Il 25 maggio 2018 sarà operativo e direttamente applicabile il nuovo Regolamento Europeo per la protezione dei dati personali (Reg. UE 2016/679).

In questo articolo vedremo insieme le novità del nuovo regolamento europeo come il Diritto all’oblio e la portabilità dei dati, e cosa deve fare un impresa per essere compliant con la nuova normativa.

 

Data Protection nuovo regolamento europeo per trattamento dati personali

 

Si scrive privacy, si legge sicurezza. Lo sviluppo della tecnologia e, da ultimo, l’avvento dell’Internet of things (IoT) sta generando la paura di essere spiati e se non si può (e non è giusto) arginare un fenomeno in crescita, si può, tuttavia correre ai ripari e proteggere la nostra privacy.

Privacy: ecco la parola magica che fa tremare i manager delle aziende terrorizzati dalla stringente compliance e dalle sanzioni applicate in caso di violazioni.

Ecco qui di seguito una storiella che ci lascia un sorriso (amaro) e ci fa riflettere sulla verità che qualunque nostro movimento è scannerizzato e archiviato e le modalità con cui questi dati possono essere utilizzati sono le più disparate: ricerche di mercato, analisi di mercato, ricerca e sviluppo, profilazione…

 

Buonasera! Pizzeria da Ciccio?

-No è Google pizza.

-Ho sbagliato numero?

-No, Google ci ha comprati.

-OK. Posso ordinare una pizza a domicilio?

-Certo, vuoi il solito?

-Il solito? Come fai a sapere cosa prendevo?

-Dal numero da cui chiami, le ultime 9 volte hai ordinato pizza con salamino piccante e patatine fritte, bella croccante.

-OK! È proprio lei.

-Posso suggerirti stavolta una pizza con la rucola e i pomodorini?

-Che cosa? Odio le verdure!

-Il tuo colesterolo è troppo alto.

-Tu come lo sai?

-Hai richiesto di poter visualizzare i risultati dei tuoi esami del sangue online

-Non voglio quella pizza. Sto già prendendo le medicine.

-Non le stai prendendo regolarmente, 4 mesi fa hai preso una scatola da 30 pastiglie nella farmacia sotto casa e poi non le hai più comprate.

-Le ho comprate in un’altra farmacia.

-Non risulta dalla tua carta di credito.

-Ho pagato in contanti.

-Non risultano prelievi di contanti dal tuo conto corrente.

-Ho altre fonti di contanti.

-Non risulta dalla tua dichiarazione dei redditi, a meno che non siano in nero.

-Cosa vuoi da me? Basta con tutta questa tecnologia. Vado in un’isola deserta senza internet e senza telefono, così nessuno potrà più spiarmi.

– Capisco. Rinnova il passaporto, ti è scaduto da 5 giorni.

 

RGPD: Il nuovo Regolamento Generale Europeo per la protezione dei Dati personali

 

A breve (25 maggio 2018) sarà operativo e direttamente applicabile il nuovo Regolamento Generale (europeo) per la Protezione dei Dati personali (RGPD) e cioé  il Reg. UE 2016/679.

Questo determinerà un’uniformità normativa su tutto il territorio europeo e le imprese che svolgono attività transfrontaliere non dovranno far riferimento a 28 leggi diverse ma solo ad una.

Sarà unica anche l’autorità di vigilanza con notevole semplificazione per le imprese e benefici in termini di certezza del diritto.

La nuova normativa può contribuire a rendere più efficiente l’organizzazione dell’impresa, riducendo al contempo i rischi legati al trattamento dei dati, che trattati in modo lecito e corretto e protetto con misure adeguate, costituiscono un valore per le imprese.

 

Novità del nuovo regolamento per la protezione dei Dati personali

 

Vediamo in sintesi le novità del regolamento. Il nuovo regolamento si sovrappone, sia pure non integralmente, al Codice della Privacy (d.lgs. n. 196/2003) e stabilisce le norme applicabili alla protezione dei dati personali delle persone fisiche e alla libera circolazione di tali dati.

Il legislatore italiano ed il garante della privacy dovranno presto esprimersi su quali regole del vecchio Codice Privacy resteranno applicabili e quali no.

Il regolamento stabilisce in primis i principi con i quali i dati devono essere trattati:

1 liceità, correttezza e trasparenza;

2 secondo finalità determinate, esplicite e legittime,

3 con adeguatezza, pertinenza e limitazione;

4 con esattezza e precisione;

5 per un arco temporale strettamente necessario;

6 garantendone riservatezza e integrità.

e, ancora più importante, stabilisce un principio di responsabilizzazione del titolare del trattamento dati (accountability) che deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali.

Altre novità, tra diritto all’oblio e la portabilità dei dati

 

Tra le novità vengono stabiliti per legge il diritto all’oblio, quale diritto ad ottenere la cancellazione dei propri dati personali esercitabile, ad esempio, quando i dati non siano più necessari in relazione alle finalità per cui erano stati trasmessi.

Altra importante novità che abbatte vigorosamente le barriere burocratiche è la portabilità dei dati: l’interessato potrà richiedere che i dati vengano trasmessi da un titolare ad un altro titolare del trattamento.  Questo naturalmente porta indubbi benefici all’interessato (cioè al soggetto di cui si trattano i dati) ma richiede che le aziende si organizzino per garantire il servizio.

 

Il Registro dell’attività di trattamento

 

I titolari del trattamento dati dovranno riformulare l’informativa che dovrà essere “rafforzata” nei contenuti ed è stata inoltre prevista l’istituzione di un Registro della attività di trattamento svolto che dovrà essere conservato sia dal titolare che dal responsabile del trattamento e messo a disposizione del Garante dietro apposita richiesta.

In questo Registro dovranno essere indicate una serie di informazioni come le finalità per le quali il trattamento è stato effettuato, le categorie di dati, i soggetti interessati e le misure di sicurezza adottate. Pura formalità? Assolutamente no.

 

Lo scopo del nuovo regolamento per il trattamento dei dati personali

 

Il nuovo regolamento vuole uscire dall’idea che sia sufficiente compilare un foglio excel, e adotta un approccio legato alla valutazione specifica dei rischi legateial trattamento dei dati.

Proprio in un’ottica di valutazione ex ante, il titolare del trattamento dovrà adottare una serie di misure di minimizzazione del trattamento, in modo tale da progettare le regole di trattamento nello stesso tempo in cui si progetta il prodotto o servizio per cui vengono richiesti (privacy by design).

Inoltre le misure di protezione dovranno prevedere impostazioni predefinite di minimizzazione del trattamento dei dati, consentendone l’accesso ad un numero limitato di soggetti (privacy by default).

In sostanza il titolare del trattamento dovrà verificare in via preliminare che tipo di rischi e di impatti possono esserci in caso di violazione e, nel caso in cui preveda un rischio elevato, dovrà consultare il Garante Privacy.

Il ruolo del Titolare del trattamento diventa figura cardine della nuova normativa; è investito di una serie di adempimenti incentrati sui doveri e sulla sua responsabilizzazione (accountability) nell’osservanza del Regolamento.

Il RGPD lascia ampia discrezionalità ai titolari di decidere su finalità e mezzi del trattamento dei dati, sulle modalità da adottare per conformarsi agli obblighi normativi ma, al contempo, gli stessi dovranno essere in grado di dimostrare l’excursus logico che li ha spinti ad adottare questa o quella decisione; è chiaro che la prova documentale a supporto di questa attività è fondamentale per non dire necessaria.

 

Cosa deve fare una impresa per essere compliant con la nuova normativa?

 

In sintesi:

  • fare una verifica estesa e una mappatura dei trattamenti, individuare i dati trattati, la base giuridica del trattamento, le finalità ed i soggetti coinvolti;
  • procedere ad una analisi dei rischi in relazione agli specifici trattamenti che opera all’interno della sua impresa;
  • individuare le criticità e predisporre di un piano di intervento adeguato garantire la sicurezza dei dati (integrità e riservatezza) secondo le nuove regole;
  • mettere in atto misure tecniche, organizzative e giuridiche adeguate;
  • documentare, cioè essere in grado di provare le adeguate misure adottate.

 

Il legislatore comunitario indica sanzioni molto pesanti in caso di violazione delle regole che possono arrivare fino a 20.000.000,00 di Euro o il 4% (se superiore) del fatturato mondiale dell’ impresa per le violazione più gravi.

Pertanto analizzare e implementare le misure adeguate per conformarsi al nuovo regolamento protezione dati appare imprescindibile.