LA TUTELA DEI DATI PERSONALI ALL’ESORDIO DEL GDPR
Pubblicato su Legal di Maggio 2018 l’articolo “La tutela dei dati personali all’esordio del GDPR” a cura degli Avv. Gianni Marco Di Paolo e Francesco Anastasi.
A partire dal 25 maggio 2018 il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679 detto anche GDPR secondo l’acronimo anglosassone General Data Protection Regulation), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 segna una nuova stagione per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
La nuova disciplina impone alle amministrazioni e alle imprese un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, attraverso importanti aggiornamenti a carico delle aziende e delle pubbliche amministrazioni.
È necessario pertanto non solo “mettersi in regola” entro il giorno previsto dal legislatore ma garantire una continuativa conformità al GDPR, passando dai singoli adempimenti alla effettiva, continua implementazione delle procedure.
Infatti, non a caso, tra le principali novità introdotte dal regolamento va segnalato il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).
Pertanto, il titolare del trattamento sarà tenuto ad adottare politiche e attuare misure adeguate per garantire e dimostrare in ogni momento che il trattamento dei dati personali è effettuato conformemente alle disposizioni del GDPR (art. 5, par. 2).
Ne consegue che le amministrazioni e le imprese dovranno costantemente garantire e dimostrare, anche dopo il 25 maggio 2018, la conformità di tutte le proprie attività alle regole europee.
Il Registro delle attività di trattamento
Proprio in conseguenza di questo nuovo approccio per amministrazioni e imprese vi è la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionali all’istituzione del registro dei trattamenti.
Difatti ai sensi dell’art. 30 del GDPR il registro delle attività di trattamento dovrà essere compilato in modo puntuale con: a) il nome e i dati di contatto del titolare del trattamento e del DPO; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; e) i termini ultimi previsti per la cancellazione delle diverse categorie di dati; f) una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dall’amministrazione.
L’individuazione e la nomina del DPO
Ma vero perno della nuova normativa è la figura del responsabile del trattamento o DPO (Data Protection Officer).
Questo ruolo può essere una persona fisica, giuridica, pubblica amministrazione o ente, ed elabora i dati personali per conto del titolare del trattamento che è l’ente o l’impresa da cui dipende.
In base all’art. 28 del nuovo regolamento generale europeo, la nomina deve avvenire tramite contratto o altro “atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento“.
Il DPO deve essere scelto in base alle qualità professionali, e alla conoscenza specialistica della normativa e della prassi in materia di protezione dati: il DPO attiva in sé il principio di “responsabilizzazione” e deve essere incardinato all’interno dell’azienda e dell’amministrazione come un ufficio autonomo in grado di gestire tutte le fasi dei procedimenti legati alla nuova disciplina.
Infatti, il DPO dovrà effettuare una supervisione in ordine alla conformità al regolamento garantendo contemporaneamente l’esercizio dei diritti dell’interessato “trattato” nei tempi prestabiliti.
Pertanto sarà proprio il soggetto interessato, secondo il c.d. principio di accountability o di responsabilizzazione, a collaborare con il DPO e a far valutare all’Autorità Garante l’attività svolta e la documentazione.
Di recente il Gruppo Articolo 29 si è interrogato sulla necessità di garantire l’assenza di conflitto di interessi per il DPO. In particolare si è ritenuto che possa sussistere conflitto di interesse del DPO per ruoli come amministratore delegato, responsabile del personale, responsabile del sistema informativo, direttore sanitario, direttore marketing.
Codici di condotta e certificazioni
Altro elemento di grande portata innovativa del regolamento 27 aprile 2016, n. 2016/679, è la possibilità di elaborazione di codici di condotta o deontologici per la gestione dei dati personali.
Quest’ultimi dovrebbero essere redatti dalle associazioni e dalle organizzazioni rappresentative dovrebbero tenere conto delle caratteristiche specifiche dei settori di riferimento e delle diverse esigenze connesse alle dimensioni aziendali.
Il progetto di codice, una volta redatto, deve essere sottoposto all’Autorità garante nazionale e l’eventuale parere positivo su consentire l’uso solo nel paese in cui è stato proposto. L’Autorità registrerà e pubblicherà il codice realizzato.
Il GDPR introduce anche la possibilità di ottenere una certificazione (art. 42) da parte di Organismi certificatori come strumento volontario atto a garantire un certo livello di conformità al GDPR.
Le certificazioni tuttavia, non esonerano da responsabilità il titolare del trattamento o il responsabile del trattamento riguardo alla conformità al regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti.
Sebbene siano strumenti volontari che si affiancano a tutti quelli obbligatori e a quelli consigliati indicati nel regolamento, l’applicazione di un codice di condotta approvato o di un meccanismo di certificazione può essere utilizzata come uno degli elementi in grado di dimostrare la conformità e il rispetto degli obblighi da parte del titolare del trattamento.
La violazione dei dati personali cd Data Breach
Questione di grandissimo interesse, non prevista dalla normativa precedente, è rappresentata dall’obbligo di comunicazione delle violazioni di dati personali – il cd. Data Breach – a tutti i trattamenti di dati personali effettuati dalle pubbliche amministrazioni e dalle imprese.
La “violazione dei dati personali” è da intendersi, secondo quanto disciplinato dal regolamento europeo, come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Il regolamento riconosce, in particolare, due ipotesi di Data Breach: la comunicazione delle violazioni di dati all’autorità nazionale di protezione dei dati personali (ex art. 33) e la comunicazione ai soggetti a cui si riferiscono i dati, nei casi più gravi (c.d. soggetti “interessati), di cui all’art. 34.
Il regolamento europeo individua il soggetto tenuto a notificare, le tempistiche, le modalità ed il contenuto della notificazione della violazione dei dati personali, nonché le eventuali responsabilità e sanzioni nel caso di violazione degli obblighi previsti.
La previsione di obbligo di comunicazione del Data Breach comporta che le pubbliche amministrazioni e le imprese siano tenute ad accertare e controllare che siano state messe in atto adeguate misure tecnologiche e organizzative di protezione.
Più in generale questo obbligo si inscrive nella generale compliance al principio di trasparenza richiesto dal GDPR:
sia nell’adeguare e integrare le informative attualmente in uso (con riferimento alle informazioni previste dagli artt. 13 e 14 GDPR), facendo attenzione a renderle chiare, brevi e facilmente comprensibili;
sia nell’organizzarsi per riscontrare le eventuali richieste di accesso.
Diritto alla portabilità dei dati
Nel solco del principio di trasparenza si inscrive il diritto alla portabilità dei dati.
Si tratta di un diritto innovativo, previsto dall’articolo 20 del GDPR, che consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, per poterli trasmettere ad altro titolare del trattamento senza impedimento alcuno. L’obiettivo è quello di accrescere il controllo degli interessati sui propri dati personali, facilitandone la circolazione, la copia o la trasmissione da un ambiente informatico all’altro.
Per l’interessato, la portabilità dei propri dati implicherà non solo di ricevere un sottoinsieme dei dati personali che lo riguardano e di conservarli in vista di un utilizzo ulteriore per scopi personali, ma anche di ottenere la trasmissione degli stessi da un titolare ad un altro, «senza impedimenti» da parte del primo.
In questo contesto le imprese e le amministrazioni devono garantire che i dati gestiti trattati siano conservati e trasmissibili, con possibilità per gli interessati di accedervi.
Il quadro sanzionatorio
Il GDPR tratteggia anche un importante quadro di responsabilità e un quadro sanzionatorio che entrerà in vigore dopo il 25 maggio 2018.
Come noto già il Codice della Privacy conteneva alcune sanzioni amministrative. In particolare l’art. 161 del Codice della Privacy prevedeva una sanzione pecuniaria da tremila a diciottomila euro, nel caso che l’omessa o inidonea informativa si riferisca a dati personali identificativi, ma in alcuni casi è previsto anche un aggravio della pena da cinquemila a trentamila euro.
L’apparato sanzionatorio del GDPR solitamente colpisce per le rilevanti cifre previste dall’articolo 83, che arrivano a colpire Titolari e Responsabili con sanzioni amministrative fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo.
In realtà, il quadro sanzionatorio previsto dall’art. 84 dal regolamento europeo, demanda la materia penale alla competenza di ciascuno Stato Membro, e solo le sanzioni amministrative pecuniarie sono armonizzate nel rispetto di criteri di effettività, proporzionalità e dissuasività.
In particolare, l’art. 83 specifica che le sanzioni devono essere applicate in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi come il carattere doloso o colposo della violazione, le misure adottate.
In termini molto generali, sebbene le sanzioni previste nel regolamento siano di importi molto elevati fino al 20 milioni di euro o il 4% del fattura mondiale annuale, il principio generale è che una violazione del regolamento potrebbe comportare una imposizione di sanzioni equivalente in tutti gli Stati membri. A tale scopo le recenti linee guida pubblicate il 3 ottobre dal Gruppo articolo 29 analizzano i vari parametri in base ai quali determinare l’ammontare della sanzione che, in casi irrisori e che non hanno rischi significativi per gli interessati, potrà anche corrispondere una mera diffida amministrativa.
Tuttavia, tenendo conto delle circostanze specifiche, una violazione dei dati potrebbe anche comportare una sanzione pecuniaria superiore ai 10 mln di euro se dovessero ricorrere delle circostanze di maggiore gravità ed inosservanza delle prescrizioni dell’Autorità di controllo.
Come visto, sebbene non sia ancora stata adottata una normativa di recepimento interna, il quadro di incombenze previste per le amministrazioni e le imprese cui ottemperare entro il 25 maggio appare chiaro e rilevante e, pertanto, tutti i soggetti coinvolti debbono attivarsi al più presto al GDPR per evitare di incorrere nelle sanzioni previste.