privacy e gdpr 2018 trattamento dei dati personali regolamento europeo
privacy e gdpr 2018 trattamento dei dati personali regolamento europeo
Ci siamo quasi! Il Regolamento Generale europeo sulla Protezione dei Dati entrerà in vigore il 25 Maggio 2018 per codificare le nuove regole con le quali si dovranno trattare i dati Personali nell’ambito della Comunità Europea e disciplinare l’esportazione dei Dati Personali al di fuori dei confini UE. Attenzione: il Regolamento UE 2016/679 (General Data Protection Regulation) si applicherà non solo ai cittadini dell’Unione Europea ma anche agli Enti che risiedono al di fuori dei Paesi membri. Nel nuovo Regolamento viene definito quale dato personale “qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica come ad esempio nomi, foto, indirizzi email, dati bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer”.
Appare evidente come questo vada a impattare sulla gran mole di informazioni che normalmente le aziende acquisiscano dai propri potenziali clienti , sia attraverso i siti web sia con i social media quali facebook, instagram etc ma anche con la raccolta di schede, cartelle, email numeri di telefono, questionari di gradimento etc.
Il testo del Nuovo Regolamento sul Trattamento dei Dati è contenuto nel Regolamento Europeo Privacy UE 2017/679, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea e definisce i requisiti per il rispetto del Codice della Privacy: nuovi organi di controllo applicheranno le misure necessarie per far sì che il trattamento e la protezione dei Dati Personali siano conformi a quanto scritto nel documento del GDPR 2018. Il nuovo Regolamento descrive in che maniera i dati personali vadano protetti (“data protection”) e trattati in conformità con le Normative vigenti. La sicurezza informatica (ICT-SEC) nel nuovo Regolamento Europeo per la Protezione dei Dati verrà presa in considerazione per il Trattamento e la Protezione dei Dati Personali. Nuovi principi vengono introdotti dal General Data Protection Regulation in vigore dal 25 Maggio 2018: i dati vanno trattati seguendo nuovi principi di applicazione, e il trattamento deve seguire un ciclo progettato, riconosciuto come “trattamento by design”. I diritti degli interessati devono essere gestibili in qualunque fase del ciclo di trattamento dei Dati Personali su Internet e nei sistemi informatici: il Diritto alla Cancellazione del Dato Personale, il Diritto all’Oblio del Dato Personale sui motori di ricerca su Internet, e il Diretto al Blocco del Trattamento del Dato Personale. Vengono introdotti nuovi obblighi, come il DPIA – Data Protection Impact Assesment, che prevede il monitoraggio sistematico del Trattamento dei Dati Personali sensibili e ad alto rischio. Pertanto è indispensabile mettersi in Regola con il Nuovo GDPR 2018 ed evitare sanzioni dal Comitato Europeo per la Protezione dei Dati Personali attraverso processi agevolati di certificazioni GDPR 2018, e l’acquisizione di “bollini” che garantiscono la correttezza del Trattamento dei Dati, i Garanti Europei riconosceranno l’azienda o l’ente pubblico come conformi al nuovo Regolamento GDPR 2018.
Soprattutto le aziende che operano su piattaforme operanti in rete come siti web, Facebook, Google, Youtube dovranno applicare le Normative scritte nel testo del GDPR 2018 e mettere i consumatori nelle condizioni di navigare su Internet sapendo che i propri dati personali sono Trattati e Protetti in maniera corretta e sicura.
Dal maggio 2018 saranno istituiti il Data Protection Officer e un Registro delle attività, ma arriveranno anche regolamenti più restrittivi per le aziende.
Secondo la ricerca condotta da ESET e IDCI le aziende private, in particolare le PMI, sono in forte ritardo sul GDPR: quasi il 78% dei responsabili IT delle aziende coinvolte non ha compreso chiaramente l’impatto della nuova normativa o non ne è a conoscenza. Tra quelle che conoscono il GDPR, solo il 20% afferma di essere già conforme, mentre il 59% si sta adeguando e il 21% ammette di non essere a norma.
IL DIRITTO ALL’OBLIO:
In questi giorni a tutti gli utenti del web ( e email) arriveranno centinaia di e-mail con la richiesta della presa visione e dell’accettazione del nuovo regolamento attuativo anche sul diritto all’oblio: ovvero la regolamentazione del diritto dell’utente di essere dimenticato dal gestore dell’informativa sui servizi/prodotti commercializzati.
Ma cosa è e come funziona il diritto all’oblio?
Questa definizione è stata creata dalla Corte di Cassazione e si definisce come “il giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata”. In parole povere grazie a questo diritto, tutti possono chiedere che non vengano divulgate notizie lesive della propria reputazione, dopo che dai fatti è trascorso un determinato lasso di tempo e che tali episodi non sono stati richiamati alla cronaca.
Con l’introduzione del GDPR il diritto all’oblio, concepito per proteggere reputazione e privacy delle persone, permette all’utente di richiedere che tutte le informazioni su di lui che vengono detenute a qualsiasi titolo ( anche precedentemente autorizzate dallo stesso) vengano cancellate o dimenticate. Inoltre sarà possibile richiedere la cancellazione dei dati e delle informazioni presenti online quando queste non sono più necessarie o quando l’interessato revoca l’autorizzazione. Ad esempio se ho dato le mie informazioni, necessarie al compimento di un viaggio che ho effettuato nel 2017; queste informazioni erano strutturali alla partecipazione a quel viaggio. Oggi, se vengo ricontattato dall’Agenzia di Viaggi che mi ha fatto partire nel 2017 per propormi nuovi viaggi nel 2018 posso richiedere che vengano cancellati i miei dati a suo tempo correttamente dati e detenuti perché non sono più interessato a proposte di viaggio da quell’Agenzia. il diritto all’oblio non viene applicato solo nei casi in cui ci sia undiritto di cronaca ( prevalente sul diritto all’oblio) oppure un obbligo legale da adempiere o motivi di ricerca scientifica, storica o legata al mondo della sanità.
I CONSIGLI DEL GARANTE
Il GDPR avrà un impatto su enti e imprese, non solo dal punto di vista tecnologico, ma anche e soprattutto dal punto di vista organizzativo e legale. Cosa si deve fare, dunque, per arrivare pronti al 25 maggio 2018, data in cui il GDPR diventerà operativo in tutti i paesi dell’Unione europea? Le prime linee guida arrivano dal Garante, che ha suggerito alle Pubbliche Amministrazioni tre priorità: la designazione in tempi stretti del Responsabile della protezione dei dati (o DPO – Data Protection Officer); l’istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate, e la notifica delle violazioni dei dati personali, i cosiddetti Data Breach.
Quest’ultimo punto appare particolarmente delicato: a oggi trascorrono circa 205 giorni tra la violazione dei dati e il momento in cui l’ente o l’azienda ne viene a conoscenza. Il GDPR stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore.
L’adeguamento, dunque, deve essere tecnologico, ma anche nell’approccio al problema e nella struttura organizzativa. A partire dalla nuova figura del DPO, che ha un ruolo dalle molte sfaccettature: deve infatti avere competenze normative, tecniche, comunicative e una profonda conoscenza dell’organizzazione del settore in cui si trova ad operare. Si tratta di una figura nuova, ancora poco diffusa e a breve molto richiesta.
LIBERTÀ DEGLI STATI E PAESI EXTRA UE
Esistono dei campi d’azione in cui il regolamento cede il passo alla normativa nazionale, laddove manca un’armonia a livello sovranazionale. Ad esempio i concetti di “giornalismo” e “libertà di espressione” continueranno a variare da uno Stato membro all’altro, così come la gestione dei dati elaborati ai fini della sicurezza nazionale di uno Stato. Guardando nello specifico all’Italia, in ambito trasparenza, la nuova disciplina del FOIA sembrerebbe doversi conciliare con il Regolamento, ma non si dice come.
Per avere maggiore chiarezza si dovrà attendere l’entrata in vigore del GDPR: la successiva istituzione del Gruppo dei Garanti porterà i diversi Garanti nazionali a dialogare e cooperare per stabilire le linee guida da seguire per l’applicazione corretta delle prescrizioni del Regolamento.
Infine, un’importante novità riguarda i Paesi situati al di fuori dell’Ue, verso i quali è vietato il trasferimento dei dati, se non a determinate condizioni (consenso esplicito del diretto interessato o sussistenza di standard di sicurezza adeguati). Inoltre, anche le imprese straniere dovranno adeguare la propria privacy policy al Regolamento Europeo, se vorranno continuare a operare all’interno dell’Ue.
Discorso a parte invece per i rapporti tra Unione Europea e Stati Uniti, tra cui è entrato in vigore il Privacy Shield, un accordo che si propone di tutelare i diritti alla privacy di ogni persona residente in EU, i cui dati vengano conservati o trasferiti negli USA. In parallelo, l’accordo offre un quadro legislativo più chiaro alle aziende che si occupano della conservazione dei dati di cittadini europei negli Stati Uniti.
L’applicazione operativa del GDPR si presenta come una grande opportunità di sviluppo e di miglioramento organizzativo per tutti coloro che gestiscono dati personali.
Il GDPR è composto da undici capitoli per un totale di centottantasette pagine ma in una ventina di pagine del GDPR, nell’omologo Capo III composto da 5 sezioni, dall’articolo 12 all’articolo 23, sono trattati i diritti dell’interessato non molto diversamente da quanto già sappiamo dal DLvo 196/2003: da notare che, per quanto riguarda l’informativa, i contenuti, più ampi, sono elencati in modo tassativo così come i diritti all’accesso dei propri dati personali.
Le innovazioni più rilevanti nei diritti riguardano invece:
• il diritto alla cancellazione, ormai più noto come “diritto all’oblio”,
• il diritto alla portabilità dei dati,
• il diritto all’opposizione a processi decisionali automatizzati compresa la cosiddetta “profilazione”: quando con immediatezza, non appena chiediamo una qualche semplice informazione sul WEB, il nostro schermo è invaso da concrete offerte commerciali intese a soddisfare la nostra curiosità, inviti da cogliere al volo che sembravano lì ad aspettare solo noi.
Altra cosa riguarda i doveri delle imprese in special modo per quanto riguarda le responsabilità. Per efficace analogia è importante fare riferimento al diritto alla sicurezza e salute sui luoghi di lavoro, ben più noto in Italia con la abrogata 626/94 oggi sostituita dal 81/08, in cui la responsabilità principale ricade sul Datore di Lavoro che, con la propria organizzazione, attenua se non riesce ad eliminarlo del tutto il rischio di infortunio o di malattia professionale di lavoratori. La vera e dirimente differenza tra il Responsabile della Protezione dei Dati (DPO) richiamato nel GDPR e il RSPP del 81/08 è che il primo non fornisce solo consulenza, ma assume responsabilità operative del sistema di tutele, dovendo infatti verificarne anche la corretta attuazione (art. 39).
Inoltre, il nuovo Regolamento introduce in modo del tutto analogo il concetto di rischio, attribuendo al Titolare del Trattamento la responsabilità di tutelare i dati personali a lui affidati, valutando appunto il rischio di perdita dei dati (data leak) in ogni fase del trattamento affidatogli, progettando ed implementando la propria struttura organizzativa secondo le best practice e i migliori standard di gestione del rischio, come già ampiamenti trattati dalle norme tecniche di riferimento, tra tutte le ISO 9000 per i sistemi qualità, le ISO 31000 per la gestione del rischio, IEC/ISO 27000 per la ICT.
Appare superfluo ricordare che, come in ogni sistema di gestione del rischio, dopo la fase di assessment sarà necessario attivare le fasi di prevenzione (Data Loss Prevention) e di protezione in caso violazioni e divulgazione dei dati personali (Data Breach Protection). L’approccio proattivo del GDPR si fonda sulla responsabilizzazione (accountability) dei titolari che, tenuto conto della natura, del settore di applicazione, del contesto e delle finalità del trattamento dei dati, nonché dei rischi per i diritti e le libertà delle persone fisiche, rende operative le misure tecniche e organizzative più adeguate– non solo – per garantirne la compliance ma anche di renderla documentata per eventuali audit esterni.
Infine, ricordiamo che l’informativa è sempre preventiva del trattamento e deve essere aggiornata al cambiare delle regole e/o delle finalità e, in caso di marketing, occorre anche esplicito consenso.