Una serie di 'istruzioni per l'uso' che AGI ha chiesto all'avvocato
Ernesto Belisario, esperto di diritto delle tecnologie. Le nuove norme
saranno attive dal 25 maggio
https://www.agi.it/economia/gdpr_guida_privacy-3939549/news/2018-05-24/
Arriva una data importante, se non storica, per la privacy: venerdì 25
maggio entra in vigore la normativa europea sulla protezione dati, in
sigla GDPR (General Data Protection
Regulation)[
https://www.agi.it/innovazione/regolamento_europeo_privacy-3870120/news/2018-05-09/].
Riguarda tutta la filiera che accompagna i dati personali di ciascuno di
noi, coinvolgendo quindi aziende, pubblica amministrazione,
professionisti e via dicendo.
Non solo quindi i social. Il GDPR si basa, infatti, sul principio di
"responsabilizzazione" (in inglese accountability)
[
https://www.agi.it/blog-italia/digitale/privacy_dati_nuovo_regolamento-3683504/post/2018-03-26/]
di chiunque effettui operazioni di trattamento nell'ambito della propria
attività (il cosiddetto "titolare del trattamento"). Significa, quindi,
che ciascuno dovrà fare le valutazioni e le scelte adatte alla propria
specifica realtà. E le sanzioni per l'inosservanza delle norme possono
arrivare fino a 20 milioni di euro o, se superiore, fino al 4% del
fatturato mondiale totale. Particolare attenzione è dedicata alla tutela
dei minori che - per accedere ai servizi della società dell'informazione
(come i social network) - devono avere almeno 16 anni per poter prestare
autonomamente il consenso al trattamento.
Il Regolamento è destinato ad abrogare la Direttiva 95/46 che ha portato
l'Italia all'adozione dell'attuale Codice Privacy (il Decreto
Legislativo n. 196/2003), norme che sono state adottate però in un
contesto tecnologico completamente diverso, prima cioè che internet,
social media, cloud e servizi in rete cambiassero definitivamente il
nostro modo di vivere e lavorare. Ora, le nuove norme mirano proprio ad
adeguare il livello di protezione dei nostri dati all'evoluzione degli
strumenti che utilizziamo quotidianamente e con cui registriamo,
trasmettiamo e archiviamo i dati dei nostri utenti e dipendenti.
Il perché del GDPR sta quindi nell'esigenza di assicurare la "tutela
delle persone fisiche con riguardo al trattamento dei dati personali e
la libera circolazione di tali dati" e i trattamenti di dati personali,
sia nel settore privato che nel settore pubblico. Approvato nel maggio
2016, il Regolamento è per la verità già in vigore, la data del 25
maggio 2018 fissata da un Regolamento Europeo, il n. 679/2016, lo
renderà definitivamente applicabile in tutto il territorio Ue, senza che
siano richiesti atti di recepimento da parte dei singoli Stati membri.
Ad ogni modo l'Italia sta lavorando a un decreto legislativo con
l'obiettivo di adeguare le norme italiane al GDPR che troverà comunque
applicazione a prescindere dall'adozione del decreto entro due giorni.
Pertanto niente proroghe o differimenti. La scadenza richiede di
intraprendere un percorso consapevole finalizzato alla protezione dei
dati trattati. Evitando di cadere nell'allarmismo ed evitando anche le
trappole che anche in questa circostanza non mancano, come quelle di chi
già si fa avanti proponendosi come esperto e in grado di far sì che, in
cambio di un compenso - "a partire da 19,99 euro" -, ci si possa
adeguare alle nuove regole. Ecco quindi una guida, una serie di
'istruzioni per l'uso' che AGI ha chiesto all'avvocato Ernesto
Belisario, esperto di diritto delle tecnologie. Vediamo le novità
principali che il GDPR introduce e con cui occorre avere da subito
confidenza.
1. L'obbligo di nominare un Data Protection Officer
Il Regolamento prevede l'obbligo per alcuni soggetti di nominare un DPO
- Data Protection Officer (ovvero il responsabile della protezione dei
dati personali). Si tratta di una figura, interna o esterna alla
struttura del titolare, che deve possedere dei requisiti specifici (ad
esempio in termini di esperienza e competenza) e deve occuparsi della
corretta applicazione della normativa, curando con particolare
attenzione la formazione del personale.
Il DPO è obbligatorio quando il trattamento è effettuato da una pubblica
amministrazione (eccezion fatta per le autorità giurisdizionali) e
quando le attività di trattamento consistano nel monitoraggio su larga
scala degli interessati oppure determinino il trattamento su larga scala
di dati sensibili (dati che rivelino l'origine razziale o etnica, le
opinioni politiche, le convinzioni religiose o filosofiche, o
l'appartenenza sindacale, dati genetici, dati biometrici intesi a
identificare in modo univoco una persona fisica, dati relativi alla
salute o alla vita sessuale o all'orientamento sessuale della persona).
Il Garante Privacy ha chiarito che, anche quando non obbligatoria, la
nomina del DPO è comunque sempre consigliata in quanto può rappresentare
un valido supporto.
2. La valutazione d'impatto e il registro dei trattamenti
Nel caso in cui i trattamenti posti in essere siano particolarmente
rischiosi per i diritti e le libertà degli interessati (ad esempio, la
videosorveglianza), il titolare è obbligato ad una valutazione
preliminare di impatto sulla tutela dei dati (cosiddetta "privacy impact
assessment"), con una precisa analisi dei rischi e delle contromisure
poste in essere. Inoltre, tutte le organizzazioni con più di 250
dipendenti oppure che - indipendentemente dal numero dei dipendenti -
pongano in essere trattamenti potenzialmente pericolosi sono tenute
all'adozione di un "registro delle attività di trattamento" che
contenga, tra le altre informazioni, la descrizione delle misure di
sicurezza adottate.
3. Gli obblighi nei confronti degli utenti
Gli utenti devono essere informati in modo semplice e chiaro sulle
finalità, modalità e ambito del trattamento. Le informative richieste
agli utenti (dal form per una newsletter ai moduli per richiedere una
fidelity card) devono quindi essere aggiornate, prevedendo alcune
informazioni nuove (come la base giuridica del trattamento e il tempo di
conservazione dei dati) e semplificando il testo in modo da renderle
realmente comprensibili. Particolare attenzione è dedicata alla tutela
dei minori che - per accedere ai servizi della società dell'informazione
(come i social network) - devono avere almeno 16 anni per poter prestare
autonomamente il consenso al trattamento.
4. Le misure tecniche da adoperare
Ogni titolare del trattamento è tenuto ad adottare misure tecniche e
organizzative sin dal momento della progettazione oltre che
nell'esecuzione del trattamento, che tutelino i principi di protezione
dei dati. Non esiste un elenco di misure di sicurezza "minime" uguali
per tutti. Spetta a ciascuno decidere e assumersi le responsabilità di
quali siano le contromisure adeguate alla propria realtà (crittografia,
controllo degli accessi, sorveglianza degli archivi, ecc.).
5. Venire a conoscenza delle violazioni dei propri dati
Viene introdotto il diritto degli interessati di venire a conoscenza
delle violazioni dei propri dati personali ("data breach"). Questo
significa che - nel caso di incidenti di sicurezza relativi ai sistemi
utilizzati per il trattamento (come lo smarrimento di una chiavetta Usb,
il furto di un fascicolo oppure un attacco informatico) - il titolare
del trattamento dovrà organizzarsi per procedere alla notificazione al
Garante Privacy senza ritardo (e, comunque, entro le 72 ore). Inoltre,
la comunicazione dovrà essere data a tutti gli interessati, se la
violazione è suscettibile di presentare un rischio elevato per i diritti
e le libertà delle persone fisiche (ipotesi assai probabile, ad esempio,
nel caso dei dati sanitari o dei servizi di posta elettronica o
messaggistica).
6. Le sanzioni
Il sistema sanzionatorio previsto del GDPR è molto più severo rispetto a
quello del Codice Privacy. Le sanzioni amministrative - che saranno
inflitte dal Garante Privacy - possono arrivare fino a 20 milioni di
euro o, se superiore, fino al 4% del fatturato mondiale totale. Le
sanzioni non sono però l'unico spauracchio. In attesa di vedere se e
quali saranno gli illeciti penalmente rilevanti previsti dal Decreto che
il governo italiano si appresta ad adottare, è importante tenere a mente
che chiunque subisca un danno da una violazione del GDPR ha il diritto
di ottenerne il risarcimento dal titolare, a meno che quest'ultimo non
dimostri che il danno non gli è alcun modo imputabile. E forse questa è
alla fine la prova più difficile da dare se non sono state affrontate
tutte le novità del GDPR.
--
"Faccio un lavoro che di fatto non è un lavoro, direi che è un modo di
vivere" L. Bertell
"tecnologie appropriate"
GPG keys available on keyserver
https://pgp.mit.edu/
Ox 44CC 163A
Fingerprint: 946A 499A E30B 78B6 BAE1 F5B8 A03A 5077 44CC 163A