Lo scorso 25 maggio 2016 è entrato in vigore il  Regolamento europeo in materia di protezione dei dati personali n. 2016/679 (il “Regolamento”), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea lo scorso 4 maggio assieme alla Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Il Regolamento assieme alla Direttiva compongono il cosiddetto Pacchetto protezione dati, ovvero l’insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’Unione Europeo.

Il Regolamento si applicherà dal 25 maggio 2018^[1], e sarà obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, e nella medesima data verrà abrogata la Direttiva 95/46/CE sinora vigente.

Si realizza così una scissione temporale tra validità ed efficacia del corpo normativo, evidentemente finalizzata a garantire a tutti i soggetti obbligati un lasso temporale per l’adeguamento, ovvero per prepararsi ad esso.

Il biennio è necessario anche in considerazione del fatto che il Regolamento attribuisce alla Commissione europea il potere di adottare atti delegati e di esecuzione, al fine di rendere operativa la disciplina, prevedendo altresì una riserva di legge in favore dei legislatori nazionali affinché introducano, a seconda delle circostanze, norme nazionali ad hoc; in questo contesto avrà un ruolo chiave il Garante per la protezione dei dati personali, il quale ha pubblicato una pagina informativa per illustrare l’iter normativo del Pacchetto e che sarà progressivamente arricchita con aggiornamenti e materiali informativi.

È iniziato, dunque, il count down per le aziende, chiamate ad una svolta culturale per passare dall’attuale concetto burocratico di privacy (visto come un mero ‘fastidioso’ adempimento formale) ad una privacy “risk based” fatta di processi strutturati. Le aziende e le pubbliche amministrazioni devono sfruttare i prossimi due anni (tempo congruo, ma non molto ampio) per adeguarsi tassativamente entro il 25 maggio 2018 alle disposizioni del Regolamento, al fine di evitare le sanzioni previste fino a 20 milioni di euro o al 4% del fatturato annuo globale.

Cosa cambierà, dunque, per i cittadini, per le imprese e per le pubbliche amministrazioni?

Di seguito si indicano le principali novità introdotte con il Regolamento e l’ impatto che avranno sugli attori coinvolti.

1. L’ambito di applicazione del Regolamento.

Il Regolamento si applica^[2] ai titolari e/o ai responsabili del trattamento dei dati personali, aventi uno stabilimento all’interno dell’Unione Europea, indipendentemente dal fatto che il trattamento sia effettuato nella stessa UE.

La nuova normativa si applicherà a tutti i soggetti presenti nell’UE anche quando, sebbene l’azienda titolare del trattamento non abbia uno stabilimento in territorio UE, il trattamento stesso riguardi (i) l’offerta di beni o la prestazione di servizi ai soggetti interessati o (ii) il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’Unione Europeo.

2. Il consenso dell’interessato.

Il consenso – presupposto indispensabile per la liceità del trattamento – può essere rilasciato dall’interessato anche con sistemi automatizzati; infatti il Regolamento ritiene idonea «qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» (art. 4 comma 11).

Inoltre, il titolare deve poter dimostrare in ogni momento che l’interessato ha prestato il proprio consenso al trattamento dei propri dati; se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta deve essere distinguibile, comprensibile e facilmente accessibile.

L’interessato può revocare il proprio consenso in qualsiasi momento e di tale possibilità deve essere adeguatamente informato.

2.1 Il consenso dei minori.

Il Regolamento prevede che nell’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove questo abbia almeno 16 anni. Il trattamento di dati personali di minori di età inferiore ai tredici anni è lecito se e nella misura in cui il consenso è espresso o autorizzato dal genitore o dal tutore.

3. Data Protection Officer^[3].

Tra le prime novità merita sicuramente attenzione particolare una nuova professionalità che va ad affiancarsi al titolare, al responsabile e all’ incaricato del trattamento dei dati. Tale nuova figura è quella del c.d. Data Protection Officer (“DPO”), ovvero il “responsabile della protezione dei dati”.

Il DPO dovrà essere obbligatoriamente presente all’interno di tutte:

(i) le aziende pubbliche;

(ii) le aziende ove i trattamenti presentino specifici rischi, come ad esempio quelle nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati”, su larga scala, e quelle che trattano i c.d. “dati sensibili” o giudiziari su larga scala.

Le società facenti parte di uno stesso gruppo, a livello nazionale o transfrontaliero, potranno nominare un unico DPO, a condizione che lo stesso sia facilmente raggiungibile da ciascuna società del gruppo stesso.

3.1 Chi può essere DPO?

Il DPO potrà essere un dipendente della società titolare del trattamento o, in alternativa, assolvere i propri compiti in base ad un contratto di servizi.

Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio DPO – il quale dovrà essere contattabile da tutti i soggetti “interessati” (quindi il nominativo dovrà essere inserito nell’informativa privacy)– nonché comunicarli al locale Garante per la protezione dei dati personali.

3.2 Cosa dovrà fare il DPO?

Il DPO^[4] all’interno dell’azienda riferirà direttamente al CEO o comunque ai vertici gerarchici della società, senza intermediazioni, e con grande autonomia e indipendenza, rispetto agli altri dirigenti interessati.

Di seguito i principali compiti di competenza del DPO:

(i) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento;

(ii) verificare l’attuazione e l’applicazione della normativa, oltre alla sensibilizzazione e formazione del personale e dei relativi auditors;

(iii) fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

(iv) fungere da punto di contatto per gli “interessati”, in merito a qualunque problematica connessa al ivtrattamento dei loro dati nonché all’esercizio dei loro diritti;

(v) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

4. Il Registro delle attività di trattamento.

Altra novità di rilievo, è l’introduzione dell’obbligo, per ogni azienda titolare del trattamento dei dati, di tenere un “registro delle attività di trattamento” (anche in formato elettronico) svolte sotto la propria responsabilità, al fine di poter dimostrare la conformità delle misure di sicurezza tecniche e organizzative adottate alle disposizioni del Regolamento.

In detto registro dovranno essere riportati:

i) le attività di trattamento svolte sotto la propria responsabilità

ii) le finalità del trattamento

iii) una descrizione delle categorie di interessati e delle categorie di dati personali

iv) trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale.

5. Valutazione di impatto sulla protezione dei dati.

Ogni azienda titolare del trattamento dei dati ha l’obbligo di effettuare una “valutazione di impatto sulla protezione dei dati”.

Tale adempimento è richiesto in relazione:

(i) ai trattamenti automatizzati, ivi compresa la profilazione, o con riguardo (ii) ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.

Sarà ad ogni modo il Garante Privacy (per quanto riguarda l’Italia), a redigere e rendere pubblico l’elenco delle tipologie di trattamenti soggetti al requisito della “valutazione di impatto sulla protezione dei dati“.

Sono esonerati dagli adempimenti^[5] appena accennati le piccole e medie imprese, quelle dunque con meno di 250 dipendenti, a meno che, però, “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne penali…”.

6. Diritto all’oblio.

Il Regolamento riconosce espressamente il diritto all’oblio, ovvero la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento.

In particolare, nel testo del Regolamento il diritto all’oblio è recepito dall’art. 17, dove viene sancito che l’interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo. In tal caso il responsabile del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

i) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

ii) l’interessato ritira il consenso su cui si basa il trattamento e non sussiste altro motivo legittimo per trattare i dati;

iii) l’interessato si oppone al trattamento dei dati personali e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;

iv) i dati sono stati trattati illecitamente;

v) i dati devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento;

vi) i dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

7. Data Portability.

Tra i nuovi diritti dell’interessato il Regolamento stabilisce il diritto alla “portabilità dei dati”. L’interessato grazie al data portability ha, dunque, il diritto di:

i) ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento

ii) trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora l’interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per l’esecuzione di un contratto

8. Accountability.

Il Regolamento sancisce il principio di “accountability”, ovvero l’obbligo di rendicontazione per cui l’azienda dovrà dimostrare l’adozione di politiche privacy e misure adeguate in conformità al Regolamento.

Il principio in esame si estrinseca nella valutazione:

a) della “trasparenza”, intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio;

b) della “responsività”, intesa come la capacità di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder;

c) della “compliance”, intesa come capacità di far rispettare le norme.

Il nuovo Regolamento recepisce tale principio all’art. 22, il quale prevede che, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento mette in atto misure tecniche e organizzative adeguate per garantire – ed essere in grado di dimostrare – che il trattamento dei dati personali è effettuato conformemente al Regolamento.

Il Regolamento introduce un altro importante elemento di novità prevedendo la possibilità per il titolare del trattamento di ricorrere ad organismi di certificazione (art. 42), al fine di dimostrare il rispetto agli obblighi derivanti dal Regolamento stesso.

9. Privacy by design e privacy by default.

Con il Regolamento  la protezione dei dati diventa un asset strategico delle aziende che deve essere valutato, già nel momento di progettazione di nuove procedure, prodotti o servizi: ciò grazie alla privacy by design e privacy by default.

Il Regolamento introduce:

a) il principio della “privacy by design”, dal quale discende l’attuazione di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento, affinché la protezione dei dati sia effettiva nell’intero ciclo di vita della tecnologia, dall’ideazione sino alla dismissione;

b) il principio della “privacy by default“, che ricalca il principio di necessità di cui all’attuale disciplina, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini. Si ribadiscono con forza, dunque, il principio di minimizzazione del trattamento e il principio di finalità e conservazione.

10. Data breach.

Importante novità introdotta dal Regolamento è l’obbligo da parte delle aziende in caso di violazione dei dati personali di notificare all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, l’avvenuta violazione dei dati  degli interessati.

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

Oggi l’obbligo di notifica della violazione è previsto solo in alcuni settori; il Garante della Privacy lo scorso 24.5.2016 ha pubblicato un’infografica che offre un prospetto sintetico sugli attuali obblighi in caso di violazione dei data breach.

 11. Il sistema sanzionatorio.

Il Regolamento, oltre a rafforzare i poteri delle Autorità Garanti nazionali, ha inasprito l’ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare anche a 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo.

*****

In attesa degli interventi normativi da parte degli stati nazionali è opportuno per le aziende  e per le pubbliche amministrazioni iniziare il processo di analisi e di adeguamento alla privacy “risk based”, stante le importanti novità previste dal Regolamento: la svolta culturale della privacy nell’era digitale è alle porte.

Avv. Vincenzo Colarocco

© Riproduzione riservata

^[1] Artt. 98 e 99 del Regolamento.

^[2] Artt. 3 e 4 del Regolamento.

^[3] Art. 37 Regolamento.

^[4] Art. 38, comma 3.

^[5] Art. 30 comma 5 del Regolamento.