giovedì, 28 marzo 2024

Articoli

25/05/2018: prepararsi al Regolamento UE 2016/679

09/11/2017

di Marco Soffientini, Docente Università degli Studi di Roma UnitelmaSapienza; esperto di Privacy e Diritto delle Nuove Tecnologie; Privacy Officer certified in accordo a ISO/IEC 17024:2003; Coordinatore Nazionale Comitato Scientifi co Federprivacy; membro dell’Istituto Italiano per la Privacy; membro Comitato di Delibera TUV Italia per lo schema CDP e docente Ethos Academy www.academy.ethosmedia.it

Il 25 maggio 2018 diventerà pienamente esecutivo in tutta l’Unione Europea il Regolamento (UE) 2016/679 (RGPD o GDPR - Regolamento Generale sulla Protezione dei Dati (RGPD) o in inglese General Data Protection Regulation (GDPR).) del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati e che abroga la direttiva 95/46/CE (GUUE 4 maggio 2016, L 119/1). La nuova disciplina europea in tema di protezione dei dati personali è destinata ad incidere sui modelli societari di governance dei dati, perché da un lato obbligherà tutte le aziende alla revisione dei propri modelli di sistemi di gestione privacy alla luce dei principi che regolano e disciplinano il nuovo regolamento Ue 2016/679, e dall’altro rappresenterà una nuova opportunità di business per gli specialisti del settore.

Tra i principi introdotti dal regolamento, una grande novità è costituita dal principio della “responsabilizzazione” (accountability nell’accezione inglese) dei titolari, ossia, dall’adozione di comportamenti proattivi volti a dimostrare la concreta adozione di misure necessarie ad assicurare l’applicazione del regolamento. In altri termini, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali all’interno della propria azienda.

DATA PROTECTION BY DEFAULT AND BY DESIGN

Nell’ambito di questo nuovo scenario, i titolari di aziende, a prescindere dalle dimensioni numeriche e/o di fatturato, dovranno effettuare un dettagliato censimento dei trattamenti in essere (da far risultare in un registro apposito di cui si dirà tra breve) e, dopo averne valutato i rischi, dovranno costruire un idoneo modello di gestione privacy, applicando un altro principio cardine introdotto dalla disciplina europea e sintetizzato dall’espressione inglese “data protection by default and by design”. Si tratta della necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio: richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari, che deve sostanziarsi in una serie di attività specifiche e dimostrabili. Fra tali attività, la valutazione d’impatto privacy ha la finalità di evidenziare il rischio del trattamento, che è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati.

NUOVA OPPORTUNITÀ DI BUSINESS

Si tratta di principi la cui applicazione rappresenta una nuova opportunità di business, non solo per consulenti, ma in particolare per tutto il comparto informatico delle software house e degli esperti di sistemi di sicurezza. Infatti i sistemi informativi e i programmi informatici devono essere configurati con una progettazione che riduca al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possano essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità. (art. 3 cdp). Il rispetto del principio di necessità in chiave di privacy by design e by default comporta la progettazione di sistemi che fin dall’inizio siano in grado di soddisfare il principio di finalità. Si pensi al comparto impegnato nella realizzazione di “APP”. Qui l’impiego di metodologie di registrazione dell’utente, attraverso l’importazione dei dati collegati al proprio profilo inserito in un social network, dovrà tenere in considerazione il principio di finalità e di minimizzazione dei dati, facendo in modo che importi solo le informazioni necessarie all’erogazione del servizio. L’eventuale accesso ad informazioni ulteriori (es. fotografie, dati di ubicazione, ecc) dovrà essere autorizzato con un consenso specifico, dopo aver reso un’informativa ad hoc.

DIRITTO DI LIMITAZIONE

Altra opportunità di “business” è legata all’applicazione del nuovo diritto di limitazione. Come noto, si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice Privacy: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare). Con la limitazione, ogni trattamento del dato è vietato, ad esclusione della conservazione. In questi casi - raccomanda il Garante - il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.

DATA PROTECTION OFFICER

L’applicazione di questi principi ai nuovi trattamenti e la verifica della compliance normativa dei trattamenti in essere richiedono specifiche competenze professionali ed una profonda conoscenza della legge sulla protezione dei dati personali; da qui la necessità di istituire la figura del data protection officer, obbligatoria in presenza di determinate circostanze. L’applicazione dei principi di privacy by design e privacy by default, nonché l’obbligo in molti casi di condurre una valutazione di impatto privacy prima di procedere ad un trattamento, sono alcuni tra i principali strumenti a disposizione del titolare del trattamento per contenere la responsabilità giuridica ascrivibile alla sua condotta in tema di data protection.

REGISTRO DEI TRATTAMENTI

Ulteriore strumento da aggiungersi è poi il registro dei trattamenti. Il regolamento stabilisce che tutti i titolari di trattamento, eccettuati gli organismi con meno di 250 dipendenti - ma solo se non effettuano trattamenti a rischio (si veda art. 30, comma 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale, non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, indispensabile per ogni valutazione e analisi del rischio. Il registro, il cui contenuto minimo è indicato nell’art. 30, deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. La tenuta del registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, la nostra Autorità Garante raccomanda a tutti i titolari di trattamento, a prescindere dalle dimensioni dell’organizzazione, di compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche. Il 25 maggio 2018 si avvicina e gli adempimenti di natura sostanziale e non formale richiesti dal nuovo Regolamento (Ue) 2016/679 necessitano di tempo e impegno adeguati.



Tutti gli articoli