Il 25 maggio maggio p.v. entrerà in vigore il nuovo Regolamento UE n. 2016/679 (Regolamento generale sulla protezione dei dati – RGPD, ovvero General Data Protection Regulation – GDPR). Il Regolamento è finalizzato ad assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione Europea.
Il Regolamento, a differenza di quanto si era verificato in passato, quando la direttiva 95/46/CE aveva implicato l’approvazione di norme di recepimento, oggi inserite, nel nostro Paese, nel “Codice della privacy” (D. Lgs. n. 196/2003), sarà direttamente applicabile negli Stati membri, anche se il Parlamento ha delegato il Governo, con la legge n. 163, del 25 ottobre 2017, ad adottare, entro sei mesi dalla data di entrata in vigore della legge medesima, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento.
Le norme del Regolamento introducono nuovi obblighi e prevedono a carico dei titolari del trattamento pesanti responsabilità, con sanzioni pecuniarie fino a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Il Regolamento promuove la responsabilizzazione dei titolari del trattamento e l’adozione di politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
Si tratta di un approccio promosso fin dalla fase di ideazione e progettazione di un trattamento, in modo da adottare comportamenti che consentano di prevenire le problematiche future.
In compenso, scompaiono alcuni oneri amministrativi, come l’obbligo di notificare particolari trattamenti o quello di sottoporre a verifica preliminare dell’Autorità i trattamenti considerati “a rischio”.
Oltre ad una rinnovata normativa tecnica di dettaglio in tema di consenso, Titolare e Responsabile del trattamento, il Regolamento prevede alcuni princìpi ed istituti innovativi:
- Accountability: si tratta di un principio di responsabilizzazione del Titolare, che ha l’obbligo di poter dimostrare la conformità del trattamento dei dati al Regolamento; per dimostrare il rispetto degli obblighi, il Titolare del trattamento può utilizzare l’adesione a codici di condotta o a un meccanismo di certificazione.
- DPIA: Data Protection Impact Assessment, l’obbligo di svolgere, per alcuni specifici trattamenti, la Valutazione d’Impatto sulla Protezione dei Dati;
- Privacy by Design, Privacy by Default: il principio della gestione dei processi di valutazione preventiva e continua;
- DPO: il Data Protection Officer, la cui nomina è obbligatoria per le aziende private che trattino dati su larga scala o che effettuino il monitoraggio sistematico degli interessati, oltre che per la Pubblica Amministrazione;
- Registro delle Attività di Trattamento: in esso sarà obbligatorio registrare le caratteristiche, le modalità e finalità dei trattamenti;
- Portabilità dei Dati: l’obbligo di trattare i dati in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile, in modo da poterli all’occorrenza trasmettere agevolmente ad un altro fornitore di servizi o comunque ad un altro titolare del trattamento;
- Diritto all’Oblio: la garanzia per tutti gli interessati del diritto alla cancellazione dei dati personali;
- Data Breach Notification: l’obbligo di notificare all’Autorità di Controllo una violazione dei Dati Personali entro 72 ore.
Tutti i soggetti (enti, società, associazioni) che trattino dati personali hanno l’esigenza di rimettere in discussione le soluzioni finora adottate per adempiere agli obblighi sulla “tutela della privacy”.
E ciò a partire da un completo monitoraggio del tipo e del numero dei dati raccolti e trattati, delle responsabilità in campo, del personale operativo, degli ambienti e della strumentazione, in modo da poter responsabilmente considerare se sussista l’obbligo di procedere ad una Valutazione d’Impatto, nominare un Data Protection Officer, istituire il Registro delle Attività di Trattamento, rivedere le modalità di trattamento in sicurezza dei dati, riconsiderare il rapporto con i Responsabili del trattamento ai fini della stipula di un adeguato contratto che vincoli il Responsabile del trattamento al Titolare, disciplini la materia e la durata del trattamento, la sua natura e finalità, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare, redigere nuove formule di informativa e consenso per gli interessati.
La soluzione necessaria, per i soggetti con i rischi più importanti, dovuti soprattutto alla presenza di un elevato numero di trattamenti o di dati del tipo “sensibile”, pare essere quella di dotarsi di sistemi in grado di “fotografare” l’azienda e i relativi trattamenti, valutando per ciascuno di essi il relativo livello di rischio e permettendo al Titolare del trattamento di autorizzare solo determinati soggetti a visualizzare i dati, attivare un adeguato sistema di gestione della sicurezza delle informazioni, in linea con gli obblighi disciplinati dal GDPR, quindi garantire la riservatezza e l’integrità dei servizi coinvolti nel trattamento dei dati personali anche attraverso tecniche di pseudonimizzazione e crittografia dei dati.
Emerge dunque, per tutti i soggetti implicati, dalle Strutture territoriali alle società controllate o collegate, fino ovviamente alle aziende associate, l’esigenza di procedere ad un serio ed attento monitoraggio dell’ “ambiente privacy”.
Evidenziando la complessità della gestione e la difficoltà di assicurare un adeguato livello di sicurezza dei dati in relazione al nuovo sistema normativo, va considerata attentamente l’esigenza di utilizzare competenze specialistiche anche esterne, in abbinamento a programmi informatici, presenti sul mercato o da predisporre, che possano risolvere le problematiche inerenti la tutela dei dati personali evitando la possibile applicazione del pesante regime sanzionatorio, e ciò avendo presente che l’adeguamento ai nuovi obblighi dovrà essere assicurato entro il termine del 25 maggio 2018, ma che i processi implicati vanno attivati il prima possibile, data la complessità dell’operazione.
Allo scopo di meglio descrivere gli aspetti più particolari della nuova normativa, si rimanda alle strutture territoriali di Confesercenti, dove sarà possibile contare sull’ausilio tecnico di personale preparato.