Il 25 maggio 2018 tutti gli stati dell’Ue dovranno essere perfettamente in linea con il Regolamento Europeo 2016/679 relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, entrato in vigore il 25 maggio 2016. Cambiano ancora le regole sulla privacy e le sanzioni sono pesantissime, fino a 20 mln di euro.
Il nuovo regolamento Ue
Il nuovo regolamento Ue abroga la direttiva 95/46/CE e sostituisce il nostro Codice sulla Privacy (D.Lgs. n. 196 del 2003). Sarà definitivamente applicabile in via diretta dal 25 maggio 2018 in tutti i Paesi Ue, non occorrono azioni di recepimento da parte dei singoli Stati. In quel momento dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del regolamento. Intanto è scattato il periodo di transizione che consente l’adeguamento. Una delle novità maggiori, quindi, è che esisterà sull’intero territorio Ue un riferimento normativo unico in materia di trattamento dei dati.
Chi riguarda
Il regolamento è applicabile a tutti i cittadini Ue, significa quindi che sono tenute a rispettarlo anche le grandi aziende e multinazionali con sede all’estero, compresi i grandi colossi dell’It e del Web.
L’Italia è al quarto posto al mondo per vittime di attacchi informatici
9 mld di euro
Danni alle imprese italiane causati nel 2016 da attacchi informatici
(Antonello Soro, garante della privacy)
“Wanna Cry, il virus informatico che ha infettato milioni di computer in poche ore, ci ha fatto scoprire quanto siamo indifesi”
(Alessandro Pansa, dg del Dipartimento delle informazioni per la sicurezza)
IL REGOLAMENTO IN KEYWORDS
Il Garante italiano della privacy spiega così questo principio chiave del regolamento: “Adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento”. Ed è una novità assoluta: sono i titolari a poter decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, per assicurare il rispetto della normativa.
Il regolamento indica alcuni criteri specifici, tra cui quello sintetizzato dall’espressione “data protection by default and by design” (art. 25): la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili al rispetto del regolamento e alla tutela dei diritti degli interessati. Significa che tutto questo deve avvenire prima di procedere al trattamento dei dati vero e proprio, quindi occorrono un’analisi preventiva e una serie di attività dimostrabili.
E’ un altro dei criteri indicati nel regolamento, inteso come rischio di impatti negativi sulle libertà e i diritti degli interessati. Questi impatti devono essere analizzati attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative che il titolare ritiene di dover adottare per mitigare i rischi. Il titolare in questo frangente può decidere in autonomia se iniziare il trattamento adottando misure che crede idonee a mitigare sufficientemente il rischio, oppure può consultare l’autorità di controllo competente, che non ha il compito di autorizzare o meno il trattamento, ma di indicare misure ulteriori da implementare.
Il regolamento introduce infatti il cosiddetto “Privacy Impact Assessment”, cioè l’obbligo di effettuare un’analisi preliminare che racchiude le valutazioni d’impatto sulla protezione dei dati; in sostanza, un documento che specifica e documenta quali dati vengono trattati, modalità e rischi potenziali del trattamento e così via, con indicazioni di risoluzione.
Il titolare è tenuto anche a dotarsi di un registro delle operazioni di trattamento (art. 30), fondamentale ai fini dell’eventuale supervisione da parte del Garante e allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico. Il registro è indispensabile per ogni valutazione e analisi del rischio. Deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Come specificato all’art. 32, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: pseudonimizzazione e cifratura dei dati personali; capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Per “consenso dell’interessato” viene indicata dal regolamento “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. All’art. 6 viene indicato poi il consenso come una delle condizioni su cui si fonda la liceità del trattamento stesso (“l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”).
Inoltre, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso. La richiesta scritta di consenso va presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Naturalmente, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.
E’ una delle novità del regolamento. Il diritto alla portabilità del dato riguarda, in sintesi, il trasferimento dei dati altrove. Ad esempio, considerando il Web, possiamo immaginare il trasferimento da un social ad un altro. Non si applica ai trattamenti non automatizzati (archivi o registri cartacei).
Sono portabili solo i dati che “forniti” dall’interessato al titolare e solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (ad esempio quindi non lo sono i dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare). Fondamentale: il titolare deve essere in grado di trasferire direttamente i dati portabili ad un altro titolare indicato dall’interessato, se tecnicamente possibile.
E’ un altro diritto sancito dal regolamento: la cancellazione di dati in possesso di terzi. Sempre considerando il Web, ad esempio possiamo citare la possibilità di richiedere la cancellazione dei dati detenuti da un social. Si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Se l’interessato inoltra richiesta di cancellazione, il titolare dovrà informare altri titolari che trattano i dati personali cancellati (inclusi quelli a cui si riferiscono le frequenti diciture “qualsiasi link, copia o riproduzione”), qualora i dati siano di fatto pubblici, quindi ad esempio pubblicati su un sito Web.
Sostanzialmente, è un sinonimo di “violazione dei dati personali”. Per “data breaches” si intendono le violazioni che comportano la distruzione, la perdita, la modifica, la rivelazione dei dati personali. Il mondo dell’It fornisce uno spettro di cause che vanno dagli attacchi alle applicazioni Web fino al cyber spionaggio.
Ma quando si parla di data breach dobbiamo pensare anche ad accesso illecito a dati personali a causa di azioni banali, come lo smarrimento di documenti o dispositivi che contengono dati (le usb ad esempio, o le buste paga) da parte di un dipendente. Occorrono procedure per gestire queste emergenze. Lo stesso regolamento incoraggia ad adottare meccanismi di certificazione della protezione dei dati, sigilli e marchi di protezione.
Per la prima volta viene introdotta una definizione e alcune linee guida sulla profilazione dei contatti. Profilazione è: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”. Non è profilazione l’attività in cui interviene la mano umana, ma soltanto l’attività automatica, per cui resta il vincolo di un consenso. Risulta evidente l’importanza di una valutazione preliminare dei rischi legati al trattamento di dati.
Sono una delle preoccupazioni maggiori scaturite dopo l’entrata in vigore del decreto. Le sanzioni sono infatti molto severe (art. 83). La normativa nazionale regola gli aspetti penali, mentre il regolamento fissa sanzioni pecuniarie fino a 20 mln di euro o fino al 4% del fatturato mondiale annuo delle aziende in caso di violazioni quali quelle relative al consenso, ai diritti degli interessati o al trasferimento di dati personali verso un destinatario che si trova in un Paese terzo.
Per allinearsi al
regolamento c’è tempo
fino al 25 maggio 2018
__________________________________
PRENOTA SUBITO
UNA CONSULENZA
Con i nostri esperti potrai
verificare se nella tua azienda le attuali modalità
di trattamento dei dati rispettano la nuova normativa sulla privacypianificare interventi utili e delineare le procedure
per attuare quanto previsto dalla normativaredigere la documentazione richiesta dal regolamento
avviare meccanismi di certificazione ai sensi della normativa