Come cambia la legge sulla privacy

avv. Samanta Casarin

Pubblicato da avv. Samanta Casarin

 Come cambia la legge sulla privacy

Quella del 25 maggio 2018 è una data decisiva nel campo della protezione dei dati degli utenti. Ma in che modo l'entrata in vigore del GDPR cambia la legge sulla privacy e perché sono stati necessari questi cambiamenti?

Ci troviamo a vivere in contesti sempre più digitalizzati e di conseguenza, sempre più analizzabili e analizzati.

Gli scandali legati alla compravendita di dati sono sempre più ricorrenti e le persone sono sempre più preoccupate che la propria sfera privata resti tale.

Queste e molte altre sono le ragioni che hanno spinto all'entrata in vigore del nuovo regolamento UE, il GDPR, ma approfondiamo meglio l'argomento.

Le motivazioni alla base Regolamento UE N.679/2016

1. Trasparenza

E’ la trasparenza uno dei principi su cui si fonda il GDPR.

Prima dell'entrata in vigore del GDPR la normativa europea in materia di privacy risultava essere molto frammentaria in quanto differente per ogni singolo Paese. Questa mancanza di univocità ha permesso notevoli violazioni di alto profilo che hanno messo a rischio la privacy dei cittadini europei e influenzato le loro possibilità di scelta.

Proprio per questo motivo, è stato necessario emettere un unico Regolamento che garantisse agli utenti finali la massima trasparenza da parte delle aziende che gestiscono le loro informazioni di contatto.

2. Opportunità e innovazione

L’unificazione delle diverse normative in materia di protezione dei dati è avvenuta anche per l’ulteriore fine di creare opportunità di business incoraggiando lo sviluppo dei mercati e dell’innovazione (trasparenti). Non è da meno l’altra finalità che si è prefissato il GDPR, ovvero la protezione dei diritti di proprietà individuale dei cittadini Ue.

3. Il principio di accountability, o meglio: responsabilizzazione

Se da una parte le imprese devono operare con la massima trasparenza ed il titolare del trattamento ha l'incarico di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati, dall'altra la stessa azienda deve poter essere in grado di dimostrare di avere adottato misure giuridiche adeguate ed efficaci, organizzative e tecniche, per la protezione dei dati personali, elaborando specifici modelli organizzativi.

Il Regolamento Ue ha imposto di adottare ex ante misure appropriate rispetto al trattamento effettuato ed una verifica ex post dell'efficacia delle misure stesse.

In riferimento all'accountability il Regolamento Ue all’art.30 “Registri delle attività di trattamento” prevede che ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità (…).

Il fine della tenuta del registro è la dimostrazione della conformità dei trattamenti alle condizioni ed alle previsioni del predetto Regolamento.

Il sopra citato principio di accountability sancisce il salto di qualità nei sistemi di gestione dei dati ed è un concetto strettamente connesso con l’analisi del rischio, con la valutazione di impatto, con i principi privacy by design e privacy by default descritti di seguito.

Un misura di attuazione dell’accountability è la figura stessa del DPO.

GDPR: gli adeguamenti organizzativi e tecnologici

L’adeguamento alla nuova normativa da parte delle aziende, delle Pubbliche Amministrazioni e degli enti deve quindi avvenire anche da un punto di vista organizzativo e tecnologico.

Tra le novità del GDPR troviamo la figura del DPO.

Si parla poi per la prima volta della valutazione di impatto, importanti i concetti di privacy by design e privacy by default, fondamentale è anche il principio di accountability.

Ma procediamo con ordine.

1. Il Data Protection Officer (DPO)

Il DPO è uno degli elementi innovativi del Regolamento previsto all’art. 37.

Il “Responsabile della Protezione dei Dati”, è una figura nuova che non deve essere confusa con il “titolare del trattamento” o con il “responsabile del trattamento”: può essere considerato invece un’evoluzione del “privacy officer”.

In verità occorre precisare che per l’Italia il DPO non è una figura completamente nuova: nelle “Linee Guida in materia di Dossier Sanitario” del 4 giugno 2015 infatti, il Garante della Privacy prevede che, in ragione della delicatezza delle informazioni trattate, “i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO – data protection officer)” anche in relazione ai casi di “Data Breach”.

L’art. 37 del Regolamento Ue n.679/2016, prevede specificamente i tre casi in cui il responsabile del trattamento ed il titolare del trattamento devono nominare il DPO:

  1. Se il trattamento è effettuato da un’“autorità pubblica” o da un “organismo pubblico”, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni;

  2. Se le “attività principali” del Titolare o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati su “larga scala”, oppure

  3. Sse le “attività principali” del Titolare o del Responsabile del trattamento consistono nel trattamento su “larga scala” di “categorie particolari” di dati (c.d. dati sensibili) o di dati personali relativi a condanne penali e reati (c.d. dati giudiziari).

Il Regolamento Europeo nel citato articolo ci fornisce una serie di “nozioni” che necessitano però di maggiore specificazione attraverso ad esempio il diritto nazionale di ciascun Stato Membro.

Cosa si intende infatti ad esempio per autorità pubblica o organismo pubblico?

Per autorità pubblica si possono intendere autorità nazionali, regionali e locali (come le amministrazioni dello Stato, enti pubblici, regionali e locali, Regioni e enti locali, le università, Camere di commercio, industria, artigianato e agricoltura, aziende del Servizio sanitario nazionale, ecc.), mentre la definizione di “organismo di diritto pubblico” viene dettata ai sensi dell’art. 3, co. 1, lett. d) del D.lgs. 50/2016 (c.d. Nuovo Codice degli Appalti): “qualsiasi organismo, anche in forma societaria: 1) istituito per soddisfare specificatamente esigenze di interesse generale, aventi carattere non industriale o commerciale; 2) dotato di personalità giuridica; 3) la cui attività sia finanziata in modo maggioritario dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico oppure la cui gestione sia soggetta al controllo di questi ultimi oppure il cui organo d’amministrazione, di direzione o di vigilanza sia costituito da membri dei quali più della metà è designata dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico.

In ambito privato, l'articolo 37 co. 1 lett. b) del Regolamento Europeo prevede l'obbligo di designare il DPO quando le attività principali del titolare e del responsabile richiedono su larga scala (anche qui sarebbe da approfondire il concetto di “larga scala”) un monitoraggio regolare e sistematico (a titolo esemplificativo gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing, assicurazioni, ospedali, istituti di credito, ecc.).

Per meglio identificare la figura del DPO ed al fine di chiarire almeno alcuni dei numerosi dubbi in merito a tali questioni possiamo approfondire le “Linee guida sui responsabili della protezione dei dati (RPD)".

I compiti affidati al DPO sono molteplici e di diversa natura, oltretutto possono essere ampliati dallo stesso titolare e dal responsabile:

  • Sorveglianza
  • Informazione e consulenza
  • Consulenza e pareri
  • Collaborazione con l’Autorità Garante per la protezione dei dati personali
  • Eventuale gestione inventari
  • Gestione del registro dei trattamenti e delle attività di trattamento.

Ai compiti elencati ne vanno aggiunti che rendono la figura del DPO un organo di controllo, di consulenza ed un supervisore indipendente.

Il DPO potrà essere un dipendente dell'azienda oppure un soggetto esterno; in quest’ultimo caso verrebbe prevista anche la figura di un DPO coordinatore, responsabile ed incaricato dal cliente.

E’ presumibile che la figura del DPO occupi una posizione dirigenziale o manageriale dato che avrà l’obbligo di riferire ai vertici. In base alla struttura ed alle dimensioni dell’azienda, dell’ente ecc. il DPO potrà essere un soggetto singolo oppure potrà essere costituito da un team.

Ricordiamo poi che la sua mancata designazione nei casi di obbligatorietà può comportare l’applicazione di una sanzione amministrativa fino a 10 milioni di euro o per le imprese, se superiore, al 2% del fatturato (mondiale) totale annuo dell’esercizio precedente dell’impresa.

2. La valutazione di impatto

In riferimento alla valutazione di impatto, ricordiamo che il 4 aprile 2017 sono state adottate dall'organismo consultivo e indipendente dell'Unione Europea sulla protezione e sul trattamento dei dati personali, le prime linee guida sulla Data Protection Impact Assessment (DPIA) ovvero, la valutazione di impatto sulla protezione dei dati ed i criteri per stabilire se un trattamento può presentare un rischio elevato.

La DPIA è una procedura prevista dall'art. 35 del Regolamento europeo 679/2016 – GDPR per il titolare del trattamento quando gli stessi trattamenti prevedono in particolare l'uso di nuove tecnologie e possono presentare così come detto, un rischio elevato per i diritti e le libertà delle persone fisiche.

3. Privacy by default e privacy by design

Ai fini di un’analisi dei principi di privacy by default e privacy by design è necessario dare lettura all’art. 25 del Regolamento Ue:

Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

  1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

  2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

  3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Il principio della privacy by design introdotto dal Regolamento Europeo in materia di protezione dei dati personali richiede alle aziende, agli enti ed alla pubblica amministrazione l’obbligo ad un approccio alla protezione dei dati personali attivo, con:

  • La previsione di modalità operative in prospettiva ai probabili rischi che ne derivano
  • Configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l’integrità e la disponibilità dei dati personali

Con la privacy by default, invece, le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini, con il massimo livello di protezione possibile: si dovrà progettare un sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.

Tali principi, portano di conseguenza all'attuazione di modifiche organizzative, procedurali e tecnologiche con una conseguente valutazione di impatto privacy ogni volta che si avvia un progetto che prevede un trattamento di dati.

Per quanto riguarda il concetto di valutazione del rischio, questo lo ritroviamo nello stesso GDPR e consiste nella determinazione del valore quantitativo o qualitativo dei rischi connessi ad una situazione concreta o minaccia conosciuta.

Da non dimenticare poi anche il concetto di presudo- anonimizzazione: la necessità di tenere separato un dato dal suo identificativo.

 


La sicurezza dei dati trattati secondo il GDPR

A conferma di quanto detto l’art. 32 Sicurezza del trattamento 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) La pseudonimizzazione e la cifratura dei dati personali;

b) La capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) La capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) Una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. (…)

 


Come cambia il regolamento sulla Privacy

Con il nuovo Regolamento Ue assistiamo all'abolizione di alcuni istituti previsti dalla Direttiva del 1995, tra cui la notifica preventiva dei trattamenti all’autorità di controllo.

A partire dal 25/05/2008 avremo un controllo successivo alle decisioni prese in autonomia dal titolare del trattamento dei dati ed avremo preventivamente un registro dei trattamenti e valutazioni di impatto.

Si può sostenere che con il Regolamento Ue n.679/2016 vi saranno notevoli vantaggi a favore dei consumatori (con un’evoluzione tra l’altro dellIstituto del consenso informato) e delle imprese. Il legislatore, infatti, ha operato per il raggiungimento di più obiettivi tra cui un rafforzamento dei diritti già esistenti e potenziando il controllo da parte degli stessi individui sui propri dati personali come l’accesso semplificato, il diritto alla trasferibilità dei dati, la minimizzazione dei dati ecc.

Vi saranno inoltre notevoli vantaggi anche da un punto di vista economico con un taglio ai costi per quanto riguarda le Piccole e Medie Imprese che avranno notevoli semplificazioni nello svolgimento delle loro attività in riferimento alla gestione dei dati grazie ad un'organizzazione strutturata. Queste saranno comunque esonerate dall'obbligo di nominare un Responsabile del trattamento dati personali. Tali imprese non avranno l’obbligo di effettuare la valutazione di impatto a meno che non ci sia un rischio elevato, è prevista eliminazione delle notifiche all’autorità di vigilanza, ecc.

 


Cerchi supporto per la tua strategia di digital marketing e di generazione dei contatti?

CONTATTACI PER UNA CONSULENZA GRATUITA » 

 *Adv Media Lab srl non risponde di danni derivanti dall'uso dei dati e delle notizie ivi contenuti; non risponde di eventuali danni causati da involontari refusi o errori di stampa; declina ogni responsabilità per l'uso delle suddette informazioni, per eventuali errori e/o contenuti inesatti.

Ora è il tuo turno: lascia un commento

 

 

ombrina.jpg

Sei un imprenditore o un marketer in cerca di risultati?