno messi i suoi dati, per quanto tempo o con quale finalità.

Cosa è successo dopo il 25 maggio

Si è parlato spesso di una “proroga del GDPR”, ma in attesa dell’adeguamento della normativa nazionale al GDPR possiamo dire che tutte le persone fisiche e giuridiche che trattano dati in ottica business si sono dovute mettere in regola entro il 25 maggio.

Dopodiché, per quanto concerne l’applicabilità e i controlli da parte degli organi preposti, si può ipotizzare che non scatteranno immediatamente o che possano essere diluiti nel tempo. Questo a meno che non ci sia un reclamo da parte di un interessato. Perché in quel caso, azienda, PMI o libero professionista sono tenuti, prendendosi il tempo strettamente necessario ma entro certi limiti, a dimostrare che è stato fatto tutto il possibile per preservare i dati alla luce di quanto dice il GDPR.

Articolo scritto con la consulenza di Pierluigi Bevillini, consulente per le aziende.

Siciliana di origine, trapiantata a Milano, ormai la “sua città”. Giornalista, scrive di lavoro, economia e innovazione. Ama i social, tra tutti Twitter dove cinguetta ogni giorno.