La legge sulla Privacy, Il regolamento UE 679 2016 (GDPR) e le novità per le imprese

La nuova legge sulla privacy è entrata ufficialmente in vigore il 24 maggio 2016, ma solo due anni dopo, ovvero il 25 maggio del 2018 è stata sancita l’applicabilità in tutti i Paesi dell’Unione Europea. Si tratta, infatti, di una disposizione sovranazionale che tutti gli Stati membri sono tenuti ad applicare nel proprio contesto al fine ultimo di omologare il tema del trattamento dei dati personali in tutta l’Unione.

Di fatto questa legge va a superare le precedenti normative nazionali. L’esigenza attuale, infatti, è quella di avere un uniforme sistema di trattamento dei dati personali in un contesto dove il dato è sempre più digitalizzato e sempre più “extra confine” proprio per la sua natura digitale e informatica.

Ecco perché il contesto non è più quello squisitamente nazionale ma europeo. Di fatto il regolamento UE 679 del 2016, chiamato anche GDPR, va a sostituire in toto la direttiva 95/46/CE, sulla cui base l’Italia ha fondato il proprio Codice della Privacy, ovvero il decreto legislativo 196 del 2003.

L’approccio: dalla norma al principio

Il principale punto di svolta della nuova legge è il metodo di approccio: si passa dal rispettare una serie di norme all’ispirarsi ad alcuni principi, che a loro volta contengono norme specifiche ma che rappresentano un insieme, un cappello sotto al quale impostare l’intero corpo della legge.

Anche a livello legislativo c’è una grande differenza: il decreto legislativo 196 del 2003, anche conosciuto come codice della Privacy, era fondato su una direttiva, quindi uno strumento normativo che ai fini attuativi richiedeva l’adozione di nuove normative e l’abrogazione delle normative precedentemente in vigore.

Discorso diverso per il regolamento 679 del 2016 (o GDPR): non si tratta di una direttiva che prevede di adottare nuove normative, ma si tratta di una legge vera e propria che deve essere applicata e rispettata nella sua interezza vincolando ognuno degli Stati membri della UE.

Gli obiettivi del Regolamento europeo 2016 679 sul trattamento dei dati personali

Gli obiettivi del regolamento 679/2016 (o GDPR) sono molteplici.

Il primo fra tutti è comunque l’applicazione da parte di tutti gli Stati membri dell’UE di un’unica disciplina per il trattamento dei dati personali, essendo, prima dell’entrata in vigore del regolamento, molto disparate le modalità di gestione e trattamento fra uno Stato e l’altro, elemento che cozzava soprattutto contro la realtà odierna, fatta di dati digitali che corrono non più lungo i confini nazionali o sovranazionali ma attraverso la rete, che di per sé non ha confini di sorta.

Questo macro obiettivo si raggiunge attraverso l’adozione di singoli obiettivi che concorrono a quello principale.

Il primo di questi è l’aggiornamento: gli impianti normativi europei, soprattutto quello italiano, non sono andati di pari passo con gli sviluppi tecnologici, in particolare informatici, dell’ultimo decennio lasciando così diverse lacune in tema di protezione dei dati che il legislatore europeo ha sentito la necessità di colmare.

Il secondo obiettivo concorrente è l’armonizzazione: finora, ogni stato dell’Unione ha avuto un suo “Codice Privacy” fondato sulla Direttiva 95/46/CE. Con l’introduzione del Regolamento UE l’obiettivo è quello di creare un unico corpo normativo uniforme su tutto il territorio.

In sintesi: armonizzando il contesto e aggiornandolo agli sviluppi tecnologici, il Regolamento si presenta come strumento per avere un’unica disciplina di trattamento dei dati personali nel contesto europeo, superando le differenze nazionali.

Il regolamento 679/2016: cosa sono i dati personali

Il GDPR introduce molte novità in termini di protezione dei dati personali. È opportuno specificare che si riferisce, appunto, unicamente ai dati personali delle persone fisiche.

Risulta utile specificare cosa si intende per dati personali e quali sono le cosiddette “parti in gioco”.
Sono dati personali “le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, eccetera”.

In questo quadro generale risultano particolarmente importanti alcuni categorie di dati, ai quali, chiaramente, vengono abbinati dei sistemi di protezione maggiori rispetto ad altri.

• Innanzitutto quei dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa dell’autovettura).

• Inoltre esistono dati che rientrano in particolari categorie: si tratta dei dati che vengono definiti come “particolari”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, oppure relativi alla salute o alla vita sessuale del soggetto. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale.

• La terza categoria di dati posta in maniera particolare all’attenzione del Garante e di conseguenza della disciplina, oltre ai dati di identificazione diretta e a quelli particolari, è composta dai dati “giudiziari”, ovvero quei dati che riguardano condanne penali e reati, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Proprio per la delicatezza di queste informazioni il Regolamento 2016/679 li ricomprende nei dati da tutelare.

In sintesi, la nuova legge sulla privacy, di carattere europeo, pone come categorie da proteggere con particolare attenzione i dati identificativi, quelli sensibili e quelli giudiziari delle persone fisiche. Accanto a queste tre macro categorie, la progressiva innovazione tecnologica ha portato all’attenzione del Garante anche i dati riguardanti le comunicazioni elettroniche (telefoniche e web) e quelli che consentono la geolocalizzazione, poiché forniscono dettagliate informazioni riguardo i luoghi frequentati e gli spostamenti del soggetto.

Il regolamento 679/2016 – GDPR: quali sono le parti in gioco

Sono tre le cosiddette “parti in gioco” considerando con questa definizione i soggetti che concorrono, ognuno con un proprio ruolo, nella questione relativa ai dati personali.

• La prima di queste parti è sicuramente l’interessato, ovvero tutti noi. L’interessato è infatti la persona fisica alla quale si riferiscono i dati personali. La categoria comprende quindi tutti i dati che riguardano il soggetto. L’interessato, quindi, è il soggetto i cui dati vanno tutelati rispetto alla legge.
• Dall’altra parte chi tratta quei dati è il titolare (che può essere persona fisica, autorità pubblica, impresa, associazione, ente pubblico o privato), chiamato ad adottare le decisioni sugli scopi e sulle modalità del trattamento dei dati.
• Vi è, infine, la figura del Responsabile che è la persona (fisica o giuridica) alla quale il titolare, la figura di cui prima, richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo del trattamento dei dati. Il responsabile può, secondo il regolamento 679/2016, svolgere quella funzione in proprio, come persona fisica o persona giuridica, oppure – seguendo determinate condizioni – nominare a sua volta un soggetto terzo che possa svolgerle in qualità di “sub responsabile”.

L’interessato, secondo la nuova legge sulla privacy, vanta il cosiddetto diritto “all’oblio” che si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (nel caso in cui abbiano “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”.

Il caposaldo del Regolamento 679/2016: l’Accountability

Il regolamento sulla privacy 679/2016, anche conosciuto come GDPR, è volto ad uniformare il trattamento dei dati a livello europeo e a superare le normative dei singoli stati membri in un’ottica sovranazionale.

Alla base di questo regolamento, che supera la precedente direttiva europea alla quale tutti gli Stati sono stati chiamati ad adeguarsi, ci sono alcuni principi generali. In particolare si tratta di due principi introdotti dalla nuova legge europea sulla privacy.

Il primo principio è quello dell’Accountability.
In sostanza si tratta del passaggio da un approccio puramente formalistico (quello contenuto nella precedente legge e frutto della precedente direttiva europea) ad un approccio di “sostanziale responsabilizzazione” da parte di tutti i soggetti contemplati nella filiera della protezione e tutela dei dati personali.

Come si traduce questo principio? La modalità nella quale è meglio illustrabile e più comprensibile è quello dell’approccio proattivo. Un principio che era già stato affermato nel Parere del Gruppo dei 29 (Stati europei) nel 2010 quando, sul principio di responsabilità adottato il 13 luglio 2010, si parlava di accountability nell’ambito della terminologia utilizzata per declinare il principio della responsabilità nel settore della protezione dei dati. L’atteggiamento proattivo si riscontra quindi nell’aver fatto e il poter dimostrare di aver fatto tutto il possibile per evitare la genesi di un danno. Rappresenta, quindi, il mettere in campo tutte quelle azioni che permettono di adottare una sorta di prevenzione ad un danno potenziale. La filosofia che ispira quindi il regolamento è quella di agire in anticipo per evitare quello che viene definito come “data breach” ovvero la violazione dei dati personali. In tutte le fasi del trattamento questo principio deve essere tenuto in considerazione.

E’ necessario considerare il danno come ipotesi sempre presente e agire in anticipo per fare in modo che tale danno non si verifichi e possa essere evitato adottando tutte le misure necessarie o utili a questo scopo. Rappresenta una modalità di approccio molto differente rispetto alla semplice modalità di compliance, ovvero prevede una visione (avere il controllo e far accadere delle “cose” che contribuiscano al controllo) al posto di un’azione (attendere che qualcosa accada e porvi successivamente rimedio).

Il regolamento affida, quindi, ai destinatari il compito di crearsi un sistema adeguato a mantenere il rispetto della legge. Si tratta quindi di un approccio che porta dalla passività del mero rispetto di una norma alla responsabilità di comportamento volta ad evitare un danno più o meno grave.

Che dati protegge il regolamento 679/2016 “by Design” e “by Default”

È opportuno specificare, come secondo pilastro del GDPR, ovvero del regolamento europeo che disciplina la privacy, che tale regolamento si applica esclusivamente al trattamento dei dati delle persone fisiche e nulla riguarda i dati delle persone giuridiche come le imprese, dotate di personalità giuridica. Si applica quindi a Marco Rossi, in quanto persona, ma non alla Marco Rossi SNC come impresa.

In questo quadro di protezione dei dati personali del soggetto tutte le attività, i prodotti ed i servizi che comportano il trattamento di dati personali devono essere sin dall’inizio progettati, impostati e sviluppati in modo da assicurare il rispetto dei principi e delle garanzie a tutela della Privacy. Questo concetto ha lo scopo di garantire la tutela dei dati personali in ogni fase del ciclo di gestione dell’informazione che va dalla raccolta alla cancellazione (privacy by design).

Non solo: il trattamento dei dati deve avere ad oggetto solo i dati necessari al perseguimento delle finalità prefissate ed alla base della loro raccolta. Da qui il principio di Necessità: quantità dei dati raccolti, portata del trattamento, periodo di conservazione ed accessibilità (privacy by default).

Questi due principi (privacy by design e privacy by default) sono alla base del sistema di protezione dei dati contenuto nel GDPR 679/2016 anche definito come nuovo regolamento europeo sulla privacy.

I principali interrogativi sul GDPR da parte delle imprese

Premettendo e ribadendo che il regolamento 679/2016 sulla privacy non disciplina il trattamento dei dati delle persone giuridiche, ma quello delle persone fisiche, una corposa parte della responsabilità ricade proprio sulle persone giuridiche intese come imprese, enti, pubbliche amministrazioni, eccetera, che si trovano per la loro attività a “maneggiare” e gestire i dati personali di molti soggetti.

Per questo sorgono molti interrogativi di fronte all’applicazione del nuovo regolamento, ai quali questa guida cerca di dare risposta. In primis ci si chiede se è soltanto il GDPR a disciplinare la materia. In effetti no, perché gli Stati membri UE possono mantenere o introdurre ulteriori condizioni che implementano il quadro.

In secondo luogo: esistono o esisteranno deroghe e semplificazioni per le piccole e medie imprese? In effetti, sì, infatti alcuni obblighi, come ad esempio la tenuta di un Registro dei Trattamenti, non si applicano alle imprese od organizzazioni con meno di 250 dipendenti, a meno che non sussistano alcuni elementi. E per quanto riguarda il consenso per tutti i trattamenti in essere? Non necessariamente, infatti, se il trattamento dei dati si basa sul consenso a norma della direttiva 95/46/CE, occorre che l’interessato presti di nuovo il consenso, se espresso secondo modalità conformi al Regolamento.

I nuovi ruoli della privacy introdotti dal GDPR

Il GDPR introduce una filiera, ovvero un insieme di soggetti con ruoli, responsabilità, obblighi, diritti e doveri, anche sul tema della privacy. In particolare le figure trattate sono: il titolare del trattamento (il Data controller), il responsabile del trattamento (il Data processor), l’autorizzato al trattamento, Il Responsabile della Protezione dei Dati.

Il Titolare del Trattamento (o Data Controller)

È il soggetto che determina le finalità ed i mezzi del trattamento dei dati raccolti.

Il Responsabile del trattamento (o Data Processor)

È il soggetto che tratta i dati per conto del Titolare, deve presentare garanzie sufficienti per attuare misure tecniche ed organizzative adeguate, la sua è una nomina obbligatoria e documentata con un contratto od altro atto giuridico. Nel GDPR questa figura ha obblighi più stringenti rispetto a quello che prevedeva l’art. 29 del dlgs. 196/03.

L’autorizzato al trattamento

È una figura che non viene espressamente disciplinata dal GDPR, sono tutti quei soggetti che agiscono sotto l’autorità del Titolare o del Responsabile e che trattano dati personali. Per questa figura vigono obblighi di istruzione e formazione (anche se quest’ultima deve ancora essere espressamente dettagliata dal Garante nelle modalità e nelle tempistiche).

Il Responsabile della Protezione dei Dati (DPO: Data Protection Office)

È il soggetto che assiste il Titolare in merito al rispetto degli obblighi Privacy ed all’implementazione delle Policy interne alle aziende. Deve essere obbligatoriamente nominato nelle Pubbliche amministrazioni, nel caso in cui le attività principali del Titolare consistono in «trattamenti su larga scala di dati particolari (ex sensibili)» o che «richiedono il monitoraggio regolare e sistematico degli interessati su larga scala» intendendosi l’uso di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale incidendo su di un elevato numero di interessati.

I documenti della privacy e gli obblighi introdotti dal GDPR

La documentazione alla base dell’impianto Privacy del GDPR 679/2016 rappresenta il nero su bianco rispetto alla messa in atto dell’impianto del regolamento e fa fede per quanto attiene il rispetto della legge ivi contenuta. Riportiamo di seguito quei documenti che accomunano in generale la base per ogni impianto Privacy all’interno di un’azienda:

Informativa

L’informativa deve avere determinati requisiti:

• deve essere concisa, trasparente, intellegibile, facilmente accessibile, semplice e chiara;
• deve essere fornita per iscritto o con altri mezzi, anche elettronici (può essere fornita in combinazione con icone standardizzate).

Nell’informativa devono essere contenuti alcuni estremi specifici quali:

• gli estremi del Titolare, del Responsabile e del DPO;
• le finalità e la base giuridica del trattamento;
• i destinatari o le categorie di destinatari;
• devono essere specificati gli interessi legittimi perseguiti dal Titolare o da terzi;
• ogni eventuale trasferimento verso Paesi extra UE;
• il periodo di conservazione dei dati o comunque dei criteri per determinarlo;
• i diritti dell’interessato;
• la natura del conferimento;
• conseguenze in caso di rifiuto e l’esistenza di un eventuale processo decisionale automatizzato (ad es. profiling) oltre alla logica applicata e le conseguenze del trattamento.

Nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).

Il Consenso

Anche il consenso deve rispecchiare una serie di caratteristiche generali:

• è, innanzitutto, svincolato dall’informativa e consiste nella manifestazione libera, specifica, informata ed inequivocabile dell’interessato;
• deve, in ogni caso, essere documentato;
• può consistere in un’azione positiva inequivocabile, quindi non più sempre espresso;
• è revocabile, senza che questo pregiudichi la liceità dei precedenti trattamenti;
• in alcuni casi deve essere esplicito, in particolare:
  • per il trattamento di categorie particolari di dati personali;
  • quando si richiede la profilazione (se non esplicito diventa illegale) dell’interessato ovvero della persona di cui verranno trattati i dati;
  • quando non è più richiesta l’autorizzazione del Garante.

Il GDPR prevede, inoltre, che ogni Stato possa mantenere o introdurre ulteriori condizioni per il trattamento di dati genetici, biometrici o dati relativi alla salute. Per quanto attiene il trattamento sono tre le ipotesi di liceità:

• quando il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o di misure precontrattuali adottate su richiesta dello stesso;
• quando il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare;
• quando il trattamento è necessario per il perseguimento del legittimo interesse del Titolare o di terzi a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.

Gli incarichi

Per quanto riguarda gli incarichi interni in azienda, il recente Regolamento (GDPR 679/2016) non prevede espressamente la figura dell’incaricato come era prevista nel Codice Privacy ossia chiunque in un contesto aziendale o altro ente che tratti un dato. L’incaricato era solitamente istruito con regole e istruzioni precise, spesso per iscritto.

Nel regolamento si indica espressamente l’obbligo per il titolare di “istruire” chiunque tratti dati all’interno della realtà produttiva. Nella nuova legge sulla privacy, infatti, si stabilisce che “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
Per essi è quindi opportuno redigere delle lettere di autorizzazione con le quali vengano specificati i compiti, le tipologie di dati trattati e le relative modalità dalla raccolta alla conservazione, nonché renderli edotti attraverso le c.d. policy aziendali.

Le policy aziendali e gli obblighi riguardanti il GDPR

Le policy aziendali rappresentano tutti quei documenti contenenti istruzioni, regole o indicazioni di comportamento che possano orientare le attività di chi si trova quotidianamente a trattare dati.

La presenza, nella realtà produttiva, di soggetti che trattano i dati che siano istruiti dal titolare o dal responsabile comporta, di default, un innalzamento della sicurezza complessiva dell’ambiente, soprattutto se le regole sono presentate come stringenti e uniformi.

Nell’ottica del GDPR 679/2016 e delle sue misure di sicurezza, importante sarebbe, innanzitutto, far comprendere il “peso” del dato, ossia evidenziare come non tutti i dati siano uguali e, quindi, non tutti debbano essere protetti allo stesso modo. In linea generale rispetto al Codice Privacy, l’applicazione del GDPR, nuovo regolamento europeo per la privacy, fa emergere un obbligo di natura generale/responsabilizzazione (Il Titolare deve implementare, attraverso il riesame e l’aggiornamento, le misure tecniche ed organizzative idonee a garantire e dimostrare che il trattamento è conforme al Regolamento stesso) e un obbligo di sicurezza (I dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza degli stessi, compresa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali).

Le sanzioni legate al GDPR 679/2016

Collegate alla nuova legge sulla privacy, nel caso di violazioni, ci sono sanzioni amministrative la cui entità varia in funzione della gravità della violazione. In linea generale il GDPR divide tali sanzioni in due grandi gruppi.

• Un primo gruppo che ricomprende le violazioni considerate di minore gravità (in questo caso le sanzioni amministrative hanno carattere pecuniario di importo che può arrivare anche fino a 10 milioni di euro oppure, nel caso di imprese, fino al 2 per cento del fatturato mondiale totale annuo dell’esercizio precedente. In questo gruppo rientrano le violazioni degli obblighi imposti al titolare e al responsabile del trattamento, all’organismo di certificazione e all’organismo di controllo dei codici di condotta.
• Nel secondo gruppo rientrano invece le sanzioni correlate a violazioni più gravi. Tali sanzioni possono raggiungere anche fino 20 milioni di euro e il 4 per cento del fatturato mondiale nel caso delle imprese e vanno a “punire” le violazioni dei principi di base del trattamento, le violazioni dei diritti degli interessati, dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, gli obblighi ai sensi delle legislazioni degli Stati membri, l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo o il negato accesso.

A comminare le sanzioni è il Garante della Privacy che è tenuto a valutarle caso per caso e che può, inoltre, comminare altre sanzioni eventualmente previste dagli Stati membri oppure valutare sanzioni alternative a quelle previste dal GDPR come gli ammonimenti, se ritiene che queste siano sproporzionate.