Poco più di un mese e, a partire dal 25 maggio 2018, diventerà direttamente applicabile in tutti gli Stati Membri il nuovo Regolamento Europeo 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il Governo, lo scorso 21 marzo, ha finalmente chiarito il destino del Codice Privacy: quest’ultimo non assumerà più il ruolo di corpus nazionale attuativo delle disposizioni del GDPR in quanto sarà abrogato e, spetterà proprio a un decreto legislativo, il compito di armonizzare l’ordinamento interno alla nuova disciplina europea.
Quali sono, quindi, i cambiamenti con il GDPR? Proviamo a rispondere in maniera semplice e chiara, trattando le novità più significative per comprendere le finalità e gli obiettivi che si è posta l’Unione Europea.
Un ruolo centrale è rivestito dall’informativa e dal consenso al trattamento che devono essere facilmente comprensibili e ciò al fine di potere ottenere un valido consenso. La normativa considera anche il c.d. consenso implicito laddove “il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” (art. 6 co. 1 punto b).
Altro elemento di attenzione è la figura del DPO (Data Protection Officer), in italiano RPD (responsabile della protezione dei dati).
Si tratta del soggetto che, sulla base delle proprie competenze professionali e per svolgere compiti di consulenza, verifica e controllo in materia, deve essere nominato non solo nelle pubbliche amministrazioni, ma anche nelle imprese che, su larga scala, effettuano il monitoraggio sistematico di grandi quantità di dati o di dati sensibili.
Il DPO non è dunque obbligatorio per tutte le realtà ma, in caso di nomina, non può avere mansioni analoghe a quelle di Titolare e Responsabile, ma funge da “ponte di contatto” e super partes con l’Autorità Garante nazionale.
Altro punto è legato all’esercizio dei diritti dell’interessato e il c.d. “data breach”. Tra i diritti dell’interessato spicca il c.d. “diritto all’oblio”, ossia la richiesta di cancellazione dei dati personali.
Il titolare del trattamento ha l’obbligo di agire entro il limite di 30 giorni, estendibili a 90 con fondati motivi, e tale attività non si deve limitare alla mera cancellazione dei dati conservati presso il titolare del trattamento, ma riguarda l’intera filiera di soggetti coinvolti (es. fornitori) che trattano il dato del soggetto richiedente la cancellazione.
In caso di “violazione” di dati (data breach) che possa determinare un rischio per i diritti e le libertà delle persone, bisogna dare invece una tempestiva notifica al Garante della Privacy (entro 72 ore) e alle persone interessate. Chiaramente, tale attività, di fatto, obbliga le imprese ad implementare adeguati sistemi di comunicazione che possano offrire una celere segnalazione della violazione.
Il GDPR rappresenta, quindi, un punto di svolta rispetto all’intera materia della data protection, perché la gestione dei dati personali non sarà più solo limitata al dover seguire rigorosamente i requisiti puntuali della norma, ma dovrà diventare un processo aziendale che impatta sull’intera organizzazione delle imprese.
Contrariamente a quanto indicato nell’Allegato B del D.Lgs 196/2003 relativo all’elenco delle misure minime di sicurezza, il GDPR oggi prevede l’inversione dell’onere della prova in coerenza ormai con l’approccio che sta via via andando a diffondersi anche in ambito 231 e nei Sistemi di Gestione (es. 45001).
L’accountability è un principio fondamentale del Regolamento, secondo il quale l’azienda deve poter dimostrare, in qualsiasi momento, di aver adottato un sistema di valutazione del rischio, di policy, misure organizzative e tecniche che consentano di avere un controllo adeguato al tipo di dato trattato, al tipo di trattamento effettuato e al volume di dati gestiti.
Cosa fare? Il primo passo è effettuare un’attività di risk assessment in relazione ai requisiti previsti dal GDPR.
Prima del 25 maggio dovranno dunque essere svolte attività preliminari, le c.d. attività di due diligence finalizzate alla mappatura delle tipologie di trattamento dei dati, delle minacce a cui la società è esposta e delle contromisure già in essere o da adottare per abbassare il livello di esposizione al rischio.
Successivamente, si implementeranno gli interventi volti a risolvere i gap più gravi, insieme alla redazione e/o revisione della documentazione che l’azienda deve adottare ai sensi del nuovo Regolamento come ad esempio modelli, procedure, policy, registri, nonché l’eventuale nomina del Responsabile della protezione dei dati (cd. Data Protection Officer o DPO).
A questo punto, siamo giunti al termine del percorso progettuale di adeguamento alla nuova normativa. In particolare, il trasferimento della materia a tutti i livelli dell’azienda consente la diffusione ai propri collaboratori di una sensibilità maggiore sui rischi collegati alla gestione di dati e informazioni e sul rispetto della normativa interna.
Ma cosa succede dopo il 25 maggio?
Risulterà indispensabile per le aziende svolgere un’attività di manutenzione ed ottimizzazione del sistema creato. L’adozione della logica “privacy by default” e “privacy by design” dovrà consentire un approccio sicuramente efficace, sperabilmente efficiente, alla tutela dei dati personali.
* Consultant di PK Consulting
* * Project Leader di PK Consulting