Protezione dei dati personali, protezione delle persone fisiche. Il nuovo regolamento europeo 2016/679.

Dott. Massimo SCARPETTA

Il nuovo Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati sarà efficace in tutti gli stati dell’Unione Europea a partire dal prossimo 25 maggio; da tale data prevarrà la fonte del REGOLAMENTO (EU) 2016/679 sulla legislazione nazionale (D. Lgs. 196/03).

E’ compito del governo nazionale (art. 13 L. 25/10/2017 n. 163) adottare (entro 20/5/2018) uno o più decreti legislativi per:

• Abrogare espressamente le disposizioni del Codice (D. Lgs. 196/03) incompatibili con il Regolamento (UE) 2016/679

• Coordinare le disposizioni vigenti con il Regolamento (UE) 2016/679

• Prevedere specifici provvedimenti attuativi/integrativi da adottare dal Garante per la protezione dei dati personali (Garante Privacy)

• Adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento (UE) 2016/679

Il Regolamento Europeo, in ogni caso, è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una legge di recepimento nazionale, imponendo a tutte le Organizzazioni pubbliche e private che a vario titolo trattano dati classificabili come personali, di adeguarsi ai nuovi requisiti in materia.

Applicare il Regolamento sulla protezione dei dati personali implica avere ben chiari i rapporti fra Privacy e Protezione dei dati personali (data protection), il che non è sempre scontato . Sono due istituti giuridici ontologicamente diversi che regolano situazioni contigue ma non sovrapponibili.

“Privacy” :E’ un diritto alla riservatezza che dipende solo dalla volontà personale del singolo nel rilevare o meno le informazioni relative alla sua vita privata e questo, nessuna legge può regolamentarlo o impedirlo. In altre parole, il diritto di scegliere cosa, del nostro spazio personale, vogliamo rendere conoscibile agli altri.

Viceversa, si possono porre limiti all’intrusione di terzi nella vita dei singoli.

Protezione dati personali: la normativa sulla protezione dei dati personali si applica soltanto quando sono utilizzati dei sistemi di archiviazione.

Dunque la volontà del legislatore è “la protezione delle persone fisiche” questo significa qualsiasi ragionamento o qualsiasi compliance deve rispettare questa finalità.

Va chiarito subito anche un altro concetto: la protezione fisica della persona non è la protezione dei dati .Rispettare le regole sulla protezione e circolazione dei dati personali diventa attività strumentale alla protezione delle persone.

Mentre però la protezione delle persone è un diritto assoluto e si ben distingue dalla protezione dei dati che non è una prerogativa assoluta ma va bilanciata con altri diritti e prerogative di soggetti pubblici e privati (tra cui la libertà dell’impresa)

Trattare i dati delle persone corrisponde ad una funzione sociale e il titolare del trattamento quando tratta dati altrui è tenuto alla protezione delle persone mediante l’osservanza delle regole. Questa è la chiave di lettura del nuovo regolamento che esprime il suo scopo nell’Art. 1: “1.Il regolamento stabilisce norme relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. 2) Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”

Da più parti si afferma che il regolamento introdurrà, rispetto all’attuale codice in vigore D.Lgs 196/2003:

1. meno adempimenti formali;

2. più tutele per l’individuo.

In realtà il vocabolo che permea tutto il regolamento è: accountability.

In inglese ha un senso molto chiaro in italiano è stato tradotto cosi: Principio di centralità, di «responsabilizzazione» del Titolare e del Responsabile del Trattamento dei dati. Potremmo definirla meglio così:

“Una situazione in cui qualcuno è responsabile di qualcosa che accade e può dare una spiegazione o meglio, ha la capacità di dimostrare, attraverso un ragionamento logico e soddisfacente tutte le scelte fatte per dimostrare di essere conformi al regolamento”.

Quindi la vera sfida dell’accountability è: “capire con precisione come funziona la propria organizzazione piuttosto che immaginarlo o peggio ancora “affidare la comprensione ad altri”.

La forza del regolamento è questa! Molti adempimenti non trovano un binario predeterminato dalla norma ma sono descritti nelle loro finalità lasciando al titolare del trattamento il compito di completare la definizione in concreto. La vogliamo chiamare flessibilità? Certamente in questo caso è un valore da apprezzare perché consente alle organizzazioni di essere sostenibili ed ai titolari del trattamento di operare in moto attivo e fattivo calzando la normativa all’organizzazione e non viceversa.

Dunque in questo senso il nuovo regolamento europeo tutto è tranne che un semplice adeguamento normativo. Si tratta davvero di ristabilire le priorità e la centralità dell’uomo e preservare la sua identità-

Con internet, la tecnologia da strumento si è fatta dimensione, nella quale l’uomo si è affidato ed immerso al punto da non rendersi conto, fino in fondo delle sue implicazioni. Tutto cresce nella “disattenzione” delle persone, nella apparente “innocuità” degli oggetti di uso quotidiano, basti pensare allo smathphone che spesso ha come password il corpo stesso dell’uomo (riconoscimento facciale o impronta digitale). Il corpo diviene una password che rende accessibile a chiunque la nostra identità più remota e sempre più indifesa (proteggere i dati equivale anche a tutelare la propria identità). Si rischia di finire per essere sconosciuti a noi stessi ma trasparenti a chiunque sia capace di estrare frammenti di noi dallo sciame informativo prodotto dal nostro comportamento on line.

Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita di controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di possesso dei dati protetti da segreto professionale etc.

In questo senso la normativa di protezione dei dati, rappresenta un fondamentale presidio di garanzia tanto in termini di diritti esercitabili dall’utente quanto in termini di complessiva responsabilizzazione dei titolari a vario titolo coinvolti nella filiera in cui si snodano questi dati.

E’ questa la prospettiva che deve spingere le organizzazioni a crescere nel rispetto dei valori e non nella “disattenzione” generale.

Entriamo nello specifico il principale attore è i Titolare del trattamento.

Titolare del trattamento (anche contitolari)è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, deve essere in grado di dimostrare che il trattamento dei dati è stato effettuato conformemente al Regolamento (adesione a codici di condotta – meccanismi di certificazione). Quando il trattamento deve essere effettuato per conto del titolare, ricorre (con contratto o altro atto giuridico) a responsabili (esterni) del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate (tratta i dati su istruzione del titolare). In caso di violazione dei dati personali (violazione della sicurezza dei dati, accidentale o illecita) deve notificare all’Autorità di controllo (Garante Privacy), entro 72 ore, la violazione di dati personali, salvo che non vi siano rischi per i diritti e le libertà delle persone (data breach).

Il principio-chiave è «privacy by design», ossia garantire l’adozione e l’attuazione di misure tecniche ed organizzative, adeguate sin dal momento della progettazione oltre che nell’esecuzione del trattamento, misure in grado di tutelare efficacemente i principi di protezione dei dati.

Novità rilevanti del Regolamento (UE)

• Registri delle attività di trattamento

ogni titolare del trattamento tiene un registro delle attività di trattamento svolte sotto la propria responsabilità. I registri sono tenuti in forma scritta, anche in formato elettronico, da mettere a disposizione su richiesta dell’Autorità di controllo (Garante Privacy)contiene le seguenti informazioni:- il nome e i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati (se designato)- le finalità del trattamento- descrizione delle categorie di interessati e delle categorie di dati personali- categorie dei destinatari- descrizione generale delle misure di sicurezza tecniche e organizzative adottate per garantire un livello di sicurezza adeguato al rischio NON obbligatorio, anche se consigliato, per organizzazioni con meno di 250 dipendenti, salvo che il trattamento dati presenti un rischio per i diritti e le libertà dell’interessato, o includa il trattamento di categorie di dati sensibili o giudiziari

• Valutazione di impatto sulla protezione dati

procedura di valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali che il titolare effettua, prima di procedere al trattamento, consultandosi con il Responsabile della Protezione Dati (RPD, se designato), quanto il tipo di trattamento dei dati prevede l’uso di nuove tecnologie, ovvero presenti un rischio elevato per i diritti e le libertà delle persone la procedura di valutazione, in particolare, è richiesta in caso di :

– trattamento, su larga scala, di categorie particolari di dati sensibili o giudiziari

l’Autorità di controllo (Garante Privacy) redige un elenco delle tipologie di trattamento dati per i quali è richiesta tale valutazione di impatto

• Responsabile della Protezione Dati (RPD)

il titolare del trattamento dei dati designa sistematicamente un Responsabile della Protezione dei Dati (RPD – DPO) quando:

– le attività principali del titolare consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

– le attività principali del titolare consistono nel trattamento, su larga scala, di categorie particolari di dati sensibili o giudiziari.

Il RPD deve possedere qualità professionali (conoscenza normativa e prassi in materia di protezione dati personali). La designazione del RPD è comunicata all’Autorità di controllo (Garante Privacy) e deve essere coinvolto dal titolare del trattamento in tutte le questioni riguardanti la protezione dei dati personali

Ma quali obiettivi si intende raggiungere:

1. Cittadini più garantiti: attraverso l’introduzione di regole più chiare in materia di informativa e consenso. Sono definiti, infatti, i limiti al trattamento automatizzato dei dati personali e criteri rigorosi per il trasferimento degli stessi dati al di fuori dell’Ue

2. Informazioni più chiare e complete sul trattamento: L’informativa diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti (esempio: il diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto) .Deve essere: concisa, trasparente, intellegibile, facilmente accessibile, utilizzando un linguaggio chiaro e semplice. L’informativa deve contenere: Lcontenuto: identità e i dati di contatto del titolare del trattamento, – i dati di contatto del responsabile della protezione dei dati (ove esistente), le finalità del trattamento dei dati, gli eventuali destinatari, se intende trasferire dati all’estero, il periodo di conservazione dei dati o i criteri utilizzati per determinare tale periodo, il diritto dell’interessato di chiedere accesso ai dati (rettifica, cancellazione, opposizione), il diritto di proporre reclamo all’Autorità di controllo (Garante Privacy). L’informativa va fornita nel momento in cui i dati sono ottenuti, se i dati sono raccolti presso l’interessato. Entroo un termine ragionevole dall’ottenimento dei dati e comunque entro 1 mese (non alla registrazione dei dati) o al momento della prima comunicazione, se i dati sono destinati alla comunicazione all’interessato o a terzi nel caso in cui i dati non siano raccolti presso l’interessato;

3. Consenso, strumento di garanzia anche on line: se il trattamento è basato sul consenso dell’interessato, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali
   (non necessariamente documentato per iscritto). Il consenso deve essere libero, specifico, informato, inequivocabile (non è ammesso consenso tacito/presunto). Infine, il consenso deve essere esplicito per il trattamento di dati sensibili (rivelano: origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale).

4. Limiti alla possibilità per il titolare di adottare decisioni solo sulla base di un trattamento automatizzato di dati: Le decisioni che producono effetti giuridici (come, la concessione di un prestito) non potranno essere basate esclusivamente sul trattamento automatizzato dei dati (ad esempio, la profilazione).

5. Più tutele e libertà con il diritto all’oblio: Grazie all’introduzione del cosiddetto «diritto all’oblio», gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento:.

6. Portabilità dei dati: liberi di trasferire i propri dati in un mercato digitale più aperto alla concorrenza: Il Regolamento introduce il diritto alla «portabilità» dei propri dati personali per trasferirli da un titolare del trattamento ad un altro.

7. Garanzie rigorose per il trasferimento dei dati al di fuori dell’Ue: Resta vietato il trasferimento di dati personali verso Paesi situati al di fuori dell’Unione europea o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela dei dati, rispetto ai quali il Regolamento introduce criteri di valutazione più stringenti.

Appare chiaro, quindi, che il nuovo Regolamento, pur presentandosi come un insieme di regole assai complesso, sia in grado di disciplinare gran parte degli aspetti di una privacy moderna ed “europea”, attenta al nuovo mondo digitale e al flusso transfrontaliero dei dati.

Come affrontare efficacemente le nuove regole

In questo nuovo scenario risultano fondamentali le competenze (multidisciplinari: gestionali, legali, organizzative, di sicurezza informatica e delle informazioni) a cui le organizzazioni affidano l’attività di assessment e valutazione del rischio sul trattamento dei dati.

Gli adempimenti e l’attuazione del Regolamento dovranno concretizzarsi nel SISTEMA DI GESTIONE DI PROTEZIONE DEI DATI PERSONALI. Un sistema documentato di misure e regola a cario ed appannaggio del titolare e del Responsabile del Trattamento.

L’attuazione degli adempimenti che il nuovo regolamento impone riguardano principalmente:

1. l’organizzazione interna dell’ente/impresa

2. i rapporti con i fornitori esterni

3. la revisione della modulistica utilizzata con clienti/fornitori

4. la programmazione ed attuazione del sistema di sicurezza nella protezione dei dati

5. la predisposizione della documentazione che dimostra la conformità alle regole

6. la formazione del personale

7. l’eventuale adesione a codici di correttezza e a sistemi di certificazione

Sanzioni

Il Regolamento prevede sanzioni fino a:

• € 10.000.000,00 o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per le violazioni degli obblighi del titolare e del responsabile (es. redazione del registro dei trattamenti, contratto con responsabile esterno, accordo di riparto con i contitolari)

• € 20.000.000,00 o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per la violazione dei diritti degli interessati e delle condizioni del trattamento (es. informativa, consensi).

Queste le sanzioni amministrative massime, che ovviamente risultano pesantissime. Si ritiene comunque che la gradualità dell’applicazione ti tale sanzioni, ivi compresi i livelli minimi, debbano essere stabiliti dal legislatore con una analitica differenziazione per evitare sperequazioni. Stesso discoro vale per le sanzioni penali poiché non saranno applicate quelle attualmente previste dal codice privacy.

Quindi, per concludere, con le nuove regole ci vuole un po’ di pazienza ma davvero rappresenta una grande occasione per ribadire la centralità dell’uomo e partecipare ad un processo di libertà dell’uomo contro la tecnica ed alle tecnologie che hanno risvolti sociali, politici ma… anche esistenziali.