Dal 25 maggio 2018 sarà applicabile il nuovo Regolamento UE sulla Privacy o GDPR (General Data Protection Regulation) 2016/679 del Parlamento Europeo e del Consiglio del 27.04.2016, relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Il Regolamento abroga la Direttiva 95/46/CEE (regolamento generale sulla protezione dei dati) – recepita in Italia dall’attuale Codice sulla Privacy con Decreto Legislativo n. 196/2003 e dal prossimo 25 maggio si applicherà a tutte le aziende aventi almeno uno stabilimento nell’UE, che trattano in modo integrale o parziale, automatizzato o non, i dati personali, indipendentemente dal fatto che il trattamento sia effettuato all’interno dell’Unione.

Per adeguarsi alle nuove norme, le imprese devono quindi rivedere la compliance interna, adeguare policy e organizzazione interna, introducendo una sorta di “dossier privacy” o “modello di organizzazione privacy”, che racchiuda tutti gli adempimenti necessari ad assicurare la riservatezza finalizzata a garantire la protezione dei dati e delle informazioni personali che trattano e conservano. Non esiste più un catalogo di misure minime da adottare per la tutela dei dati, misure che, quindi garantiscono il titolare da sanzioni e imprevisti. I titolari dovranno mettere in atto le misure tecniche e organizzative che di volta in volta siano adeguate, anche alla luce delle innovazioni tecnologiche, a garantire la tutela dei diritti degli interessati. Ogni titolare, dunque, sarà responsabile dei propri sistemi e della loro tenuta (a priori e a posteriori) di fronte a possibili violazioni o incidenti.

Come già in materia di sicurezza sul lavoro, va prevista una formazione specifica ed efficace, che andrà anche debitamente documentata e inserita nei documenti e nei processi sulla privacy interni. La formazione andrà poi ripetuta e, soprattutto, aggiornata secondo i cambiamenti delle attività e del tipo di dati trattati.

Tale modello organizzativo presenta molti punti  di contatto e somiglianze con le disposizioni del decreto legislativo n. 231/2001 in materia di responsabilità amministrativa delle persone giuridiche.

Si parte con la revisione dell’organigramma, prestando cioè attenzione alla presenza delle nomine esistenti e alla descrizione dei nuovi compiti assegnati al titolare, al responsabile del trattamento, agli incaricati al trattamento. A ciò si accompagna la verifica circa l’obbligatorietà, per i casi espressamente indicati dalla normativa, o la mera opportunità di nominare un Data protection officer (Dpo), una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi.

E’ previsto l’obbligo di provvedere alla valutazione dei rischi privacy (risk assessment privacy), destinata inevitabilmente a confluire in un documento riepilogativo delle analisi effettuate. In esso sono individuati i possibili rischi associati alle distinte attività svolte, passaggio che presuppone la previa disamina dei rispettivi processi aziendali nell’ambito dei quali sono trattati i dati.

In questa valutazione si deve tenere conto dell’identità dei soggetti interessati al trattamento (ad esempio, dipendenti o fornitori), delle finalità del trattamento nonché delle tipologie (ad esempio, dati sanitari, anagrafici o altri) e delle categorie di trattamento, entro le quali sono compresi i dati gestiti dall’azienda.

Sarà necessario, inoltre, garantire un costante aggiornamento a questo documento in occasione di possibili mutamenti sia organizzativi che normativi in grado di incidere sul trattamento dei dati messi a disposizione delle imprese.

Le aziende devono pianificare e realizzare corsi di formazione di vario livello al fine di diffondere una cultura di responsabilità all’interno dell’impresa, rivolti soprattutto al personale che ha accesso permanente o regolare ai dati personali.

E’ infine richiesta l’introduzione di specifiche modalità di presentazione delle comunicazioni circa eventuali violazioni riscontrate sui dati personali (data breach): sarà utile predisporre moduli distinti a seconda delle tipologie di violazione riscontrata, individuare un ufficio responsabile per ricevere le segnalazioni oltre che individuare le eventuali iniziative da intraprendere, a livello organizzativo e tecnico, capaci di porre rimedio alle irregolarità che si sono verificate.

Infine allo scopo di sensibilizzare tutto il personale dipendente, nonché funzioni aziendali impiegate a ogni livello nell’assessment societario, è prevista l’implementazione di un codice di condotta per garantire la corretta osservanza delle prescrizioni del regolamento UE, da elaborare tenuto conto delle peculiarietà settoriale e delle conseguenze specifiche delle micro, piccole e medie imprese.

PRINCIPALI NOVITA’

Si aggiorna e precisa la nozione di “dato personale”. Il “dato personale” è definito come “qualsiasi informazione riguardante una persona fisica identificata o anche solo identificabile”, ove per identificabile si intende “la persone che può essere identificata direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line, o a uno, o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Calando tale definizione nell’ambito del rapporto di lavoro, può dunque considerarsi “dato personale” qualsiasi informazione relativa al lavoratore non solo rilasciata durante il processo selettivo o in occasione dell’assunzione, ma qualsivoglia informazione di cui il datore di lavoro sia venuto a conoscenza durante l’esecuzione del rapporto di lavoro poiché, ad esempio, rilasciata dal dipendente in occasione dell’utilizzo di applicazione informatica o di strumenti elettronici, connessa all’utilizzo di e-mail o del web, salvata in profili personali di social network o associata a identificativi online prodotti da dispositivi elettronici.

Il Regolamento ha apportato degli interventi anche in relazione all’istituto del consenso prescrivendo, in particolare che per i dati “sensibili” e, dunque, per le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, abitudini, stile di vita, relazioni personali, stato di salute, situazione economica, ecc., il consenso debba essere esplicito. Il Regolamento ha confermato che il consenso debba essere libero, specifico, informato e inequivocabile e che debba essere manifestato tramite “dichiarazione o azione positiva inequivocabile” escludendo, come per il passato, la sua manifestazione in forma tacita o presunta.

Cambiamenti si ravvisano anche con riguardo all’istituto dell’informativa. Nello specifico, quanto ai contenuti, il Regolamento ha previsto, tra le altre cose, che il titolare debba sempre specificare:

- I dati di contatto del Responsabile della protezione dei dati – Data Protection Officer (RDP-DPO), ove esistente;

- la base giuridica del trattamento o quale sia l’interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento;

- i casi in cui è previsto il trasferimento di dati personali in Paesi terzi e le relative modalità di trasferimento.

Quanto ai “tempi”, qualora i dati personali non siano raccolti direttamente presso l’interessato, il legislatore comunitario ha disposto che l’informativa debba essere fornita entro un termine ragionevole, comunque non superiore a un mese dalla raccolta.

Per quanto concerne infine le “modalità”, il Regolamento ha prescritto che l’informativa debba essere redatta per iscritto – e preferibilmente in formato elettronico -  e dovrà avere la forma concisa, trasparente, inteleggibile per l’interessato e facilmente accessibile.

Il Garante per la protezione dei dati personali, ha invitato coloro che abbiano raccolto – o raccolgano – il consenso al trattamento dei dati personali prima del 25 maggio 2018 o che prima di tale data abbiano apprestato – o vadano ad apprestare- delle informative sul trattamento dei dati personali, a verificare la conformità alle prescrizioni comunitarie, e, in mancanza, a intervenire nuovamente con la raccolta del consenso e/o rilascio dell’informativa.

Il Regolamento ha introdotto una specifica disciplina anche in materia di diritto dell’interessato, individuando con maggiore dettaglio, rispetto alla previgente disciplina europea, la portata di tali diritti e dettando, in particolare, dei tempi certi per il loro soddisfacimento da parte del titolare, eventualmente in collaborazione con il responsabile.

L’intero impianto del Regolamento appare inspirato a una sorta di “responsabilizzazione” dei titolari e dei responsabili (cd. accountability approach), diretta alla realizzazione di una struttura interna idonea a valutare autonomamente le modalità, le garanzie e i limiti del trattamento e a prevenire gli abusi nel rispetto delle disposizioni comunitarie. Il primo tra questi criteri è riconducibile nell’espressione “data protection by default by design” che si identifica nella necessità di configurare preventivamente, fin dalla progettazione del sistema di Trattamento (by design), e non abbandonare mai questo approccio, assicurandone l’implementazione come elemento predefinito e non derogabile del Trattamento e processi aziendali (by default) prevedendo le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e a tutelare i diritti degli interessati, tenendo conto del contesto in cui si colloca il trattamento.

Si aggiunge, poi, il criterio dell’analisi dei rischi inerenti al trattamento, intesi come rischi di impatti negativi conseguenti al trattamento sulle libertà e diritti dell’interessato che vanno valutati in base a una serie di fattori, ivi comprese le misure attuabili per l’attenuazione dei suddetti rischi. Si tratta, più precisamente, della cd. valutazione di impatto, al cui esito il titolare potrà decidere in autonomia se iniziare il trattamento ovvero consultare l’Autorità competente (nel nostro caso, il Garante Privacy) che, in tale contesto, avrà il compito di fornire delle indicazioni da implementare a cura del titolare per il contenimento dei rischi ovvero, ove necessario, adottare tutte le misure correttive, dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.

Adempimenti da parte di titolari e responsabili del trattamento

Altra novità è rappresentata dall’obbligo per tutti i titolari e responsabili del trattamento dei dati personali – eccetto gli organismi che occupino meno di 250 dipendenti e sempre che non effettuino trattamento cd. “a rischio” - di tenere un documento scritto, anche in formato elettronico, in cui vengono riportate le operazioni di trattamento di dati personali (cd. registro delle attività di trattamenti - art. 30 del regolamento).

Il Garante della Privacy, nelle summenzionate linee guida, ha qualificato detto obbligo non già come un “adempimento formale” bensì come “parte integrante di un sistema di corretta gestione dei dati personali” e invitato “tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche, facendosi parte diligente nella predisposizione di “un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni”.

Il provvedimento in analisi ha altresì previsto l’obbligo di implementazione da parte dei titolari e responsabili del trattamento di adeguate misure di sicurezza – di cui viene data nel Regolamento elencazione meramente esemplificava – idonee a garantire un livello di protezione adeguato al rischio, così come specificatamente individuato dai suddetti soggetti, a seconda del contesto in cui deve essere eseguito il trattamento.

Dal 25 maggio 2018 in avanti, tutti i titolari dei dati personali saranno tenuti a notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza entro il termine di 72 ore (art. 33 del Regolamento) e, comunque, “senza giustificato ritardo” se e nella misura in cui ritengono “probabile” che da tali violazioni derivino dei rischi per i diritti e le libertà degli interessati. Tale disposizione, prevedendo che la notifica delle violazioni sia rimessa al discrezionale accertamento da parte dei titolari delle conseguenze delle violazioni, denota ancora una volta l’intento del legislatore comunitario di attribuire a un apparato interno, più o meno articolato in base al contesto, l’autonomia nella delimitazione del perimetro di operatività delle tutele, chiaramente nell’ottica di una responsabilizzazione o accountability, di cui si è sopra detto.

Nuovo sistema sanzionatorio

Sono state introdotte pesanti sanzioni amministrative pecuniarie, in ipotesi di non conformità alle disposizioni contenute nel Regolamento.

L’apparato introdotto si limita a suddividere le violazioni in due gruppi, sostanzialmente coincidenti con illeciti più o meno gravi.

Con riferimento a tali gruppi, viene individuato esclusivamente il tetto sanzionatorio massimo rispettivamente:

-  fino a 10 milioni di euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per le violazioni più lievi.

-  fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore, per le infrazioni più gravi, come la violazione delle norme concernenti i principi di base del trattamento. Rischio di incertezza

Così come impostato, il sistema introdotto dal regolamento risentirà moltissimo dell’applicazione che ciascuna autorità di controllo, l’organo del Paese membro, chiamato a svolgere le ispezioni e a intimare le relative sanzioni, farà delle norme rilevanti. I parametri

Ciò posto, per ridurre al minimo, l’incertezza generata dal nuovo sistema, sarà fondamentale tenere presente gli elementi che ciascuna autorità di controllo dovrà considerare al momento di decidere se infliggere una sanzione amministrativa e in che misura. In primo luogo l’autorità dovrà valutare fattori come la natura e la gravità della violazione, il tipo di dati interessati, il numero dei soggetti lesi, nonché l’entità del danno dagli stessi subiti: esisterà un legame tra il danno subito dai singoli e la misura della sanzione. In secondo luogo sarà necessario valutare l’elemento psicologico della condotta, il grado di responsabilità del titolare o del responsabile e le eventuali misure poste in essere per attenuare il danno causato. Infine saranno valutati anche elementi quali la recidiva, il grado di cooperazione con l’autorità di controllo e la maniera in cui quest’ultima ha scoperto la violazione.

Le sanzioni penali

Sebbene il GDPR si occupi principalmente di violazioni amministrative, le sanzioni penali sono comunque considerate come uno strumento di ulteriore attuazione e tutela della nuova disciplina.

Spetterà agli Stati membri prevedere tali sanzioni nel rispetto del principio in forza del quale un soggetto non può essere processato e sanzionato per lo stesso reato più di una volta.

Queste le novità apportate dal legislatore comunitario. Per quanto concerne il nostro diritto interno – si segnala che lo scorso 6 novembre 2017 è stata pubblicata in Gazzetta Ufficiale la legge n. 163/2017, con la quale il Parlamento ha delegato il Governo ad adeguare la normativa nazionale alle disposizioni del Regolamento.

Cordiali saluti.

STUDIO ASSOCIATO MARCHETTI