Il nuovo Regolamento europeo sulla Privacy
Ecco una piccola guida utile, una check list per imprese e liberi professionisti per capire come adeguarsi a questa nuova disciplina e alle nuove modalità di gestione dei dati di lavoratori, clienti e fornitori.
Il 25 maggio 2018 entrerà in vigore il GDPR, “Il regolamento Ue/2016/679 General Data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali”, redatto dal “Gruppo di lavoro Privacy”.
Il regolamento coinvolge chiunque abbia a che fare con dati personali. Dove per dato personale si intende, secondo l’Art.4, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
È una normativa che tocca organizzazioni di ogni settore e dimensione, chiamate a mettersi in conformità in tempi ormai brevi, non più procrastinabili.
Le aziende più grandi e organizzate si stanno strutturando internamente, rivedendo i loro processi per renderli conformi in ottica di trasparenza e gestione semplificata, ma anche le piccole aziende sono interessate dal processo di compliance, e con loro gli studi professionali.
I professionisti italiani, compresi quelli che operano per conto di PMI, trattando quotidianamente dati personali riferiti a lavoratori, clienti e fornitori, devono ora fare i conti con questa nuova disciplina, perché sono ritenuti responsabili della riservatezza dei dati che gestiscono.
Che cos’è il GDPR
Il nuovo regolamento è stato approvato nel 2016 ed estende le norme sulla privacy che erano già in vigore negli anni passati. Il GDPR è considerato uno dei più completi ed estesi provvedimenti sulla tutela dei dati personali che ci siano, tanto da essere diventato il modello o la fonte d’ispirazione anche in continenti diversi dal nostro. La natura globale di Internet comporta inoltre che si debbano adattare alle nuove regole tutte le aziende che hanno a che fare con i cittadini europei, anche se la loro sede principale è all’estero.
L’idea di base del GDPR è che ogni cittadino europeo deve essere avvisato sulla raccolta dei suoi dati personali, e deve dare la propria esplicita autorizzazione; ha inoltre la possibilità di revocare l’autorizzazione alla raccolta dati in qualsiasi momento e il diritto a chiedere e ottenere una copia di tutti i propri dati in possesso dell’azienda che gli ha fornito un servizio
Cosa resta in vigore del vecchio Codice della Privacy?
Il decreto di adeguamento non elimina completamente il vecchio codice per la privacy (dlgs 196/2003), ma lascia in piedi alcune norme precedentemente previste, ne abroga molte, ne sostituisce o integra qualcuna alla luce delle disposizioni del GDPR, il cui scopo è fornire a tutti gli Stati europei regole comuni in materia di trattamento dei dati personali.
Nella definizione del nuovo codice ci sono disposizioni nazionali sostituite direttamente da quelle del Regolamento europeo, nel caso in cui la materia sia disciplinata dal GDPR, poiché è quest’ultimo a prevalere. Ma ci sono anche disposizioni del Regolamento che non modificano radicalmente i contenuti della direttiva o della legge italiana, ma la innovano parzialmente oppure la precisano. Tuttavia se i contenuti sono simili, non potendo coesistere due insiemi di norme nazionali ed europee, anche in questo caso il Regolamento prevale.
Per evitare di avere tre testi normativi di riferimento (il Regolamento, il decreto di adeguamento, e ciò che restava del Codice), si è scelto di trasferire le disposizioni rimanenti del Codice nel decreto. Si è inoltre scelto di mantenere la continuità con il vecchio codice privacy quando possibile.
I provvedimenti del Garante adottati negli ultimi 22 anni rimarranno efficaci, in quanto compatibili con il Regolamento UE e con le disposizioni del decreto di armonizzazione.
Check list per imprese e liberi professionisti
Molto del lavoro da fare dipenderà dal tipo di attività che si svolge e dalla quantità e qualità dei dati che si trattano. Se avete una piccola attività commerciale al dettaglio avrete ben poco da fare, se avete un blog è il caso di cambiare la privacy e la cookie policy, se avete un’azienda di software, è fondamentale attivarsi.
Prima di rivolgersi ad uno studio professionale specializzato come il nostro, si può iniziare a fare un controllo delle cose da fare:
- Aumentare la consapevolezza del personale
A prescindere dalle dimensioni della vostra azienda, informatevi e informate il vostro personale dell’arrivo del GDPR e della maggior accortezza necessaria nel processare i dati dei clienti, così come nell’impostare adeguate procedure di sicurezza sui computer.
- Verificare le informazioni e i dati raccolti finora
Capire che tipo di dati si trattano nella propria attività (ad es. dati relativi al personale attivo di ufficio ed in congedo, dati relativi alla clientela.), da dove vengono e con chi si condividono, inclusi i servizi e i software che li gestiscono. Che programma usate per le mail, il cloud o la newsletter? Sono affidabili? Avete una regolare licenza d’acquisto o li avete scaricati? La mancata licenza infatti non darebbe la tutela contrattuale prevista in caso di malfunzionamenti e perdita o diffusione di dati non autorizzata. Valutare inoltre se si ha bisogno di tutti i dati in possesso o, quando si è fatto il form, si sono chieste più informazioni di quelle necessarie.
- Aggiornare le informative sulla privacy
Le informative sulla privacy e sui cookie vanno riviste alla luce del GDPR. Il linguaggio deve essere chiaro e va spiegato per quali scopi saranno usati i dati, vanno fornite tutte le informazioni relative al titolare del trattamento dei dati, inclusi i contatti per chiedere modifiche o cancellazioni.
Bisogna poi spiegare su quale base vengono forniti quei dati (consenso, un contratto, un legittimo interesse, etc.) e per quanto tempo saranno conservati o secondo quali criteri. Si deve dire se i dati saranno trasferiti verso Paesi terzi, fuori dall’Unione Europea.
Importante anche informare l’utente della possibilità di ricorrere al Garante e all’autorità giudiziaria. Infine, queste informazioni non devono essere nascoste ben visibili e facilmente accessibili sul nostro sito web.
- Il consenso
Il consenso è diventato ancora più importante di quanto non lo fosse prima. Ad esempio, il consenso del cookie banner del vostro sito, se era stato ottenuto in modo implicito o comunque ambiguo (“se continui nella navigazione accetti le condizioni”) va riottenuto fornendo una reale possibilità di scelta, con un’azione chiara e affermativa. Così come, nonostante fosse vietato anche prima, si ricorda che non si possono fornire formulari, web o cartacei, pre-compilati o con un consenso valido per tutto (come trattamento dei dati e marketing). Il consenso al trattamento dei dati va inoltre separato dai Termini e Condizioni del servizio.
- Garantire i diritti delle persone
Assicurarsi di poter rispondere a richieste di cancellazione, rettifica e modifica ad esempio, tenendo a mente che non ogni richiesta va evasa. Se un cliente vi deve pagare, non può chiedere la cancellazione dei dati inerenti le comunicazioni e le fatture emesse. Importante anche essere in grado di individuare i dati di un soggetto, sapere dove sono per poter agire e rispondere in tempi brevi (massimo 30 giorni), con linguaggio comprensibile.
- Essere in grado di gestire violazioni e fughe di dati
Avere i mezzi (ad esempio antivirus aggiornati) per essere in grado di verificare se c’è stata una fuga di dati ed essere in grado di capire che tipo di dati sono stati presi. Se la fuga può mettere a rischio i diritti e le libertà degli individui (danno reputazionale, perdite finanziarie, etc.) allora deve essere notificato entro 72 ore al Garante e all’interessato. Al di là delle notifiche, ogni violazione e fuga di dati va documentata, “comprese le circostanze, le sue conseguenze e i provvedimenti adottati per porvi rimedio” (art. 33).
- Capire se è necessario nominare un DPO
Il DPO, ossia il Data Protection Officer, è una nuova figura introdotta dal Regolamento Europeo che rappresenta il principale attore in termini di privacy e che deve pertanto adempiere ad una serie di compiti specificamente indicati nel GDPR. Nominare un responsabile per la protezione dei dati, non è necessario se l’impresa non monitora regolarmente i dati su larga scala e non tratta dati sensibili, ovvero dati come quelli sanitari, quelli relativi alle opinioni politiche, al credo religioso, all’orientamento sessuale.
Secondo le indicazioni del Garante non si deve nominare un DPO nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti”.
Designare il Data Protection Officer
Il responsabile della protezione dei dati viene designato dal titolare o dal responsabile del trattamento. Il suo nominativo va comunicato al Garante, verso il quale costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Un gruppo imprenditoriale può designare un unico responsabile della protezione dei dati, purché sia raggiungibile da ciascuno stabilimento, ed essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
Per ricoprire l’incarico non sono richiesti requisiti formali, ossia specifiche attestazioni o l’iscrizione in appositi albi: la persona individuata deve però possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Da valutare, infatti, l’eventuale assegnazione ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).
Deve però essere in grado di fornire consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve agire in piena indipendenza e autonomia, riferendo direttamente ai vertici, e deve avere le risorse (personale, locali, attrezzature) per svolgere il proprio ruolo.
Il titolare della protezione dei dati può essere un dipendente oppure un soggetto esterno: nel primo caso, andrà nominato mediante specifico atto di designazione, mentre ne secondo caso verrà stipulato un contratto di servizi, in forma scritta, in forma scritta, indicando i compiti attribuiti, le risorse assegnate, e ogni altra utile informazione in rapporto al contesto di riferimento. Il suo nominativo va comunicato al garante Privacy utilizzando specifica modulistica (pubblicata sul sito).
Per evitare rischi di conflitto d’interesse è preferibile evitare di incaricare alti dirigenti o con potere decisionale in ordine alle finalità e modalità del trattamento.
Le sanzioni
Il GDPR formalizza le condizioni generali per infliggere sanzioni amministrative pecuniarie a quei soggetti, titolari o responsabili, che violano uno o più disposizioni del regolamento stesso.
Le sanzioni pecuniarie più gravi possono arrivare fino a 20 milioni di euro, oppure per le imprese fino al 4% del fatturato annuo.
Nello specifico il legislatore individua due casistiche gravi e prevede per ciascuna di essa due limiti massimi di relativa sanzione:
- per le violazioni agli obblighi del titolare del trattamento o del responsabile del trattamento – ad esempio non aver predisposto un registro delle attività di trattamento, oppure non aver nominato un DPO ove previsto – il GDPR prescrive sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro, oppure per le imprese fino al 2% del fatturato mondiale annuo;
- per le violazioni ai principi del trattamento ai diritti degli interessati, ai trasferimenti di dati personali verso un Paese terzo, alle legislazioni degli stati membri, agli ordini di limitazione di trattamento, il GDPR prescrive sanzioni pecuniarie che possono arrivare fino a 20 milioni di euro, oppure per le imprese fino al 4% del fatturato mondiale annuo.
Sanzioni quindi molto significative, ma questo non vuol dire che alla prima problematica con il regolamento sarà applicata la massima sanzione a tutte le aziende. Le sanzioni sono commisurate al singolo caso e comunque effettive, proporzionate e dissuasive.
Tali sanzioni possono essere prescritte dal Garante, che dovrà tenere conto di una serie di parametri che comprendono, la natura, la gravità, la durata della violazione, così come la finalità del trattamento, il numero di interessati e il danno cagionato.
Sarà tenuto in considerazione anche l’aspetto di volontarietà (carattere doloso o colposo della violazione) così come le attenuanti del caso. Tra queste le misure adottate dal titolare per attenuare il danno, l’adesione e codici di condotta o a meccanismi di certificazione e altre attenuanti o aggravanti applicabili alle circostanze del caso.
