GDPR Compliance: una sfida tecnologica, organizzativa e culturale

Un nuovo approccio al trattamento dati: è questo che rappresenta, nei fatti, il GDPR. La compliance al trattamento dei dati personali da formale diviene più sostanziale; ogni azienda, istituto e fornitore di servizi che offra i propri prodotti o servizi ai cittadini della UE dovrà necessariamente documentare cosa prevede a garanzia della “sicurezza dei dati” adottando specifiche misure.

È noto: il Parlamento Europeo, nell’aprile 2016, ha approvato il Regolamento Generale sulla Protezione dei Dati (GDPR) [Regolamento (UE) 2016/679].

Il GDPR (che è già in vigore: il 25 maggio 2018 è il termine ultimo per mettersi in regola) rappresenta la più grande revisione delle norme sulla privacy da oltre 20 anni ed ha evidentemente l’ambizione di rafforzare ed unificare la normativa sulla protezione dei dati personali entro i confini UE (superando i parziali regolamenti locali) regolando anche il tema dell’esportazione dei dati personali al di fuori dei confini UE.

La dimensione del tema discusso è pertanto globale e l’influenza normativa esercitata dall’Europa ne sancisce il ruolo di indiscussa superpotenza – il cosiddetto“Effetto Bruxelles”.

“Vogliamo fissare lo standard globale – ha detto Věra Jourová, il commissario europeo per la giustizia – la privacy è una priorità per noi.”

Israele e Nuova Zelanda hanno stretto accordi con l’UE certificando che le loro regole sulla protezione dei dati sono uguali a quelle dell’Europa.

In Argentina, esperti legali affermano che le attuali riforme per la protezione dei dati porteranno il paese latinoamericano in gran parte alla pari con le nuove norme dell’UE, comprese le garanzie legate all’indipendenza dell’agenzia per la privacy del paese.

In Giappone, che è ancora in attesa della propria decisione sull’adeguatezza dopo aver firmato un accordo di libero scambio con l’UE a dicembre, i legislatori hanno anche approvato riforme lo scorso anno che rispecchiano molti standard europei esistenti, come l’imposizione di restrizioni sui trasferimenti internazionali di dati verso paesi i cui le regole sulla privacy non offrono protezioni equivalenti.

Altri paesi, dalla Colombia alla Corea del Sud alla minuscola nazione insulare delle Bermuda, stanno analogamente riavviando la legislazione nazionale.
A volte, ciò implica l’adozione di regole europee quasi parola per parola.

Coloro che ancora prediligono un approccio attendista sono certamente ben consapevoli che il rischio di rimanere “fuori dai giochi” non potrà essere sopportato a lungo.

Per quanto ci riguarda, in vista della compliance entro il termine del 25 maggio 2018 sarà utile, a mio avviso, una concreta analisi che parta dal modo in cui il GDPR rafforza ed amplia la definizione dei diritti di proprietà individuale rispetto ai regimi di privacy precedenti (Direttiva UE 1995) per poi apprendere il significato e la portata della nuova terminologia creata dal GDPR. La consapevolezza, inoltre, di quanto siano oggi infinitamente più sofisticate e pericolose le minacce per la sicurezza dei dati da parte di criminali e aggressori istituzionali è un altro fattore determinante e non certamente trascurabile. Tali saranno le premesse ed i punti cardine individuabili nel testo normativo tesi a fornire un “metodo” (illustrato in un prossimo approfondimento) valido verso la conformità, che in ogni caso andrà affrontato su tre livelli e da tre distinti punti di vista:

1. Livello Tecnologico

2. Livello Gestionale

3. Livello Legale

Relativamente al modo in cui il GDPR rafforza ed amplia la definizione dei diritti di proprietà individuale rispetto ai regimi di privacy precedenti, ritengo di dover sottolineare quanto segue.

  • L’attuale Direttiva 95/46 prevede che la disciplina in materia di tutela di dati personali trovi applicazione, per il tramite delle legislazioni nazionali, quando il trattamento di dati personali è effettuato “nel contesto delle attività di uno stabilimento del titolare situato nell’UE”.
  • Il Nuovo Regolamento rovescia il tradizionale principio di stabilimento, sancendo l’applicabilità della disciplina da questo dettata “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione” e stabilisce specificatamente l’applicazione, delle sue regole anche a Titolari e Responsabili non stabiliti nell’UE. Il “trattamento dati” riguarda tutte le operazioni e procedure sia operative che amministrative di un’azienda, e la tecnologia adottata durante il ciclo vita del dato: acquisizione, gestione, eventuale distruzione.
  • Il GDPR ridefinisce le figure del Titolare e del Responsabile attribuendo loro obblighi ulteriori rispetto a quanto previsto dalla Direttiva 95/46 e dal Codice Privacy e soprattutto responsabilità specifiche e dirette (principio di accountability): oltre ai poteri ispettivi e sanzionatori (rilevanti) attribuiti alle Autorità di Controllo, ciò si traduce nel rischio concreto per i titolari, in caso di violazioni, che gli interessati ritengano fondate pretese risarcitorie dei danni subiti (ai sensi dell’art. 82 ).

“Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. È immediato l’accostamento con l’art. 2050 c.c. che disciplina la responsabilità per l’esercizio di attività pericolose.

  • Introduce inoltre i concetti di privacy by design e by default (art. 25). Il primo richiede che Il Titolare adotti e attui misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino i principi di protezione dei dati. Il secondo presuppone invece misure e tecniche che, per impostazione predefinita, garantiscano l’utilizzo dei soli dati personali necessari per ciascuna specifica finalità di trattamento.
  • Vengono ulteriormente rafforzati i diritti degli individui. Questo si traduce nella possibilità di accedere più facilmente agli stessi, nel diritto a essere informati su come i propri dati vengono processati e gestiti, nel diritto a trasferire i propri dati tra diversi fornitori in formato aperto. Inoltre ogni individuo che non vuole più che i propri dati vengano trattati e dimostra come non ci sia motivo per conservarli, può esigere la loro cancellazione (diritto all’oblio). L’impatto sui diritti dei cittadini è estremamente rilevante.
  • La richiesta di cancellazione, in particolare, disciplinata dall’art 17 rappresenta altresì una delle più incidenti novità del GDPR e qualora rivolta ad un titolare che abbia reso pubblici i dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano (portata ben più ampia del diritto all’oblio con riguardo ai soli motori di ricerca più diffusi). La norma è molto complessa, estremamente difficoltosa ne sarà l’attuazione.
  • Viene ulteriormente regolamentato anche il trattamento dei dati del minore(anche in relazione ai servizi di informazione offerti in forma diretta).

  • Ogni individuo acquisisce il diritto di sapere quando i propri dati sono stati violati. Attualmente solo i “fornitori di servizi di comunicazione elettronica accessibili al pubblico” hanno l’obbligo di comunicare l’avvenuta violazione di dati personali al Garante per la protezione dei dati e in determinati casi, anche al contraente/cliente. Il GDPR, in caso di “data breach”(violazione de dati) estende tale obbligo di comunicazione a tutti i Titolari e Responsabili, quali che siano i trattamenti posti in essere. In pratica, aziende, professionisti ed organizzazioni devono notificare il prima possibile (48–72 ore) all’Autorità Nazionale di Vigilanza (Garante Privacy in Italia) le violazioni di dati personali più gravi, cosicché gli utenti possano prendere le misure adeguate.

L’art. 68 del Regolamento ha istituito il Comitato europeo per la protezione dei dati. Erede del “Gruppo articolo 29” avrà poteri più incisivi: pubblicare linee guida, raccomandazioni, best practices e comporre le controversie con e tra le Autorità di controllo. Il Regolamento garantisce al Comitato l’indipendenza e l’autonomia.

  • Con l’entrata in vigore del nuovo regolamento UE, il Garante per la protezione dei dati personali (un’autorità amministrativa indipendente istituita dalla legge sulla privacy, ex legge 31 dicembre 1996 n.675) dovrebbe intervenire principalmente ex post.
    La sua valutazione si collocherà successivamente alle valutazioni del titolare del trattamento. Sarà quindi abolito l’istituto della notifica preventiva dei trattamenti, sostituito da obblighi di tenuta di un registro dei trattamenti e da valutazioni di impatto autonome.

Al Comitato europeo della protezione dei dati spetterà invece il ruolo di garantire uniformità di approccio alla normativa e fornire ausili interpretativi.

  • Il prior checking è previsto dall’articolo 36 del regolamento europeo. Qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, il titolare del trattamento consulta l’autorità di controllo prima di procedere al trattamento. Inoltre, il nuovo regolamento europeo ha introdotto il principio dello sportello unico per stabilire a quale Autorità di controllo sia soggetta un’azienda che opera in più paesi.
  • In Italia, intanto, stando alla Nuova Legge di Bilancio, il ruolo del Garante viene, a parer mio, ridefinito in modo piuttosto contrastante se non addirittura “bizzarro”.Mi riferisco nello specifico alla funzione istruttoria ad esso attribuita ai sensi del comma 1022 e ss ed esercitabile sulla base dell’informativa ricevuta dal titolare: direi quasi un tentativo di reintrodurre un ibrido tra notificazione, autorizzazione e verifica preliminare privacy preesistenti ancorché incompatibili con la normativa GDPR. Sul punto aspetteremo con ansia le definitive determinazioni dell’Autorità Nazionale Vigilante.

Conclusioni

Il GDPR ha raggiunto comunque lo scopo di uniformare, a livello internazionale, la vasta terminologia in esso contenuta omologandone il significato e la portata; ne parlo più diffusamente in questo articolo.

Mi sembra ineludibile la considerazione di come il tema abbia una dimensione globale (non solo europea) e che nessuno si possa sottrarre all’adeguamento, sia in termini normativi e culturali che tecnologici.

Dal 25 maggio, tutti i trattamenti gestiti da data controller (titolari) o data processor (responsabili), anche se non stabiliti sul territorio dell’UE, saranno soggetti alla normativa europea qualora si rivolgano a beni o servizi offerti, anche gratuitamente, a persone fisiche (interessati) all’interno dell’UE o semplicemente riguardino dati trattati attraverso il monitoraggio dei comportamenti dei soggetti interessati svolti sul territorio UE.

Al solito, qualcuno vorrà lamentare sforzi inutili e costi che si potevano evitare; altri coglieranno l’opportunità per migliorare la propria organizzazione in termini di formazione, tecnologia ed efficienza.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *