lunedì 15 febbraio 2016

Il nuovo regolamento europeo in materia di dati personali: una mappa per conoscerlo. ( seconda parte)

di Marco Maglio


Abbiamo disegnato nell'articolo precedente i pumi cinque punti della nuova mappa delle regole in materia di dati personali disegnata dal Regolamento Europeo che è in fase di pubblicazione nella Gazzett Ufficiale dell'Unione Europea.

Ecco qui di seguito gli altri cinque punti per completare il quadro di riferimento


6)  meno burocrazie più sostanza: cessa l'obbligo della notificazione al Garante

Fino ad oggi chi effettuata alcune tipologie di trattamenti (ad esempio geolocalizzazione, ricerca genetica, profilazione, analisi sulla puntualità dei pagamenti e altre tipologie di trattamenti particolarmente invasivi) e' tenuto ad effetuare un adempimento preventivo: si tratta della notificazione al Garante per la protezione dei dati personali.

Con la riforma europea che entrerà in vigore nel 2018 cambierà tutto. Viene abolito l’obbligo di Notificazione di specifici trattamenti  all’Autorità Garante.

Tale  adempimento  è  considerato  dal Legislatore  europeo  come  un  obbligo  che  comporta  oneri  amministrativi  e finanziari  senza  aver  mai  veramente  contribuito  a  migliorare  la  protezione  dei dati  personali  (in  particolare  per  le  piccole  e  medie  imprese). 

Si è quindi deciso di abolire tale obbligo generale di notificazione  e  sostituirlo  con  meccanismi  e  procedure  efficaci  che  si concentrino  piuttosto  su  quelle  operazioni  di  trattamento  che  potenzialmente presentano  rischi  specifici  per  i  diritti  e  le  libertà  degli  interessati,  per  la  loro natura, portata o finalità.

Tali trattamenti saranno  l’effettuazione della valutazione di impatto nel trattamento dei dati.

7)  Un nuovo protagonista della privacy aziendale: il Data Privacy Officer

Se fino ad oggi siamo stati abituati a prevedere i tre ruoli classici nel trattamento dei dati (titolare, responsabile ed incaricato), prepariamoci ad un grosso cambiamento. A parte le novità puramente terminologiche (noi italiani scopriremo infatti con sorpresa che quello che chiamiamo Titolare nel linguaggio eruopeo si chiama Responsabile del trattamento  che è colui che definisce le finalità del trattamento, mentre chi noi chiamiamo oggi Responsabile nella terminologia europea viene chiamato Incaricato, mentre quelli che noi oggi in Italia chiamiamo incaricati non sono previsti dal nuovo ordinamento europeo) prepariamoci a veder nascere una nuova stella nel firmamento  della privacy aziendale: nascerà infatti nel 2018 la nuova figura del Data Privacy Officer (DPO) o meglio del Responsabile della protezione dei dati personali.

Sarà una figura obbligatoria se:
a) chi tratta i dati è un soggetto pubblico
b) si trattano rivelanti quantità di dati personali
c) si trattano sistematicamente dati sensibili o giudiziaria

Il DPO, che può essere un consulente esterno all'azienda, deve possedere requisiti di professionalità ed indipendenza ed autonomia di spesa diventando una sorta di auditor interno dei processi di trattamento dei dati personali e il referente che il Garante contatterà in caso debba acquisire informazioni o formulare contrstazioni rivolte a chi tratta i dati personali in azienda.

I compiti essenziali del DPO sono questi

a) informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute;
b) vigilare sull’attuazione e sull’applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
c) verificare l’attuazione e l’applicazione del Regolamento europeo; la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal Regolamento;
d) garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
e) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
f) controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
g) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa;
h) controllare che sia dato seguito alle richieste del Garante per la protezione dei dati personali e, nell’ambito delle sue competenze, cooperare di propria iniziativa o su richiesta dell’Autorità.


8)  I nuovi principi della protezione della privacy fin dalla sua progettazione (privacy by design) e della protezione di default di dati e sistemi (privacy by default).

Vengono introdotti nel sistema normativo europeo due nuovi principi fondativi dell'apporccio evoluto al corretto trattamento dei dati personali: la privacy by design e la privacy by default.

Vediamo di cosa si tratta. Privacy by design significa che la tutela dei dati personali deve essere pensata ed organizzata fin dalla fase progettuale della raccolta di informazioni.  Diventa obbligatorio  prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l'intera gestione del ciclo di vita dei dati.
Bisgonerà analizzare i flussi di dati connessi all'attività che si vuole effetutare e adotttare criteri che minimizzino i rischi del trattamento e riducano le quantità dei dati trattati (si parla di minimization of data)

Privacy by default significa che occorrerà prevenire raccolte di dati non necessari, per le finaltià perseguite, evitando di acquisire inforamzioni eccedenti rispetto agli obiettivi dichisrati nell'informativa. La privacy quindi di acquisisce come presupposto delle attività di trattamento e cessa di essere, come è oggi, un obiettivo secondario da perseguire rispettando adempimenti formali. La privacy cessa di essere un mero requisito legale e diventa un elemento intrinseco del processo di gestione delle informazioni. Questa è la vera essenza della riforma. Chi non capisce questo sarà destinato a vagare alla ricerca di un centro di gravità permanente. Privacy by design e by default si fondono in un unico precetto organizzativo che diventa , quindi, la vera stella polare nel cammino verso il corretto trattamento dei dati personalizza

9)  viene introdotto l'obbligo di autodenuncia per le violazioni di dati patite da chi tratta dati

All'estero esiste da tempo questa regole estesa a tutti coloro che trattano dati personali: si parla di data breach notification, che è l'obbligo di segnalare all'Autorità le violazioni di dati subite da chi li tratta.  Per violazione dei dati personali (c.d. “personal data breaches”), si intende: la distruzione, la perdita, la modifica, la rivelazione non autorizzata o  l'accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati.

In Italia tale obbligo esiste solo per gli operatori di comunicazioni elettroniche ma con la riforma europea tutti dovranno abituarsi a questo nuovo standard di sicurezza: chi tratta dati,  in  caso  di  una  violazione, dovrà  mettere  in  atto  due  differenti  azioni:
  1. la  notificazione  della  violazione all’Autorità di controllo entro 72 ore dal fatto
  2. la segnalazione al diretto interessato (senza ritardo ingiustificato).

Il mancato rispetto di questo obbligo comporta sanzioni penali.
Appare chiaro che questo nuovo standard comporterà interventi significativi per l'adozione di software di monitoraggio (cd. Software sentinella) che segnalino immediatemente le violazioni e per l'ottenimento di adeguate coperture assicurative che proteggano dai crescenti rischi legati al cosiddetto cyber risk.

10) le sanzioni di nuova generazione

Cone la riforma europea si passa dalle sanzioni a cifra fissa alle sanzioni “personalizzate”.

Fino ad oggi in Italia le sanzioni erano definite entro misure che potevano arrivare fino a 360.000 euro salvo incrementi dovuti alle dimensioni dell'impresa ed alla particolare gravità delle violazioni. Con la riforma le sanzioni diventeranno molto più pesanti:
  1. Fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi.
  2. Fino al 4% del fatturato complessivo (consolidato) per i Gruppi societari

Si tratta di un cambio di passo significativo. E' chiaro che queste sanzioni sono pensate per incidere sulle condotte dei grandi gruppi multinazionali che trattano dati in diverse aree geografiche e spesso cercano di individuare i paradisi legali del trattamento dei dati personali per eludere norme e criteri di comportamento definiti dalle nazioni più rigorose.

Dulcis in fundo: consenso e profilazione

Abbiamo completato la mappa ma non abbiamo ancora parlato di due elementi essenziali, fino ad ora, per chi gestisce i dati a fini di comunicazione commerciale: il consenso e la profilazione.

Cosa dice il nuovo regolamento a questo riguardo?

Con una certa sorpresa, accolta con toni fortemente critici dai difensori della privacy individuale, la riforma apre spazi nuovi per chi voglia sperimentare e cogliere opportunità interessanti.

Per quanto riguarda il consenso, che noi siamo abituati a considerare valido solo se formulato con una dichiarazione espressa (è l'effetto del cosiddetto sitema dell'opt in che l'Italia ha adottato con convinzione fin dal 1997, anno di entrata in vigore della prima normativa sui dati personali), si introduce un approccio di chiaro sapore anglosassone meno formalista e più sostanziale.

Secondo il nuovo regolamento europeo (così recita il Considerando 25 del testo approvato) “il consenso dovrebbe essere espresso mediante un'azione positiva inequivocabile con la quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento, ad esempio mediante  dichiarazione scritta, anche elettronica, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche  o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in questo contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere dato per
l'insieme delle finalità del trattamento. Se il consenso dell’interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso”.

Questo di fatto dà spazio, entro certi limiti, a forme di consenso desunto da comportamenti concludenti espressi mediante azioni positive da parte dell'interessato. E' un grosso cambiamento che apre spazi nuovi rispetto ai rigidi steccati dell'opt in che pure restano formalmente in piedi.  Va tenuto conto che la definizione di “consenso dell'interessato” fornita dal regolamento è questa : “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l'interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.”
E' quindi sparito il riferimento, originariamente previsto dal testo, al carattere esplicito del consenso che, a certe condizioni si può desumere in base al comportamento attivo dell'interessato.

Quanto alla profilazione, che per molti consisterebbe nella semplice analisi e clusterizzazione di un data base, il regolamento da risposte molto precise.  In particolare la riforma  chiarisce che la profilazione consiste nell'analisi di dati cui fa seguito un'azione automatica senza l'intervento dell'uomo. Quindi se si analizzano con strumenti informatici i dati presenti nei propri archivi e poi l'elaborazione dei dati stessi viene sottoposta alla valutazione preventiva di una persona prima dell'utilizzo dei dati stessi, per adattare e verificare i dati stessi, non si effettua profilazione. Quindi non occorre un consenso specifico per svolgere tale attività di analisi.

E così la mappa è completa: non resta che affrontare le nuove regole, capirle e soprattutto tenere a mente che la nuova tutela dei dati personali è un diventato un essenziale processo organizzativo stategico per le imprese cessando di essere un  semplicistico susseguirsi di adempimenti formali.

2 commenti:

Unknown ha detto...

Buongiorno,

interessante articolo...a proposito di consenso espresso "mediante un'azione positiva inequivocabile" il form di registrazione di wix.com "sfrutta" secondo voi questa nuova opportunita?

Su https://users.wix.com/signin NON c'è un flag da spuntare per l'iscrizione alle newsletter ma questa dicitura "Iscrivendoti, accetti i nostri Termini d'uso e Norme sulla privacy; inoltre accetti di ricevere da Wix, email, newsletter e aggiornamenti."

Grazie per le vostre opinioini.

LUCERNA IURIS - Legal European Network ha detto...

L'esempio citato non è adeguato rispetto alle nuove norme europee perchè il consenso sul trattamento dei dati personali viene espresso con un'azione che sovrappone l'adesione ai termini di utilizzo alle norme sul trattamento dei dati. L'interessato dovrebbe avere la possibilità di accettare i primi e rifiutare di dare il consenso alle seconde. Inoltre non si raccolgono consensi specifici per ogni singola finalità di trattamento ma si acquisisce, peraltro il modo non valido, un consenso unico per tutte le tipologie di trattamenti. Anche da questo punto di vista l'interessato deve poter scegliere a cosa dare e a cosa negare il consenso. Direi quindi che non siamo di fronte ad una valida applicazione del principio del consenso espresso in modo inequivocabile attraverso azioni positive. Cordiali saluti
Avv. Marco Maglio