Il Regolamento Europeo in materia di Protezione dei Dati Personali

Le nuove regole per trattare i dati in tutti gli Stati UE

 

Il Regolamento UE n. 679/2016 sulla protezione dei dati personali (o anche “GDPR”), abrogativo della precedente Direttiva n. 95/46/CE, è entrato in vigore il 24 maggio 2016 con applicazione rinviata al 25 maggio 2018.

L’introduzione del GDPR cambia in maniera sostanziale l’approccio che si è avuto sinora sulla privacy: d’ora in avanti il quadro normativo sarà incentrato sui doveri e sulla responsabilizzazione del Titolare del trattamento, secondo il principio della “accountability”.

La nuova disciplina impone al Titolare del trattamento di garantire il rispetto dei principi contenuti nel GDPR, ma anche la capacità di comprovare di aver adottato le misure tecniche e organizzative idonee a prevenire il verificarsi dei rischi.

In particolar modo il concetto di “responsabilizzazione” si traduce nel fatto che il Titolare è chiamato a dimostrare che i trattamenti siano coerenti con il disposto del GDPR, a pianificare e mettere in atto misure tecniche e organizzative per poterne comprovare l’adeguatezza, e ad attivare un modello di monitoraggio delle misure tecnico-organizzative implementate.

In questa logica vengono introdotti due presupposti chiave dell’impianto del GDPR: la Privacy by design, quindi la necessità di disegnare le misure di Sicurezza e Privacy già in fase di progettazione dei sistemi  informativi, e la Privacy by default vale a dire la capacità di disegnare le misure di Sicurezza e Privacy per default, come prerequisito di normale funzionamento dei sistemi informativi aziendali.

Inoltre vengono ribaditi i principi di liceità del trattamento che può essere possibile solo se l’interessato ha espresso un esplicito consenso, di adeguatezza, pertinenza e non eccedenza dei dati rispetto alle finalità per cui vengono trattati.

Un’attenzione particolare viene dedicata ai diritti degli interessati che, oltre al diritto di informativa, comprendono il diritto di accesso, il diritto di rettifica, il diritto di cancellazione, il diritto di limitazione di trattamento, il diritto di portabilità dei dati, il diritto di opposizione e il diritto di non essere sottoposto a processi decisionali automatizzati.

Tra le novità anche la necessità di gestire le violazioni di dati personali (Data breach), e per alcune tipologie di soggetti e di trattamenti, di redigere un apposito Registro dei trattamenti, una Valutazione di impatto (DPIA) e di nominare la figura del Responsabile per la protezione dei dati (DPO).

 

Le sanzioni

Il GDPR ridisegna l’impianto sanzionatorio in tema di trattamento dei dati personali nel quale un elemento centrale del nuovo assetto è rappresentato dalle sanzioni amministrative pecuniarie.

Una volta accertata la violazione di alcune norme del GDPR, l’Autorità di controllo competente può individuare delle misure correttive per affrontare la situazione che si è così venuta a creare. Particolarmente pesante l’impianto sanzionatorio pecuniario, per il quale il GDPR fissa esclusivamente dei massimali di sanzione, a seconda della violazione perpetuata. Nello specifico:

  • una sanzione fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, nei casi di violazione relativi a:
    • gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 del GDPR;
    • gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43 del GDPR;
    • gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4, del GDPR;
  • una sanzione fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, nei casi di violazione relativi a:
    • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 del GDPR;
    • i diritti degli interessati a norma degli articoli da 12 a 22 del GDPR;
    • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49 del GDPR;
    • qualsiasi obbligo ai sensi delle legislazioni specifiche adottate dagli Stati membri;
    • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo ai sensi dell’articolo 58, paragrafo 2, del GDPR o il negato accesso in violazione dell’articolo 58, paragrafo 1, del GDPR.

Come già evidenziato, il grado di responsabilità del titolare del trattamento, e quindi l’importo della sanzione amministrativa, dipenderanno anche da alcuni aspetti che attengono ad attività preventive poste in essere dal titolare e, nello specifico:

  • se sono state attuate misure tecniche che seguono i principi della protezione dei dati fin dalla progettazione (c.d. privacy by design) o per impostazione predefinita (c.d. privacy by default);
  • se sono state adottate misure organizzative che attuano i principi della protezione dei dati fin dalla progettazione e per impostazione predefinita a tutti i livelli dell’organizzazione;
  • se è stato messo in atto un livello di sicurezza adeguato;
  • se le prassi/politiche/procedure pertinenti in materia di protezione dei dati sono conosciute e applicate al livello adeguato di gestione dell’organizzazione.

È quindi evidente che un’adeguata documentazione dei suddetti aspetti può consentire al titolare del trattamento di attenuare o addirittura di evitare la sanzione amministrativa.

Al di là delle sanzioni amministrative, il singolo interessato che si sentisse danneggiato avrebbe potrebbe comunque perseguire la strada del contenzioso civile e penale. Anche in questo caso un comprovato adeguamento al GDPR consente di limitare o di escludere detta responsabilità.

 

Il percorso per l’adeguamento

Le attività di adeguamento alle previsioni del GDPR passa inevitabilmente per alcune fasi di massima:

  • Inventario dei dati: il primo passo è quello di sapere quali dati vengono trattati e che misure tecniche e organizzative sono state già poste in essere per proteggerli;
  • Valutazione d’impatto sulla protezione dei dati: successivamente è necessario valutare gli effetti dei trattamenti posti in essere sulla protezione dei dati personali, accompagnandola con un’adeguata analisi dei rischi che consenta di associare ad ogni rischio una probabilità del verificarsi dell’evento e un danno potenziale ad esso associato;
  • Piano di azione: una volta valutati i rischi, andrà redatto un piano che esplichi le misure organizzative e tecniche necessarie per la riduzione dei rischi identificati;
  • Implementazione delle misure tecniche e organizzative: le misure identificate nel Piano di azione andranno messe in atto secondo le tempistiche individuate;
  • Formazione e informazione: l’adeguamento ai principi e ai contenuti del GDPR passa anche attraverso idonee attività formative verso tutti i soggetti facenti parte della struttura organizzativa;
  • Monitoraggio: il processo di adeguamento al GDPR passa attraverso un costante controllo dell’adeguatezza delle misure implementate rispetto al costante variare dell’attività aziendale. E’ quindi necessaria una costante attività di monitoraggio sia sull’attuazione del piano in essere, conservando al documentazione che attesti il rispetto dello stesso, sia sulla necessità di adeguare il piano alla mutata realtà organizzativa, anche sulla base dei principi del privacy by design e del privacy by default.