Nel gennaio 2012, la Commissione Europea ha approvato la proposta di un regolamento sulla protezione dei dati personali, in sostituzione della direttiva 95/46/CE valida per i 27 stati membri dell’Unione Europea e una direttiva che disciplina i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).
In accordo con questo regolamento sulla protezione dei dati personali in Italia è stato emesso Decreto Legislativo n. 5 del 9 febbraio 2012 che ha preso il posto del precedente Dlgs 196/2003.
Il decreto contiene un articolato pacchetto di interventi volto ad alleggerire il carico degli oneri burocratici gravanti sui cittadini e sulle imprese, con una semplificazione delle procedure amministrative, ad esempio per il cambio di residenza, comunicazioni di dati tra le amministrazioni, partecipazione a concorsi, ecc.
La legge è stata aggiornata con il testo del Regolamento generale sulla protezione dei dati, anche noto come GDPR (General Data Protection Regulation) approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e applicabile a decorrere dal 25 maggio 2018.
In estrema sintesi col GDPR:
- Si introduce il concetto di responsabilizzazione o accountability del titolare;
- Si introducono importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
- Si introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
- Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
- Si introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;
- Si introducono regole più chiare su informativa e consenso;
- Viene ampliata la categoria dei diritti che spettano all’interessato;
- Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.
One stop shop (sportello unico)
Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire per avviare l’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:
- La designazione in tempi stretti del Responsabile della protezione dei dati;
- L’istituzione del Registro delle attività di trattamento;
- La notifica dei data breach.
Portabilità dei dati
Nel Regolamento viene introdotto il diritto alla “portabilità”, ovvero il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali per trasferirli da un titolare del trattamento a un altro e, se tecnicamente fattibile, la trasmissione diretta dei propri dati. Il diritto alla portabilità può essere esercitato quando il trattamento si basa sul consenso, su un contratto o sia effettuato con mezzi automatizzati. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafiche.
Il principio di “responsabilizzazione”
Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability), ovvero l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti o evidenziabili, nonché delle misure tecniche e organizzative (anche di sicurezza) ritenute adeguate dai titolari per mitigare tali rischi.
Data breach Gdpr
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante che comportano impatti sui diritti e le libertà degli interessati. Rispondere in modo efficace a un data breach per il Gdpr (qui la guida completa) richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR.
La figura del DPO (Data Protection Officer)
Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.
Il Responsabile della protezione dei dati:
- Riferisce direttamente al vertice,
- E’ indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
- Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte sanzioni di carattere penale.
- Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.
In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.