GDPR General Data Protection Regulation: are you ready?

GDPR General Data Protection Regulation: are you ready?
31 gennaio 2018 Massimo di Giuseppe

5.05.2018, segnate questa data sul vostro calendario. A partire da quel giorno verrà applicato il nuovo regolamento europeo (679/16) in materia di protezione dei dati personali che porterà dei cambiamenti sostanziali rispetto all’attuale codice della privacy sia in termini di procedure e sia nel più temuto inasprito impianto sanzionatorio.

Sono passati circa venti anni dall’emanazione della prima direttiva europea in tema di Privacy (Dir. 95/46/CE). Internet era agli albori, Zuckemberg era un rampante fanciullo e già scriveva codice, il primo astronauta americano viaggiava nello spazio a bordo di un veicolo russo, nasceva la prima interfaccia Yahoo, in sette paesi dell’UE entravano in vigore gli Accordi di Schengen, veniva presentato Windows 95, veniva fondata eBay e commercializzata la PlayStation (allora non si chiamava 1 ma PlayStation e basta). Ci sono voluti venti anni affinché la legislazione decidesse di adeguare le regole all’evoluzione tecnologica e sociale.

Secondo la Commissione Europea: “I dati personali sono qualunque informazione relativa ad un individuo, collegata alla sua vita privata, sia professionale o pubblica. Può riguardare qualunque cosa: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di un computer.”

Ma quali sono stati i motivi che hanno spinto allo studio e all’approvazione del General Data Protection Regulation (GDPR)? Possiamo dividere lo scenario in due macro obiettivi, diretti e indiretti.

Gli obiettivi diretti sono quelli che impattano sull’operatività e sulle responsabilità e riguardano la trasparenza del trattamento dei dati; i maggiori diritti per gli interessati e l’inasprimento del profilo sanzionatorio sono tra i punti più importanti della riforma.

Per quanto riguarda gli obiettivi indiretti, il GDPR vuole, da un lato garantire una maggior tutela dei dati a seguito delle nuove tecnologie digitali utilizzate per il loro trattamento e la loro conservazione, dall’altro ottenere un’armonizzazione normativa all’interno dell’UE, in modo da evitare difformità nella gestione dei dati personali nei diversi stati cercando di rendere il mercato più sicuro per gli utenti e competitivo per le aziende.

L’approvazione del GDPR prevede un sostanziale cambiamento in merito al trattamento dei dati personali. Innanzitutto partendo dalla tipologia di indicazione, essendo un Regolamento (atto giuridico “self-executing”) è obbligatorio allo stesso modo e contestualmente in tutti i Paesi dell’Unione Europea dopo la pubblicazione in Gazzetta Ufficiale, dunque non sarà necessaria una legislazione applicativa ad hoc da parte dei paesi UE. Inoltre verrà applicata anche ad organizzazioni con sede esterna all’ UE che gestiscano dati di residenti europei e che svolgano attività commerciali potenzialmente rivolte a cittadini della UE (siti di e-commerce con attività in paesi extra-UE)

Alcune tra le principali novità introdotte dal GDPR per le imprese:

  • le aziende pubbliche e le aziende private che trattano “dati particolari” o “dati personali” su larga scala dovranno nominare al loro interno un Data Protection Officer (DPO), tradotto in italiano con Responsabile per la Protezione dei Dati (RPD), che come si può leggere nell’art.39 del regolamento dovrà assolvere i seguenti compiti:
    • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti
    • sorvegliare l’osservanza del regolamento
    • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento
    • cooperare con l’autorità di controllo
    • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento
  • inasprimento dell’impianto sanzionatorio attraverso multe che a seconda della gravità della condotta illecita potranno raggiungere somme calcolate in percentuale sul fatturato totale a livello worldwide.?
  • in caso di violazione dei dati personali (data breach), per esempio accessi non autorizzati, l’azienda dovrà notificare il fatto all’Autorità Garante entro un periodo prestabilito (72 ore) dal momento della scoperta della violazione. Se tale violazione rappresenta un possibile rischio grave per i diritti e la libertà della persona, il titolare è obbligato a darne comunicazione agli interessati, a meno di condizioni particolari previste dalla normativa
  • le aziende dovranno rispondere al requisito del privacy impact assessment, effettuando una valutazione complessiva dell’impatto (DPIA – Data Protection Impact Analysis) della normativa all’interno della propria impresa, prima di cominciare ad effettuare un trattamento che possa rappresentare dei rischi elevati per le libertà delle persone;
  • applicazione del principio generale del “privacy by design”, ossia la necessità di prevedere specifiche misure tecniche ed organizzative a protezione dei dati sin dal momento della ideazione e progettazione di un prodotto e/o servizio ?
  • riconoscimento agli interessati del “diritto all’oblio”, cioè la possibilità di richiedere la cancellazione dei propri dati personali se sono verificate alcune condizioni previste dal regolamento (revoca del consenso, fine dello scopo per cui i dati sono stati raccolti, trattamento illecito)
  • riconoscimento del “diritto alla portabilità” del dato, cioè il diritto dell’interessato di poter richiedere la portabilità dei propri dati personali da un titolare del trattamento ad un altro.

Per far sì che questo nuovo regolamento sia efficace, occorre un’elevata preparazione per affrontare le gravose responsabilità che ricadono su coloro che hanno il compito di orientare il management aziendale a fare le scelte giuste e gestire correttamente le criticità che tipicamente emergono quando si trattano i dati personali degli interessati, e per questo l’art. 37 del Regolamento prescrive che il data protection officer (DPO) debba  essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.

In conclusione, tralasciando gli aspetti tecnici e legali del regolamento,  non possiamo esimerci dal prendere atto che il dato personale di clienti, dipendenti e soggetti diversamente coinvolti nel ciclo produttivo e commerciale di un’azienda dal 25 Maggio in poi, debba essere considerato ancor di più un asset fondamentale del proprio business e come tale andrà ancor di più tutelato e gestito con la massima attenzione e competenza ma soprattutto “responsabilità” (accountability), il vero principio cardine di tutto il GDPR.

Next04, associato di ASSO DPO, è in grado di accompagnare i propri clienti, con competenze specifiche e certificate, nel percorso di compliance alla direttiva europea, fornendo gli strumenti tecnici e giuridici per affrontare l’adeguamento alla normativa.