Siamo giunti al fatidico 25 maggio 2018, data in cui acquisterà piena applicazione il Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation), e molti ancora sono i dubbi interpretativi rispetto alle attività che i soggetti che trattano i dati personali dovranno porre in essere.
Massive sono state in questo periodo le comunicazioni ed avvisi relativamente agli adempimenti necessari al fine di raggiungere la Compliance al Regolamento, ed evitare così le pesanti sanzioni previste.
GDPR e Codice Privacy: facciamo chiarezza
Ma la non estrema chiarezza che può essere ravveduta in questa fase trova riscontro nella mancata adozione da parte del Legislatore Italiano della nuova Legge sulla Privacy (il Governo ha infatti inviato in data 10 maggio 2018 al Parlamento lo schema di Decreto Legislativo finalizzato ad adeguare ed armonizzare la normativa italiana al Regolamento Europeo – l’Esecutivo ha infatti ritenuto di non abrogare in toto il vecchio Codice Privacy, ma di modificare le singole parti di esso che sono in contrasto con il GDPR).
Ebbene, in questa situazione di covigenza del noto Codice Privacy del 2003 e del Regolamento GDPR, i soggetti che dovranno espletare gli adempimenti previsti dal Legislatore Europeo potranno nutrire dubbi interpretativi ed applicativi.
GDPR, cosa fare
Cercheremo qui di fare un breve riepilogo degli adempimenti richiesti.
Dalla attenta analisi del GDPR appare evidente il principio cardine su cui la norma si fonda: l’Accountability, inteso come consapevolezza dei rischi connessi al trattamento dei dati personali, tal che i soggetti che si occupano del loro trattamento dovranno porre in essere tutte le misure adeguate affinchè si riduca il rischio di perdita, divulgazione, cancellazione dei dati medesimi, al contempo, tale principio si concretizza nella necessità di essere in grado di dimostrare la conformità delle attività di trattamento con il regolamento medesimo.
Ritengo necessario affermare che le molteplici attività previste dal GDPR devono essere intese come attività interconnesse ed omogenee rispetto ai dettami previsti, ed allora le varie fasi ampiamente regolate, potranno essere intese come un insieme omogeneo, rappresentato da:
- Mappatura dei trattamenti
- Valutazione dei rischi
- Valutazione d’impatto
- Nomina DPO
- Registro dei trattamenti
Il tutto dovrà determinare la realizzazione di attenta analisi della realtà del soggetto titolare dei dati e della struttura tecnica ed organizzativa, al fine di porre in essere le necessarie attività.
GDPR – Analisi dei rischi
Il primo adempimento che deve essere effettuato è una ampia e completa analisi dei rischi relativamente al soggetto che tratta i dati (possibile furto di credenziali di autenticazione, rivelazione o esposizione delle credenziali, accesso di terzi ai dati, possibile infezione di virus o worm, accesso di terzi non autorizzati ai luoghi in cui si trovano i dati in forma cartacea, furto di computers, incendio dei locali ove si trova l’archivio cartaceo ed informatico, ecc).
Relativamente ai rischi che solo a titolo esemplificativo ho indicato, il Titolare dei trattamenti, con il supporto del Data Protection Officer (ove esso sia nominato), dovrà porre in essere le relative azioni e misure necessarie per ridurre i rischi e consentire la corretta tenuta e trattamento dei dati (rinnovo frequente delle credenziali di accesso, formazione adeguata del personale incaricato al trattamento dei dati, adozione di adeguati ed avanzati software antivirus, firewall e antispam, utilizzo di crittografia per i dati più delicati che richiedono di protezione adeguata, regolamentazione dell’accesso di persone terze ai luoghi ove sono collocati gli archivi dei dati, realizzazione di back-up automatizzato e frequente dei dati in supporti sicuri e non connessi alla rete, ecc).
Le attività dianzi brevemente accennate potranno rappresentare la base per ciò che il GDPR identifica come Privacy By Design e Privacy By Default, intese come realizzazione e mantenimento di un assetto organizzativo e tecnico finalizzato alla corretta tenuta dei dati e riduzione dei rischi di violazione.
Responsabile della protezione dei dati – DPO
Ai sensi dell’art 37 del GDPR i titolari del trattamento dovranno provvedere alla nomina del DPO nei casi in cui:
- Trattamento effettuato da autorità, organismo o Ente Pubblico
- Titolare del trattamento è società con numero di dipendenti superiore a 250 unità
- Attività principale del titolare del trattamento richiede il monitoraggio degli interessati sistematico su larga scala
- Attività principale attiene al trattamento su larga scala di dati che necessitano particolare tutela (dati sanitari, condanne penali, ecc).
Al di là delle previsioni per le quali la nomina del DPO è obbligatoria, appare in ogni caso possibile, ed anzi consigliabile, procedere con tale adempimento da parte del titolare, al fine di porre in essere una ancor più attenta attività connessa con la necessità del corretto trattamento dei dati.
I compiti previsti per il DPO sono in buona sostanza quelli di analizzare gli aspetti organizzativi e tecnici del titolare e di fornire attività di consulenza circa gli obblighi di cui al Regolamento.
Il DPO dovrà inoltre:
- sorvegliare l’osservanza del Regolamento in materia di protezione dei dati personali,
- fornire un parere in ordine alla valutazione dell’impatto sulla protezione dei dati
- essere un punto di riferimento e di raccordo con l’autorità di controllo in merito a questioni connesse al trattamento.
- Coadiuvare il Titolare nella corretta tenuta del Registro dei Trattamenti.
Registro dei Trattamenti
Fondamentale attività che il GDPR richiede è la tenuta del Registro dei Trattamenti, documento analogo al Documento Programmatico della Sicurezza, che non rappresenta però un mero documento formale, ma al contrario si concretizza come un necessario processo per la corretta gestione dei dati personali, in continuo aggiornamento ed ampliamento.
Il Regolamento prevede l’obbligo di tenuta del Registro per le Pubbliche Amministrazioni, le Aziende con numero di dipendenti maggiore di 250, o per quei soggetti che trattino dati sensibili o su larga scala, ma nonostante tale obbligo, è a mio avviso fortemente consigliata la predisposizione e regolare tenuta di tale Registro anche per tutti gli altri casi, in ragione del principio di Accountability sopra menzionato e per porre chiarezza espositiva, e prima ancora organizzativa, relativamente a tutte le fasi del trattamento dei dati.
Il Registro, che deve essere mantenuto in forma scritta (cartacea o elettronica) dovrà contenere informazioni dettagliate ed aggiornate in ordine a tutte le attività espletate in funzione del trattamento, quali:
- il nome del Titolare del trattamento, e del DPO
- le finalità del trattamento e durata della conservazione dei dati
- la descrizione delle categorie di interessati e delle categorie dei dati (dipendenti, fornitori, clienti, ecc)
- i destinatari a cui i dati personali sono stati o saranno comunicati e gli eventuali trasferimenti di dati personali verso un paese terzo e la documentazione relativa alle garanzie adeguate (rispetto dei paesi terzi al livello di obblighi e sicurezza previsti dal Regolameto)
- una descrizione generale delle misure di sicurezza tecniche e organizzative.
Informativa Privacy
Fondamentale attività prevista dal GDPR all’art 13 è la redazione di un’attenta informativa che il Titolare dovrà inviare a tutti i soggetti (clienti, fornitori, dipendenti) e che dovrà necessariamente contenere:
- Identità e contatti del Titolare del trattamento
- Identità e contatti del DPO
- Obiettivo perseguito con il trattamento dei dati
- Base giuridica del trattamento
- Destinatari dei dati
- Eventuali flussi transfrontalieri
- Durata della conservazione dei dati
- Elencazione dei diritti previsti dal GDPR
Sito WEB, adempimenti previsti per la GDPR
Particolare attenzione dovrà essere posta ai portali Web dei Titolari. I Siti Internet, oltre che informare in via univoca circa l’esistenza di un prodotto, un servizio, una realtà organizzata, possono essere bidirezionali, e fornire così servizi complessi, quali l’e-commerce, la prenotazione di eventi, e quindi la raccolta di dati personali nelle modalità più varie (raccolta di dati per l’acquisto di beni o servizi, raccolta di dati relativi al pagamento di beni o servizi, raccolta di questionario online, creazione di account online all’interno del portale, predisposizione di cookies).
In tali casi, il Titolare dovrà attenersi a quanto previsto dagli artt. 13 e 14 del GDPR per quanto riguarda la pubblicazione sul sito internet di un’attenta informativa.
Inoltre il Titolare dovrà utilizzare la connessione con protocollo HTTPS, e poter in tal modo adottare le misure necessarie di sicurezza rispetto al trasferimento dei dati.
Nel Registro dei trattamenti il Titolare dovrà redigere apposita sezione dedicata al sito Web, indicando tutte le misure di sicurezza tecniche ed organizzative predisposte, oltre ai seguenti elementi:
- Identità e contatti del Titolare
- Finalità per la raccolta dei dati
- Categorie di persone per i quali si raccolgono i dati
- Categorie dei dati personali raccolti
- Eventuale trasferimento dei dati verso paese terzo (extraEuropeo)
- Durata del trattamento dei dati
Non resta ora che procedere con le attività previste dal Legislatore Europeo circa la Privacy e la Sicurezza con il GDPR ed attendere l’ultimazione della normativa italiana che armonizzerà i dettami europei con il nostro Ordinamento.
La cosa certa è che molto ancora dovrà essere fatto, con il prossimo (sempre più vicino) avvento della Artificial Intelligence e la tecnologia Blockchain, i cui ambiti applicativi si stanno drasticamente spostando dalle criptovalute alle attività connesse alla vita quotidiana.
Avv. Gianluca Marmorato
