Con l’introduzione a decorrere dal prossimo 25 maggio 2018 del nuovo regolamento U.E. n. 2016-679 in materia di privacy, vengono introdotti nuovi adempimenti per imprese e professionisti che dovranno porre misure idonee e adeguate per il corretto trattamento dei dati dei propri clienti.

Il suddetto regolamento (“GDPR”) del 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale U.E. del 4 maggio 2016, sarà pienamente esecutivo abrogando la direttiva del 1995 sulla protezione dei dati personali che è stata recepita dalla normativa nazionale attuale.

Pur collocandosi in continuità con la normativa precedente, il GDPR introduce alcune rilevanti novità, a partire dalle sanzioni amministrative che configurano un vero e proprio cambio di vision rispetto alla normativa attuale, arrivando, in funzione del tipo di violazione, a prevedere sanzioni fino a 20 milioni di Euro o al 4% del fatturato complessivo dell’azienda o del gruppo di aziende.

La principale novità del GDPR riguarda il principio di accountability del titolare posto alla base della nuova normativa, cioè la responsabilizzazione del titolare rispetto alle misure, organizzative e tecniche, poste in essere per conformarsi al GDPR. In base a questo principio, al titolare è riconosciuto un certo livello di discrezionalità nel processo di adeguamento a fronte del quale è posto, però, l’obbligo di documentare le scelte fatte e le ragioni che le hanno motivate nell’ottica dell’adeguamento alla norma.

Vi sono poi alcune importanti misure che innovano la materia, le più importanti delle quali sono rispettivamente:

  • i nuovi diritti riconosciuti agli interessati e una particolare attenzione alla tutela dei minori;
  • la redazione e l’aggiornamento del registro dei trattamenti, cioè dell’elenco delle operazioni effettuate dal titolare che prevedono l’utilizzo di dati personali;
  • l’obbligo di definire a priori i termini di conservazione dei dati personali trattati e di dichiarare tale termine nell’informativa comunicata all’interessato;
  • i nuovi obblighi posti in capo al titolare, tra cui l’obbligo di notifica al Garante delle violazioni di sicurezza relative a dati personali e la comunicazione della violazione agli interessati, se necessario, oltre l’obbligo di tenere conto della Data Protection fin dalla progettazione, in caso di sviluppo di nuovi servizi o per la revisione di quelli esistenti e l’obbligo di procedere a una analisi approfondita dell’impatto sui diritti e le libertà degli interessati quando l’innovazione comporti rischi particolari anche in virtù delle tecnologie innovative utilizzate;
  • la riaffermazione della necessità di basare le misure di sicurezza su un’attenta analisi dei rischi;
  • il ridisegno dei rapporti fra il titolare e i fornitori di servizi che trattano dati personali per conto del titolare stesso, con la previsione, a determinate condizioni, della responsabilità solidale dei due soggetti per i danni eventualmente provocati;
  • la nuova figura del Data Protection Officer finalizzata a facilitare la corretta applicazione del GDPR da parte del titolare.

Come detto, tra le novità introdotte dal regolamento vi è il principio di “responsabilizzazione” (c.d. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare ed essere in grado di comprovare il rispetto dei principi applicabili al trattamento dei dati personali.  In altri termini titolari e responsabili dovranno adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento, decidendo in via autonoma le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Come evidenziato dal Garante uno dei criteri è sintetizzato dall’espressione inglese “data protection by default and by design“, ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili. Si tratta in altri termini di valutare il rischio inerente al trattamento e di adottare le misure idonee a mitigare sufficientemente il rischio.

In questo ambito, le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. Per lo stesso motivo, non potranno sussistere, dopo il 25 maggio 2018, obblighi generalizzati di adozione di misure “minime” di sicurezza (come prevedeva il “vecchio” articolo 33 del codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.  In quest’ottica, la nuova disciplina impone ai destinatari un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento.

Con riguardo ai singoli adempimenti si sintetizzano alcune indicazioni metodologiche utili sulle misure organizzative necessarie per adeguarsi alla particolare disciplina:

  • il nuovo regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica (i fondamenti di liceità del trattamento sono indicati all’articolo 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal codice privacy – D.Lgs. 196/2003);
  • il/i consenso/i raccolto/i precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche individuate dal regolamento. In caso contrario, è opportuno adoperarsi per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica. Occorre prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara. In tale contesto è opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento;
  • vanno individuati i responsabili del trattamento e anche gli incaricati: al riguardo il regolamento fissa più dettagliatamente, rispetto al Codice, le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento. Consente, inoltre, la nomina di sub-responsabili del trattamento da parte di un responsabile e prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari (tenuta del registro dei trattamenti svolti, l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti, la designazione di un DPO).

All’uopo andrà verificato che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto dal regolamento.

Pur non prevedendo espressamente la figura dell’“incaricato” del trattamento, il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. Per gli incaricati occorre una nomina contenente peraltro le istruzioni operative per i trattamenti;

  • andrà valutata, a determinate condizioni, la designazione di un “responsabile della protezione dati” (DPO) per l’attività esercitata. Il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura. Il DPO coopera con l’Autorità e proprio per questo, il suo nominativo va comunicato al Garante e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
  • a partire dal 25 maggio 2018, tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza entro 72 ore e, comunque, “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazioni anche gli interessati, sempre “senza ingiustificato ritardo”. All’uopo sarà necessario predisporre protocolli organizzativi che consentano di intervenire tempestivamente e procedere senza ritardo alla comunicazione al Garante;
  • tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.

Ad oggi siamo ancora in attesa dell’emanazione, da parte del Garante della privacy, dei modelli di informativa nonché dell’emanazione delle Leggi nazionali di coordinamento con quanto emanato a livello europeo oltre alle ulteriori e necessarie linee guida, in particolare per le piccole e medie imprese italiane. Sulla base di quanto suesposto, appare evidente che il Regolamento in commento sia stato pensato, principalmente, per le società multinazionali e, in particolare, per chi opera nel commercio online (anche alla luce dei recenti fatti di cronaca relativi alla dispersione e all’illecito trasferimento di dati personali); nonostante ciò, ad oggi non è stata prevista nessuna significativa differenza per le società locali ovvero di più piccole dimensioni.

Vi informiamo che il nostro Studio ha siglato un importante partnership con uno studio legale composto da avvocati specializzati in materia di privacy; al riguardo ci rendiamo disponibili a confrontarci con voi, unitamente ai nostri legali, per valutare insieme le possibili soluzioni e i futuri steps da seguire per rendervi pienamente “GDPR compliant”.

Add Comment