Gabriele Faggioli
Responsabile Scientifico Osservatorio Information Security & Privacy e Presidente CLUSIT (Associazione Italiana per la Sicurezza Informatica).
Guglielmo Troiano
Senior Advisor Osservatorio Information Security & Privacy. Politecnico di Milano.
Il General Data Protection Regulation (GDPR) sta introducendo importanti novità nella gestione dei dati personali. Il focus passa da un sistema normativo di tipo formalistico ad un sistema di governance basato su un’alta responsabilizzazione sostanziale del Data Controller
II percorso legislativo che ha portato all’emanazione del Regolamento Generale sulla Protezione dei Dati (n. 2016/679, c.d. GDPR) è iniziato il 4 novembre 2010, quando la Commissione europea ha elaborato una proposta di riforma della normativa in materia di protezione dei dati personali.
Il GDPR persegue due obiettivi fondamentali: da un lato, adeguare la normativa, ormai risalente al 1995, alle nuove tecnologie, dall’altro armonizzare ed uniformare la normativa stessa a livello europeo, creando un quadro normativo comune. Per perseguire questo secondo obiettivo, lo strumento giuridico prescelto dal legislatore europeo è stato quello del Regolamento, direttamente applicabile in tutti gli Stati membri, e non, come in passato, quello della direttiva, che, necessitando di recepimento nei singoli Paesi, crea differenze normative, a volte rilevanti, fra i singoli Stati membri.
Il Regolamento Generale è entrato in vigore il 24 maggio 2016 e diventerà applicabile a partire dal 25 maggio 2018, dopo un periodo di transizione di due anni.
Il GDPR abroga la precedente normativa in materia, ossia la Direttiva 95/46/CE del 24 ottobre 1995, “relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, con l’effetto di abrogare anche le normative nazionali emanate in applicazione della stessa, come il Digs. 196/2003 (c.d. “Codice Privacy”), almeno nelle parti di diretta trasposizione di tale Direttiva. Il Regolamento Generale non abroga invece la Direttiva 2002/58/CE (c.d. «Direttiva e-Privacy») che prevede obblighi specifici per i fornitori di servizi di comunicazioni elettroniche (e quindi, nel nostro ordinamento le disposizioni del Codice Privacy di attuazione della stessa). Tale direttiva dovrebbe essere sostituita da un ulteriore Regolamento: il 10 gennaio 2017, infatti, la Commissione europea ha adottato una proposta di Regolamento («Reguiation on Privacy and Electronic Communications») volta ad allineare la normativa e-Privacy con le nuove regole previste dal GDPR. Nelle intenzioni della Commissione anche tale ulteriore Regolamento dovrebbe entrare in vigore il 25 maggio 2018, contemporaneamente al GDPR, in modo che, entro tale data, possa aversi un quadro giuridico completo in materia di protezione dei dati personali in ambito europeo. Sulla proposta di Regolamento e-privacy, il Gruppo di lavoro ex articolo 29, “Artide 29 Data Protection Working Party” (c.d. “WP29”) ha adottato il 4 aprile 2017, l’Opinion 01/2017, proponendo miglioramenti e suggerimenti per rendere il testo più chiaro. I provvedimenti dell’Autorità Garante non decadranno fino a quando non verranno modificati, sostituiti o abrogati, mentre le autorizzazioni generali sul trattamento dei dati sensibili o giudiziari rimarranno in vigore fino al 24 maggio 2018.
Da notare che l’ambito di applicazione della nuova normativa è più ampio rispetto alla precedente (tanto che si è parlato di “extraterritorialità” del GDPR): il nuovo Regolamento Generale si applica infatti non solo alle organizzazioni stabilite in UE (anche se il trattamento avviene fuori EU), ma anche ad organizzazioni localizzate extra UE che offrono beni o servizi a interessati che “si trovano” in territorio comunitario o che monitorano il loro comportamento all’interno di esso (art. 3).
Rispetto al Codice Privacy, le definizioni e i principi generali in esso previsti rimangono sostanzialmente invariati. In particolare non sono variati o sono variati in maniera marginale i seguenti aspetti:
- definizione di trattamento;
- definizione di dato personale;
- principi relativi al trattamento di dati;
- liceità del trattamento;
- obbligo di informativa;
- obbligo di consenso;
- protezione delle sole persone fisiche.
Ciò che cambia radicalmente è invece la filosofia della norma.
Si passa, infatti, da un sistema normativo di tipo formalistico (basato sulla previsione di regole formali e su un elenco di adempimenti e misure minime di sicurezza da adottare), ad un sistema di governante dei dati personali basato su un’alta responsabilizzazione sostanziale («accountability») del Data Controller, a cui è richiesta proattività, cioè capacità di prevenire (e non solo di correggere) gli errori, nonché capacità di dimostrare, anche documentalmente e/o tramite l’adozione di appropriate policy interne (da esibire in caso di richiesta da parte dell’Autorità), la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni.
La maggiore discrezionalità per i Titolari del trattamento di decidere le modalità attraverso le quali conformarsi alle disposizioni del GDPR è gravata, inoltre, dall’onere di provare le ragioni che hanno portato a tali decisioni e le motivazioni alla base delle scelte effettuate.
Nell’art. 5 del GDPR, infatti, non solo si individua nel Titolare del trattamento il soggetto responsabile di garantire il rispetto dei principi applicabili al trattamento di dati personali (ovvero i principi di “liceità, correttezza e trasparenza”, “limitazione della finalità”, “minimizzazione dei dati”, “esattezza limitazione della conservazione” e “integrità e riservatezza”), ma si stabilisce che il medesimo debba essere altresì “in grado di comprovarlo”. Sarà necessario, per esempio, essere in grado di documentare il processo che ha portato alla definizione del registro dei trattamenti, alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati una violazione dei dati personali (c.d. «data breach»), di aver attuato in relazione ad un nuovo trattamento le necessarie valutazioni legate alla privacy «by design».
Viene inoltre introdotto un nuovo approccio metodologico completamente risk-based. Pare quindi opportuno sottolineare che la privacy non potrà più essere considerata come una seccatura o al più come un adempimento ancillare al business. Al contrario la tutela dei dati personali dovrà essere un presupposto da considerare già nella fase di progettazione dei processi di trattamento degli stessi, dei servizi e dei prodotti, e la tematica dovrà essere calata all’interno dei processi e dell’organizzazione aziendale (c.d. «privacy by design»).
Oltre al sostanziale rovesciamento di prospettiva, il GDPR ha introdotto anche ulteriori novità rilevanti:
- Registro delle attività di trattamento (art. 3o del GDPR) – Ai sensi dell’art. 3o del GDPR, sia i Titolari che i Responsabili dovranno tenere un registro dei trattamenti (con la sola esclusione delle società e degli enti con meno di 250 dipendenti). Tale deroga viene meno in alcuni casi specifici come per esempio lo svolgimento di un trattamento di dati personali a rischio per i diritti e le libertà dell’interessato e che risulti non occasionale o che includa categorie particolari di dati personali o dati relativi a condanne penali e a reati. Il registro dei trattamenti dovrà contenere almeno le indicazioni previste nel suddetto art. 3o ed essere redatto in forma scritta, anche in formato elettronico. Inoltre, dovrà essere esibito su richiesta dell’Autorità di Controllo.
Come precisato dal Garante per la protezione dei dati personali nella Guida all’applicazione del Regolamento Generale del z8 aprile 2017, il registro dei trattamenti sarà uno strumento fondamentale non soltanto ai fini dell’eventuale verifica da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, indispensabile per ogni valutazione e analisi del rischio. Lo stesso, infatti, non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, il Garante invita tutti i Titolari di trattamento e i Responsabili, a prescindere dalle loro dimensioni, a dotarsi di tale registro (e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche), inserendo, se opportuno, ulteriori informazioni rispetto a quelle prescritte dall’art. 3o.
- Analisi dei rischi (art. 32 del GDPR) – Nel valutare l’adeguato livello di sicurezza, il Titolare ed il Responsabile devono effettuare un’analisi dei rischi derivanti dal tipo di trattamento che intendono porre in essere, quali quelli di distruzione, perdita, modifica, divulgazione non autorizzata e accesso, in modo accidentale o illegale, ai dati personali trasmessi/conservati o comunque trattati.
- Valutazione d’impatto (art. 35-36 e considerando 75-77) -Qualora un trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare (assieme al Data Protection Officer qualora designato) è chiamato ad effettuare, prima di procedere al trattamento dei dati, una valutazione d’impatto sui trattamenti che intende pone in essere. Il Garante, nella Guida sopra citata, mette in rilievo che per rischio si intende il rischio di impatti negativi sulle libertà e sui diritti degli interessati. Tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il Titolare ritiene di dover adottare per mitigare gli stessi. Ai sensi del GDPR, la valutazione d’impatto è richiesta in particolare qualora s’intenda effettuare una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato oppure quando si tratti di un trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali e a reati, ovvero in caso di sorveglianza sistematica ad ampio raggio di una zona accessibile al pubblico.
La valutazione d’impatto deve contenere almeno i seguenti elementi:
- una descrizione sistematica dei trattamenti previsti e delle finalità di trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal Titolare;
- una valutazione delle necessità e proporzionalità dei trattamenti in relazioni alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati.
Qualora all’esito di tale valutazione il Titolare ritenga che il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, dovrà consultare l’Autorità di controllo, secondo quanto disposto dall’art. 36 del Regolamento (consultazione preventiva). All’esito di questa valutazione d’impatto il Titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’Autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale. L’Autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del Titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del Titolare fino alla limitazione o al divieto di procedere al trattamento. Dunque, l’intervento delle Autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal Titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’Autorità di controllo e il cosiddetto prior checking (o verifica preliminare ex art. 17 Codice), sostituiti dall’obbligo di tenuta di un registro dei trattamenti da parte del Titolare/Responsabile e, appunto, di effettuazione della valutazione di impatto in piena autonomia.
Peraltro, alle Autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” (l’erede dell’attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e di fornire ausili interpretativi e analitici: il Comitato sarà chiamato infatti a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.
- Misure tecniche organizzative adeguate (art.32) – Come sopra anticipato, non sono più previste misure “minime” di sicurezza (ex art. 33 Codice), ma è prescritto, in capo al Titolare ed ai Responsabili, l’obbligo di adottare misure tecniche ed organizzative “adeguate al rischio.” Al riguardo quelle elencate nell’art. 32 del GDPR sono indicate a titolo esemplificativo e non esaustivo (pseudonimizzazione; cifratura; capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento). La valutazione sarà rimessa, caso per caso, al Titolare e al Responsabile in rapporto ai rischi specificamente individuati e tenuto conto non solo della natura, ambito, contesto e finalità del trattamento, ma anche dello stato dell’arte (evoluzione tecnologica) e dei costi di attuazione.
- Responsabile della protezione dei dati – c.d. DPO (artt. 37-39) – Il GDPR introduce la figura del Data Protection Officer (DPO). Si tratta di una figura con compiti eterogenei, alcuni di natura ispettiva interna (sorvegliare), altri consulenziali (dare pareri), alcuni interni all’organizzazione del Titolare, altri esterni (rapporto con gli interessati e con l’autorità di controllo). La sua figura è di fondamentale importanza in quanto è volta a facilitare il rispetto, da parte delle singole organizzazioni, delle disposizioni dettate dalla nuova disciplina. I requisiti soggettivi e oggettivi di questa figura sono stati specificati, in particolare, nelle Linee Guida sul DPO adottate dal WP29 il 5 aprile 2017 (WP243), illustrando (anche attraverso esempi concreti) le competenze professionali (conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati) e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del Titolare.
Il WP29 ha anche specificato che il DPO non è personalmente responsabile in caso di mancato rispetto del GDPR. Infatti sono il Titolare e il Responsabile ad essere tenuti a garantire (e dimostrare) che il trattamento venga effettuato in conformità con il Regolamento Generale sulla Protezione dei Dati. Il DPO non sarebbe, dunque, responsabile in prima persona dell’implementazione della privacy in azienda, ma una figura di controllo priva di responsabilità esecutive. Egli esprime solo pareri, ma le decisioni (anche eventualmente in contrasto con il suo parere) sono assunte da altri. Per tale motivo non deve quindi avere un titolo all’interno dell’organizzazione che gli consenta di determinare finalità e modalità del trattamento, fra cui, ad esempio, quello di “amministratore delegato, direttore generale, direttore finanziario, direttore sanitario, direttore marketing, risorse umane e IT” o anche di altre figure non apicali, se tali posizioni portano alla determinazione delle finalità e modalità del trattamento. Inoltre, il GDPR prevede che il Titolare e il Responsabile del trattamento debbano assicurarsi che il DPO non riceva alcuna istruzione in merito all’esecuzione dei suoi compiti e che non debba essere rimosso o depenalizzato, da parte del Titolare o del Responsabile, per aver adempiuto ai propri compiti.
La sua designazione è obbligatoria nei seguenti casi.
- il trattamento è effettuato da un’Autorità pubblica o da un organismo pubblico;
- il “core business” dell’azienda consiste in attività che richiedono il monitoraggio regolare e sistematico di dati degli interessati su larga scala;
- il “core business” dell’azienda consiste nel trattamento su larga scala di dati “sensibili” e giudiziari”.
Nelle suddette Linee Guida sul DPO, il WP29 ha precisato che se un ente non è tenuto a nominare un DPO e decide di designarlo su base volontaria, si applicheranno comunque gli stessi requisiti di cui agli artt. da 37 a 39 sulla sua designazione, ruolo e compiti, come se la nomina fosse stata obbligatoria. In ogni caso, un ente che non è obbligato a nominare il DPO e non desidera nemmeno farlo su basi volontarie, può comunque utilizzare staff o consulenti esterni con compiti relativi al trattamento dei dati personali.
- Certificazione dei trattamenti (artt. 42 – 43) – Il GDPR promuove l’istituzione di meccanismi di certificazione della protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai Titolari e dai Responsabili.
La certificazione è volontaria ed accessibile tramite una procedura trasparente che dovrà essere basata su criteri previamente approvati dalle Autorità di controllo competenti.
L’ottenimento della certificazione non riduce le responsabilità in capo al Titolare e al Responsabile del trattamento ma offre una mera presunzione relativa di conformità che sia il Garante sia l’autorità giudiziaria sono libere di valutare. Infatti rimangono impregiudicati i compiti e i poteri delle autorità di controllo competenti.
- Maggiore responsabilità dei “Responsabili” (art. 82) – Il GDPR sancisce una maggiore responsabilità del Data Processor che:
- può ricevere direttamente richieste da parte dell’Autorità Garante;
- è direttamente passibile di sanzioni amministrative;
- può rispondere direttamente per il danno causato dal trattamento non solo se non ha rispettato le istruzioni del Titolare, ma anche se non ha adempiuto agli obblighi del GDPR specificamente diretti ai Responsabili.
I trattamenti effettuati dal Responsabile, ai sensi dell’art. 28, devono essere disciplinati all’interno di un contratto o di un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il Responsabile al Titolare. In particolare dovranno essere indicati la materia disciplinata, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di dati degli interessati, gli obblighi e i diritti del Titolare.
Inoltre, se il Titolare e il Responsabile sono coinvolti nel medesimo trattamento saranno chiamati a rispondere in solido per l’intero ammontare del danno causato dallo stesso, ai sensi dell’art. 82.
- Entità delle sanzioni (artt. 83 -84) – Il GDPR prevede la possibilità per le Autorità nazionali di irrogare sanzioni fino a € 20.000.000 o, in caso di imprese, al 4% del fatturato globale annuo, a seconda di quale risulti la sanzione più elevata.
Le sanzioni più alte si applicano nel caso di:
- violazioni dei principi del trattamento, incluse le condizioni per il consenso;
- violazione dei diritti degli interessati;
- inosservanza delle norme in tema di trasferimento internazionale dei dati;
- violazione di obblighi previsti dalle legislazioni degli Stati membri;
- inosservanza di un ordine, di una limitazione provvisoria, o definitiva di trattamento o di un ordine di sospensione dei flussi dei dati dell’autorità di controllo, o il negato accesso.
Le sanzioni più basse (fino a t 10.000.000 o al 2% del fatturato globale annuo) si applicano in caso di violazione degli obblighi previsti in capo al Titolare e al Responsabile, all’organismo di certificazione e all’organismo di controllo.
Non potendo fissare direttamente, per difetto di competenza, le sanzioni penali, l’UE demanda ai singoli Stati membri l’individuazione delle stesse. Pertanto, sotto questo aspetto, non vi sarà concreta uniformità e armonizzazione a livello europeo.
Fonte: Gruppo Sole 24 Ore