di Marco Maglio
Si avvicinano a grandi passi gli appuntamenti con la riforma europea che riscriverà profondamente le norme che regolano l'utilizzo dei dati personali.
Ne abbiamo parlato in un precedente articolo ed ora è il momento di vedere cosa è successo, cosa succederà e cosa occorre sapere
Cosa è successo
Nel
gennaio 2012 la Commissione europea ha presentato ufficialmente il
cosiddetto "pacchetto protezione dati" con lo scopo di garantire un
quadro coerente ed un sistema complessivamente armonizzato in materia
nell'Ue.
Il pacchetto prevede due documenti normativi di cui è stata proposta l'approvazione:
-
Il Regolamento concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la vecchia Direttiva 95/46
-
La Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all'esecuzione delle sanzioni penali, che sostituirà (ed integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l'Italia non ha, peraltro, ancora attuato).
Dopo
tre anni di discussione i due testi sono orami stati definiti e hanno
formato oggetto della procedura di condivisione tra le tre istituzioni
dell' Unione Europea preposta alla produzione di testi normativi: la
Commissione, il Parlamento e il Consiglio.
Il
18 dicembre 2015 è stato in particolare definito il testo del
Regolamento (destianto a entrare in vigore direttamente, senza necessità
di singole leggi di recepimento) e ora ne è prossima l'approvazione
formale e la pubblicazione in Gazzetta Ufficiale
Cosa succederà
Dopo
l'approvazione e la pubblicazione (prevista entro il primo trimestre
2016) ci saranno due anni di tempo prima che il testo entri in vigore
nei 28 stati membri dell'Unione. In questo periodo transitorio ogni
Stato dovrà armonizzarsi con gli altri paesi e favorire la creazione
delle condizioni necessarie per l'applciazione unifrome delle nuove
norme.
Sarà
un periodo intenso in cui i singoli Garanti nazionali avranno un ruolo
essenziale per favorire l'efficace entrata in vigore delle normativa.
Da subito comunque bisogna attendersi che le nuove norme europee
genereranno un'accelerazione nel processo di armonizzazione e nel
cambiamento delle ormai consolidate abitudini legate alla normativa
nazionale che è destianta ad essere in gran parte sostituita dal nuovo
Regolamento europeo.
Vediamo ora quali sono i punti essenziali della nuova mappa della data protection europea.
Cosa occorre sapere: la riforma in dieci punti
In rapida succesione ecco cosa cambia con la nuova normativa
1) cambiano i criteri per stabilire a chi si applicano le norme
La
domanda è classica: “se una società extraeurope tratta dati di
cittadini europi quale legge si applica?” Fino ad oggi si applica la
legge del titolare del trattamento cioè di chi raccoglie i dati.
Cone
la riforma cambia tutto: viene introdotto il principio
dell’applicazione del diritto dell’Unione Europea anche ai trattamenti
di dati personali non svolti nell’UE, se relativi all’offerta di beni o
sevizi a cittadini UE o tali da comportare il monitoraggio dei loro
comportamenti.
E’
una rivoluzione rispetto alla regola precedente in base alla quale la
normativa applicabile è quella del luogo in cui ha sede il Titolare del
trattamento
Facebook e Google saranno soggette alla normativa europea.
2) cambiano gli obblighi a carico di chi tratta i dati: il nuovo criterio dell'accountability
Fino
ad oggi gli adempimenti in materia di dati personali erano basati su
criteri formali e sulla logica dell'effettivo abuso dei dati raccolti.
Si era sanzionati se gli adempimenti non erano stati applicati e se le
autorità di controllo lo rilevavano e lo contestavano.
Ora
invece diventa obligatorio elaborare un sistema documentale di
gestione della privacy contenente tutti gli atti, regolarmente
aggiornati, elaborati per soddisfare i requisiti di conformità al
Regolamento.
E'
la logica dell'accountability, cioè della corretta organizzazione e
della documentazione e tracciabilità obbligatoria delle attività di
trattamento. Chi non oganizza bene la gestione dei dati che raccoglie è
punibile per questo semplice fatto a prescindere dall'abusivo utilizzo
dei dati che ne possa essere derivato o meno
3) cambia l'informativa
L'informativa
non sarà più uno strumento burocratico e formale. Deve essere resa in
forma concisa, trasparente, intelligibile e facilmente accessibile, con
un linguaggio semplice e chiaro, in particolare nel caso di informazioni
destinate specificamente ai minori. Le informazioni sono fornite per
iscritto o con altri mezzi, se del caso in formato elettronico. Se
richiesto dall'interessato, le informazioni possono essere fornite
oralmente, purché sia comprovata con altri mezzi l'identità
dell'interessato.
Inoltre occorrerà informare gli interessati sull'origine dei dati trattati e indicare il tempo di conservazione dei dati
4) nuovi meccanismi semplificati per l'esercizio dei diritti degli interessati
Oggi
esercitare i diritti di accesso, modifca, integrazione e cancellazione
dei dati personali richiede che l'interessato si attivi e superi a volte
difficoltà rilevanti per formulare l'istanza verso chi ha raccolto i
suoi dati.
I
nuovi criteri introdotti dal Regolamento invece richiedono di
prevedere modalità volte ad agevolare l’esercizio, da parte
dell'interessato, dei suoi diritti, compresi i meccanismi per
richiedere e, se del caso, ottenere gratuitamente, in particolare,
l'accesso ai dati, la loro rettifica e cancellazione e per esercitare il
diritto di opposizione. Diventerà onere di chi raccoglie i dati
predisporre anche i mezzi per inoltrare le richieste per via
elettronica, in particolare qualora i dati personali siano trattati con
mezzi elettronici.
5) Dal DPS al PIA: analisi dei rischi e valutazione di impatto del trattamento dei dati personali
Siamo
stati per ani abituati a gestire un adempimento formale denominato
Documento Programmatico sulla Sicurezza (DPS) una fotografia documentata
dell'adeguatezza delle misure di sicurezza adottate per trattere i dati
personali.
Nel
2012 tale adempimento ha cessato di essere obligatorio ma con il nuovo
regolamento euriopeo dovremo presto imparare a destreggiare un nuovo
strumento: il Privacy Impact Assessment (PIA) ovvero il documento di
valutazione di impatto nel trattamento dei dati.
Sarà una vera e propria analisi dei rischi in concreto generati dal trattamento dei dati aziendali.
Chi
raccoglie i dati dovrà effettuare una Valutazione degli impatti
determinati dal trattamento dei dati stessi fin dal momento della
progettazione del processo aziendale e degli applicativi informatici di
supporto, in particolare nei casi in cui il trattamento alla base degli
stessi, per sua natura, oggetto o finalità, presenti rischi specifici
per i diritti e le libertà degli interessati.
Il processo prevede tre distinte fasi da volgersi periodicamente con cadenza almeno annuale
-
Analisi dei rischi (list analisys)
-
Definizione della lista delle criticità (gap list)
-
Definizione del programma di intervento (action plan)
La
probabilità e la gravità del rischio legato al tratamento dei dati
dovranno essere determinate in funzione della natura, del campo di
applicazione, del contesto e delle finalità del trattamento dei dati.
Il rischio dovrà essere considerato in base ad una valutazione oggettiva
mediante cui si stabilisce se i trattamenti di dati comportano un
rischio o un rischio elevato.
Sarà
una vera e propria rivoluzione per quanti sono abituati alle cadenze
confortevoli del DPS e all'approccio tecnico informatico alla materia.
Con il PIA viene introdotta un'analisi dei processi azienndali profonda
che mira a gestire i rischi, prevendoli.
Stay tuned
Per
completare la mappa del nuovo regolamento europeo mancano ancora cinque
punti. Li vedremo nella prossima puntata. Tra breve su questi
schermi …..