GDPR
Nella prima meta’ del 2018 entrera’ in vigore il nuovo regolamento europeo relativo alla protezione dei dati personali (GDPR). Nonostante questa scadenza sia gia’ conosciuta da tempo, cosi’ come le principali linee guida che caratterizzano il regolamento, la percentuale di aziende italiane che hanno dimostrato sensibilita’ verso questa scadenza e’ sicuramente non molto elevata e ancora meno sono quelle che gia’ hanno iniziato a mettersi a norma
NOVITÀ DEL GDPR
Alcune delle novita’ previste dal GDPR sono sicuramente impegnative e richiedono un importante cambiamento nella filosofia della gestione e dell’approccio aziendale alla sicurezza. Si parla, ad esempio, di privacy by design. Questo significa un impegno ad adottare fin dall’inizio del processo produttivo, di qualsiasi tipo esso sia, anche se riguarda un prodotto software, comportamenti in grado di assicurare la correttezza, l’integrità, la riservatezza e la sicurezza dei dati. Un altro principio che viene introdotto e’ quello denominato ” privacy by default “.
Esso introduce l’ obbligo di adottare tutti gli strumenti di sicurezza e le modalità di trattamento e di gestione dei dati disponibili sul mercato, in grado di ridurre o, meglio, eliminare, il rischio. Non solo, ma indica anche che e’ a carico dell’ azienda, in caso di controversie, dimostrare di essere in buona fede e di averli adottati.
Sono anche previste sanzioni decisamente rilevanti che arrivano fino a 20 milioni di Euro o al 4% del fatturato.
I CONSIGLI DEL GARANTE
Con queste premesse, e’ chiaro che il GDPR avrà un impatto su enti e imprese, sia dal punto di vista tecnologico, che da quello organizzativo e legale.
A questo proposito il Garante ha indicato alcune linee guida che dovrebbero aiutare le aziende a raggiungere gli obiettivi descritti entro la data ultima che e’ indicata nel 25 maggio 2018
Esse si possono cosi’ sintetizzare:
- designazione in tempi stretti del Responsabile della protezione dei dati
- verifica dello stato attuale dei sistemi e delle procedure in relazione alle richieste della nuova normativa
- istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate
- definizione delle procedure di notifica di eventuali violazioni dei dati personali, i cosiddetti Data Breach.
Quest’ultimo punto appare particolarmente delicato e di difficile attuazione, poiche’ Il GDPR stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore.
Tutto cio’ viene richiesto in uno scenario che indica una continua e preoccupante evoluzione sia in termini numerici, sia in termini di pericolosita’ delle minacce cibernetiche. Inoltre la situazione italiana sembra essere decisamente una delle peggiori, sia come strumenti utilizzati per contenere queste minacce, sia dal punto di vista della sensibilita’ al problema.
Si puo’ dire che il livello di sicurezza nelle piccole e medie aziende e’ quasi inesistente e che, complessivamente, soltanto l’ 1 o 2 % delle aziende puo’ affermare di avere un livello di sicurezza accettabile.
Inoltre, e’ opportuno ricordare, che il fatto di affidarsi ad un “cloud” non ci mette al riparo dagli obblighi di sicurezza.
Quindi, se da un lato e’ certamente richiesto un adeguamento tecnologico, dall’ altro e’ necessario un diverso approccio al problema che coinvolge pesantemente la struttura organizzativa. Questo a partire dalla nuova figura del DPO, che ha un ruolo sicuramente multifunzionale: deve infatti avere competenze normative, tecniche, comunicative e una profonda conoscenza dell’organizzazione del settore in cui si trova ad operare.
Il regolamento:
(Fonte: sito del garante)
– disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
– fissa più dettagliatamente (rispetto all’art. 29 del Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
– consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3);
– prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO, nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). Si ricorda, inoltre, che anche il responsabile non stabilito nell’Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all’art. 27, paragrafo 3, del regolamento – diversamente da quanto prevede oggi l’art. 5, comma 2, del Codice.
Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).
RACCOMANDAZIONI
I titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di contitolarità, essendo obbligati in tal caso a stipulare l’accordo interno di cui parla l’art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell’esercizio dei diritti previsti dal regolamento.
I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall’art. 28, paragrafo 3, del regolamento. Dovranno essere apportate le necessarie integrazioni o modifiche entro il 25 maggio 2018, in particolare qualora si intendano designare sub-responsabili nei termini sopra descritti. La Commissione e le autorità nazionali di controllo (fra cui il Garante) stanno valutando la definizione di clausole contrattuali modello da utilizzare a questo scopo.
Attraverso l’adesione a codici deontologici ovvero l’adesione a schemi di certificazione il responsabile può dimostrare le “garanzie sufficienti” di cui all’art. 28, paragrafi 1 e 4. Il Garante sta valutando i codici deontologici attualmente vigenti per alcune tipologie di trattamento nell’ottica dei requisiti fissati nel regolamento (art. 40), mentre per quanto concerne gli schemi di certificazione occorrerà attendere anche l’intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo “Articolo 29” sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi.
Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene opportuno che titolari e responsabili del trattamento mantengano in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante.