Il Regolamento Europeo Privacy
Si narra che il Nuovo Regolamento Europeo Privacy, in bozza già dal 25 Gennaio 2012 e poi approvato in prima lettura dal Parlamento Europeo nel 2014 e successivamente emendato dal Consiglio, sia- finalmente – in dirittura d’arrivo. L’approvazione definitiva dovrebbe arrivare prima della fine del 2015, anche se poi ci sono due anni per l’effettiva entrata in vigore.
Va detto, da subito, che alcuni suoi effetti saranno immediatamente visibili, anche perché quella è la ratio del Regolamento che non ha bisogno come la Direttiva di una legge di recepimento, e questo è il motivo per cui le aziende devono conoscerne almeno i contenuti principali.
Il pacchetto di protezione dei dati consiste in un Regolamento generale che copre la maggior parte delle norme sul trattamento dei dati personali nell’Unione europea e in una direttiva relativa al trattamento dei dati personali per prevenire, accertare e perseguire i reati penali o per applicare sanzioni penali.
Le nuove regole aggiornano la legislazione europea vigente, che risale a 20 anni fa (Direttiva 46/95) e che naturalmente non teneva conto della rapida evoluzione delle tecnologie, né della grande mole di dati ora riversata in rete spesso volontariamente dagli utenti – mediante social network ma non solo – e neanche dei nuovi dispositivi mobili che hanno in modo imprevedibile accelerato le necessità di sicurezza.
Le società che infrangeranno le regole potrebbero incorrere in sanzioni amministrative fino a 1 milione di euro o fino al 2% del fatturato mondiale annuo. Le sanzioni di tipo penale invece devono essere determinate da ogni Stato membro. Per quel che concerne la responsabilità civile, resta ferma la vecchia impostazione secondo la quale in caso di danno derivante dal trattamento, il Titolare paga, a meno che non sia in grado di dimostrare che l’evento dannoso non gli è imputabile. Rimane quindi l’inversione dell’onere della prova.
Le nuove norme prevedono importanti novità che in breve si elencano:
Data Protection Officer. E’ una nuova figura di Super Consulente che ogni Titolare che sia una Pubblica Amministrazione, o un ente (Società, associazione o Professionista) con più di 250 dipendenti o che tratti dati di oltre 5000 interessati (ancora non si sa quale delle due sarà la soluzione scelta per i privati) deve avere. Può essere interno o esterno. In quest’ultimo caso il contratto dovrebbe essere necessariamente di almeno 3 anni, rinnovabili e revocabili solo in caso di mancata soddisfazione da parte del Titolare. Il DPO deve assicurare la conformità a tutte le regole e il suo nome deve essere comunicato all’Autorità Garante per la Protezione dei Dati Personali.
Privacy by design e Privacy by default. Si tratta di nuovi obblighi che il Titolare avrà ancor prima di procedere al trattamento dei dati. Dovrà cioè pensare in un ottica di Privacy già dal momento in cui disegna il nuovo Hardware o Software o semplicemente il nuovo Servizio. Inoltre, dovrà pensarlo con tutte le impostazioni di Privacy chiuse e non aperte come si è fatto finora (basti pensare a Facebook o ad altri social).
Valutazione di Impatto. Si deve prevedere prima dell’inizio del trattamento una valutazione dei possibili rischi che questo comporta e occorre prevederne le misure correttive e le eventuali comunicazioni al Garante. La Valutazione va documentata per iscritto.
Informative e Consenso. Le Informative all’interessato dovranno essere più dettagliate, ma soprattutto più efficaci delle precedenti, usando anche moduli, schemi e disegni. Il consenso invece dovrà essere sempre espresso in modo inequivocabile. Il consenso ancora non dovrà essere il lascia-passare per trattamenti illeciti.
Notificazione dei casi di violazione dei dati personali. In base al Nuovo Regolamento sarà obbligatorio notificare all’Autorità di controllo – mediante moduli, corposi, predeterminati da ogni Autorità Garante – ogni violazione del trattamento e nei casi più gravi anche al soggetto interessato. Sembra che si debba fare in termini ristrettissimi dalle 48 alle 72 ore.
Diritto all’oblio. Si tratta dell’obbligo di gestire con modalità predeterminate la richiesta di cancellazione di dati o la richiesta di deindicizzazione di articoli e/o notizie diffuse in Rete. Il Titolare dovrà attivare delle procedure per fronteggiare in modo corretto e nei tempi stabiliti queste richieste che sono sempre piuttosto delicate, soprattutto perché si scontrano con il diritto di cronaca, l’interesse pubblico, le finalità storiche o documentaristiche del trattamento.
Big Data. Il Regolamento si occupa nell’ambito dell’articolo 20 dedicato alla profilazione anche dei Big Data, i quali costituiscono un vero e proprio patrimonio informativo permettendo dettagliate profilazioni in grado di prevedere i futuri consumi di prodotti e o servizi, magari anche di tipo sanitario. Tali trattamenti possono essere lesivi del diritto alla riservatezza degli interessati. Inoltre le abitudini di vita e di consumo o i comportamenti degli interessati devono essere trattati in modo da non permettere abusi come ad esempio quella di influenzarne le scelte in modo occulto.
Misure di Sicurezza. Viene finalmente reintrodotta la abrogata Analisi dei Rischi, dalla quale dovranno poi derivare le misure di Sicurezza Tecniche ed Organizzative che ogni Titolare dovrà poi adottare. Non si parla più di misure minime e idonee ma solo di Misure adeguate che ripercorre a mio modo di vedere il concetto di idoneità. Non basta il minimo occorre fare di più.
Documentazione. Sorge un obbligo di documentare e conseguentemente conservare ogni atto, documento, procedura concernente ciascun trattamento. Il Titolare con l’aiuto del DPO dovrà conservare nomi dei responsabili interni ed esterni designati, eventuali DPO, rappresentanti all’estero, finalità e ambito di comunicazione e diffusione di ogni trattamento, misure di sicurezza adottata. In pratica la norme impone un’attenta organizzazione della Privacy in azienda, con controlli periodici ed efficaci sulla bontà della documentazione e sulla conservazione.
A cura di Monica Gobbato, Commissario Enti Certificazione per Privacy Officer Digital Champion di Camogli
Articolo pubblicato sulla rivista ICT Security – Settembre 2015
