Si avvicina quella che secondo gli addetti al settore dovrebbe essere una vera rivoluzione nell’ambito europeo del trattamento dei dati personali, l’entrata in vigore del cosiddetto GDPR.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, varato il 27 aprile 2016, prevede che ogni soggetto giuridico, tranne le persone fisiche che trattino dati per scopi esclusivamente personali ed alcune autorità pubbliche specificamente indicate, che debba trattare i dati personali di terzi, semplicemente identificativi oppure giudiziari o sensibili come quelli inerenti la salute, assuma, entro il 25 maggio 2018, idonee misure organizzative e di sicurezza idonee a limitare i rischi derivanti dal trattamento medesimo adeguandosi alle nuove disposizioni di legge.
Pertanto meno di dieci giorni ci separano da una svolta epocale in tema di Data Protection che avrà un evidente impatto in primis per imprese e professionisti in tutti gli stati europei in cui il regolamento sarà direttamente applicabile.
Il General Data Protection Regulation, breviter GDPR, sostituisce in parte il nostro Codice Privacy D. Lgs. 196/2003 ma soprattutto abroga la Direttiva 95/46/CE (Regolamento sulla protezione dei dati generali) ormai divenuta obsoleta quanto a contenuti visti gli evidenti sviluppi tecnologici intervenuti dal 1995.
Va subito detto a scanso di equivoci come il solo aggiornamento delle informative, seppur richiesto, non è sufficiente per mettersi in regola e chi si limiterà a questa minima iniziativa sarà esposto al rischio di sanzioni in caso di controlli scaturiti da contestazioni degli interessati come più volte verificatosi negli ultimi anni.
Ecco in sintesi i principi e i diritti di cui i titolari, persone fisiche o giuridiche, i responsabili della protezione dei dati personali e gli incaricati dovranno tener conto:
– il principio di accountability per cui è responsabilità dei titolari dei dati di clienti, dipendenti, fornitori, ecc. conformarsi alle nuove prescrizioni e dimostrare in caso di controlli di aver adottato informative chiare, misure di sicurezza adeguate per proteggere i dati e aver effettuato la formazione di cui si dirà;
– the “Data Protection Impact Assessment” (DPIA) ovvero l’obbligo di “valutazione dell’impatto sulla protezione dei dati” in caso di rischi elevati nel trattamento, ad es. la profilazione, i dati biometrici e quelli riferiti ai minori;
– il titolare del trattamento deve pretendere dai fornitori l’uso di software conformi alle prescrizioni del Regolamento UE;
– the “right to be forgotten” il diritto all’oblio e “the right to data portability” il diritto alla portabilità dei dati a favore degli interessati;
– l’obbligo di comunicare entro settantadue ore agli interessati e al Garante le violazioni alla sicurezza che comportano l’accesso e la divulgazione dei dati personali non autorizzata, la perdita, ecc. (data breaches notification);
– il principio di “privacy by design” ovvero la necessità di tutelare il dato personale sin dalla progettazione dei sistemi informatici che ne prevedono l’utilizzo e il principio di “privacy by default” ovvero la tutela i dati personali come impostazione predefinita dell’organizzazione aziendale;
– l’obbligo di trattare i dati personali c.d. “sensibili” in particolar modo quelli concernenti la salute in maniera totalmente sicura, utilizzando tecniche di cifrature dei dati e/o dei databases;
– il registro del trattamento dati, in realtà saranno due considerando anche quello del responsabile della protezione dei dati, obbligo richiesto alle imprese con almeno duecentocinquanta dipendenti;
– la nomina di un Data Protection Officer (D.P.O.) che, ex art. 37 GDPR, è obbligatoria se le attività principali del titolare consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala o riguardano categorie particolari di dati o di dati personali relativi a condanne penali e reati chi deve dovrà svolgere il trattamento dei dati su larga scala.
In vista della prossima scadenza le imprese e tutti coloro che trattano i dati personali, associazioni e fondazioni ma anche le PMI e le ditte individuali del microcosmo commerciale italiano, i medici e altri professionisti sono chiamati ad adeguarsi alle prescrizioni del Regolamento e questo preferibilmente affidandosi all’assistenza di Data Protection Advisors, esperti del diritto della privacy, che dovranno agire in stretta collaborazione con il titolare del trattamento in azienda.
Sarà ovviamente necessario analizzare caso per caso il soggetto implicato nel trattamento, la “compliance” aziendale alla normativa alla luce non solo del GDPR e della normativa italiana in tema I.C.T. ma anche considerando le prescrizioni del ben noto D. Lgs 231/2001 sulla “responsabilità amministrativa degli enti”.
Rientra poi nel quadro delle attività di “compliance” e non va trascurato l’obbligo di formazione di tutti coloro che a vario titolo saranno chiamati a trattare i dati personali in azienda. L’art. 32.4 del GDPR dispone che chiunque “abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento…”
La formazione è vista dal legislatore sovranazionale come una decisiva misura di sicurezza per la protezione dei dati personali e quindi la prescrive a tutti i titolari del trattamento.
E ora il capitolo sanzioni che si prospetta assai scottante almeno sulla carta… del Regolamento.
La norma UE introduce un nuovo sistema punitivo a seguito dei controlli, in Italia della Guardia di Finanza che agisce per il Garante, sanzioni che, seppur erogate con gradualità, dalla semplice “reprimand” diffida amministrativa, potrebbero arrivare ad una pena pecuniaria di 20 milioni di euro oppure anche al 4% del fatturato totale annuo dell’esercizio precedente con la possibilità di limitare o addirittura vietare il trattamento dei dati personali.
Le sanzioni se comminate all’azienda potrebbero causare evidenti ripercussioni nei rapporti tra i soci e aprire la porta alle azioni di responsabilità oltre che danneggiare l’immagine societaria.
Attenzione: va sottolineato che le aziende inadempienti potranno poi rispondere anche ai sensi del D. Lgs. 231/2001 se non adottano misure idonee a prevenire i reati da illecito trattamento dei dati personali aggiornando per tempo i modelli organizzativi.
Poi non andrà dimenticato il pericolo dei risarcimenti a favore dei soggetti interessati che adducano un danno causato dal trattamento non conforme al GDPR. Il regolamento UE contiene una serie di indicazioni che dovranno essere prese in considerazione ai fini della valutazione dell’impatto che può avere una violazione per gli eventuali danni agli interessati.
Si legge nel testo normativo che una violazione dei dati, se non affrontata in modo adeguato, può provocare danni fisici, materiali o immateriali alle persone fisiche tra cui la perdita del controllo dei dati personali che li riguardano o la limitazione dei loro diritti, la discriminazione, il furto o usurpazione d’identità, perdite finanziarie, la decifratura non autorizzata degli pseudonimi utilizzati, il pregiudizio alla reputazione, la perdita di riservatezza dei dati personali protetti da segreto professionale e altro.
L’onere della prova, si noti bene, non è a carico del danneggiato ma incomberà sull’impresa titolare e sul responsabile del trattamento, responsabili in via solidale, che saranno tenuti a risarcire il danno se non dimostrano che esso non è “in alcun modo” loro imputabile.
Dopo questi prime riflessioni sul tema, certamente non esaustive delle svariate problematiche che interessano la prossima Data Protection, rimandiamo gli attenti lettori ad ulteriori commenti sul GDPR e l’iter che porterà quest’anno alla sua entrata in vigore.
Commenta per primo