La nuova normativa sulla Privacy – ovvero il Regolamento UE n. 679 del 2016, chiamato con l’acronimo GDPR (dall’inglese General Data Protection Regulation) – è un tema molto sentito dalle aziende del Vending che si sono trovate ad affrontare delle questioni sulle quali non sempre sono sufficientemente preparate.
Nella società di oggi le informazioni che riguardano ogni aspetto della vita di una persona, anche le più private, vengono disperse e immagazzinate nel web (basti pensare ai social network) e in banche dati, potenzialmente innumerevoli, gestite da soggetti terzi (il più delle volte sconosciuti), “sfuggendo” alla sfera di controllo della persona interessata.
L’intento dell’UE è di rafforzare la protezione dei dati personali dei cittadini, oltre che di armonizzarla e renderla più omogenea all’interno dei propri confini e potenziarla all’esterno.
Il testo del GDPR, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed è entrato in vigore il 25 maggio dello stesso anno, ma ha iniziato ad avere definitivamente efficacia il 25 maggio 2018.
Dal 25 maggio scorso, quindi, le regole nazionali di protezione dei dati personali – e dunque per l’Italia il D.Lgs. n. 196 del 2003 (il cosiddetto Codice Privacy) – non sono più applicabili, per lo meno nelle parti in contrasto con le nuove norme, e sono disciplinate direttamente dal GDPR.
In alcune materie, infatti, grazie unicamente alle specifiche previsioni normative del GDPR, lo Stato mantiene il potere di adottare norme nazionali. Questo vale anche per l’Italia.
A tal riguardo, il Governo Italiano però non ha esercitato nei termini previsti la delega che gli era stata assegnata con la legge n. 163/2017, art.13, affinché provvedesse ad adottare un decreto legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR contempla la competenza delle normative nazionali (ad esempio l’individuazione delle sanzioni penali).
Al Governo è stata concessa una proroga di 3 mesi, con scadenza al 22 agosto 2018. Entro quella data verrà adottato il decreto delegato di adeguamento e il GDPR sarà pienamente integrato alla nostra normativa nazionale.
Già dal 25 maggio 2018, comunque, il GDPR deve essere pienamente e integralmente attuato, anche se non è ancora stato adottato il decreto delegato di adeguamento.
Accountabilty
Per parlare in maniera efficace delle novità del GDPR è necessario partire dal pilastro su cui si fonda il suo impianto normativo: il principio dell’Accountability, ovvero di Responsabilizzazione e Rendicontazione.
Il titolare di un trattamento dati non è più un mero esecutore di un elenco di misure imposte dalla norma, ma con il GDPR diviene responsabile delle misure operative e tecniche che riterrà opportune, efficaci e dunque adeguate per salvaguardare i dati che tratta.
L’obiettivo di ogni titolare, responsabile e addetto al trattamento dei dati, sarà quello di essere “accountable” ai principi del GDPR. Questo significa non solo divenire responsabile delle scelte di mezzi, operazioni, procedure, ecc. in materia di trattamento dei dati, ma anche essere in grado di “dare conto” (in inglese accountable) delle valutazioni svolte alla base delle scelte poi operate.
L’art.32 del GDPR recita: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio …”.
Questo comporta che ogni soggetto che ha che fare con il trattamento dei dati personali dovrà autonomamente scegliere come e in che misura mettere in sicurezza i trattamenti.
Il legislatore europeo ha introdotto, quindi, il concetto che nessuno, meglio del titolare, può individuare sistemi di protezione e misure adeguati a garantire la sicurezza dei dati che non rallentino o impediscano le normali e quotidiane attività.
Dal principio di Accountability discendono altri due concetti fondamentali introdotti dal GDPR: la Prevenzione e l’Adeguatezza delle misure di protezione dei dati.
Prevenzione (Privacy by design)
A differenza della normativa precedente, il GDPR parla di Prevenzione. Questa normativa rappresenta quindi uno “strumento” per la pianificazione dell’utilizzo del dato e di conseguenza non riguarda solamente la “protezione dei dati personali”, ma la protezione del contesto digitale.
Unitamente a quello di “Privacy by design”, vi è il principio non meno importante di “Privacy by default” che stabilisce che, per impostazione predefinita, le imprese devono trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.
Misure di sicurezza
La normativa parla di misure adeguate e non più di misure minime di sicurezza.
Il Regolamento, infatti, non prevede un elenco tassativo di misure di sicurezza ma una lista aperta e non esaustiva di misure adeguate da adottare a seconda dei risultati dell’analisi dei rischi/valutazione d’impatto.
Ciò vuol dire, in concreto, che non è possibile ritenere sufficiente né necessaria l’adozione delle misure di sicurezza riportate all’interno dell’art. 32 del GDPR. Spetta, infatti, al titolare e al responsabile del trattamento valutare, caso per caso, in rapporto ai rischi specificamente individuati, quali misure adottare.
Come si può giudicare l’adeguatezza delle misure adottate?
Un livello di sicurezza può considerarsi adeguato quando è in grado di contrastare i rischi di:
Le misure da adottare possono essere tecniche e organizzative, come, ad esempio:
La normativa ha introdotto altre novità riguardanti:
È il caso di soffermarsi su 2 aspetti pratici di grande importanza che ogni azienda di qualunque dimensione, anche la più piccola, deve tenere in considerazione e realizzare: il Registro dei Trattamenti e l’Informativa all’interessato.
Il registro, previsto dall’art. 30 del Regolamento generale europeo, deve essere predisposto da tutte le imprese e organizzazioni che trattano dati personali se hanno alle proprie dipendenze più di 250 lavoratori, ma anche nel caso in cui l’impresa, pur avendo un numero inferiore di addetti, effettui un tipo di trattamento che possa presentare un rischio per i diritti e le libertà dell’interessato, quando questo trattamento non sia occasionale o includa il trattamento delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 del GDPR (es. dati biometrici, dati genetici, dati relativi a convinzioni religiose o politiche, dati relativi all’etnia o all’orientamento sessuale di una persona, dati sanitari) o tratti i dati personali giudiziari.
Anche per le imprese per le quali non è obbligatorio, la tenuta del registro è considerata indice di una corretta gestione dei trattamenti.
L’onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento.
La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all’analisi del rischio e ad una corretta pianificazione dei trattamenti, proprio per il concetto di Accountability/responsabilizzazione e rendicontazione. Per questo le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo nello stesso ogni elemento utile, oltre a quelli minimi previsti dalle norme.
Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante e Guardia di Finanza) in caso di verifiche. Il registro dei trattamenti è la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.
L’informativa è una comunicazione rivolta all’interessato per informarlo sulle finalità e le modalità dell’uso dei dati operate dal titolare del trattamento e anche per permettere all’interessato di rendere un valido consenso. Essa è condizione non tanto del rispetto del diritto individuale a essere informato, quanto del dovere del titolare del trattamento di garantire la lealtà del trattamento.
Gli articoli 13 e 14 del GDPR prevedono un contenuto minimo per l’informativa. L’informativa deve avere forma coincisa, deve essere chiara, facilmente accessibile e intellegibile per l’interessato.
È ammessa la possibilità di pubblicare l’informativa su un sito web.
Una violazione in materia di informazione agli utenti può avere come conseguenza l’indagine da parte dell’autorità di controllo, la quale può imporre delle sanzioni e anche il blocco di tutti i dati raccolti ed elaborati in violazione delle norme.
Inoltre, gli utenti possono avviare un’azione per il risarcimento dei danno contro il titolare del trattamento.
Il GDPR prevede sanzioni pecuniarie amministrative elevate per chi non rispetta le disposizioni ivi contenute: fino a 20 milioni di Euro e fino al 4% del fatturato annuo. Per le sanzioni penali si è in attesa del decreto delegato di attuazione del Governo Italiano.
Franco Bompani
Stefano Cuccaroni
Eidos Consulting Srl
