Novità in vista per le aziende, in materia di protezione dei dati personali

93
dati sensibili unione europea
adv

Novità in vista per le aziende, in materia di protezione dei dati personali. L’Unione Europea ha, infatti, approvato un regolamento europeo privacy, chiamato General Data Protection Regulation” (GDPR) che entrerà in vigore in tutti gli stati membri il 25 Maggio 2018. In Italia, in particolare, andrà a sostituire la legge 196/2003. Non sono poche le novità. Nel dettaglio: le aziende con più di 250 dipendenti avranno l’obbligo di adottare un registro per le attività di trattamento.

La figura dell’incaricato (chi cioè viene indicato al titolare di un’azienda al trattamento dei dati) viene sostituita da non meglio precisati “soggetti autorizzati”. Inoltre nasce la figura del Responsabile della protezione dei dati (Data Protecnion Officer) che dovrà essere obbligatoriamente nominato per gli enti pubblici, mentre per i privati l’obbligo scatterà solo quando i trattamenti effettuati sono rischiosi per gli interessati ad esempio come il monitoraggio su larga scala degli interessati.

I responsabili potranno essere anche dipendenti dell’azienda ma godranno di una certa autonomia. Tra l’altro essendo una figura totalmente nuova nel panorama lavorativo stanno aumentando le proposte formativa per ricoprire questo ruolo. Il nuovo regolamento europeo privacy prevede anche l’accountabilty cioè il titolare dovrà assicurarsi che tutte le nuove norme siano rispettare e sarà tenuto a dimostrarlo.

Un’altra grande novità è la privacy by design and by default, che prevede che tutti i sistemi di raccolta dati, informatici e non, siano progettati sin dall’inizio con impostazioni di sicurezza elevate in modo da impedire hackeraggi e violazioni. Gli interessati potranno richiedere in qualunque momento la cancellazione dei propri dati o la ricezione in forma intelligibile e/o anche l’oblio informatico. Sarà obbligo dei titolari rispondere tempestivamente a questi tipi di richieste. Per chi non ottempererà alle nuove norme è previsto un pesante inasprimento delle sanzioni. Il massimo previsto è 20 milioni di Euro o il 4% del fatturato mondiale di gruppo. Resta ai singoli stati verificare se ci siano i presupposti per applicare anche sanzioni penali.

Questo fa capire quanto l’Unione Europea tenga a cuore la questione dei dati personali, per scongiurare ogni tentativo di data breach (perdita dei dati). Tuttavia l’Unione Europea ha previsto l’istituzione di un Article 29 data protection working party, una squadra formata da Garanti degli stati membri, Garante europeo e un membro della commissione europea. Lo scopo di questo pool di esperti è quello di aiutare le aziende e fornire una guida regolamento europeo privacy affinché possano trovarsi prepara all’entrata in vigore della normativa trattamento dati personali.

Ma occorre chiarire il concetto di dati personali.  Paolo Balboni, Presidente dell’European Privacy Association, Cloud Computing Sector Director e Responsabile Affari Esteri dell’Istituto Italiano Privacy, è intervenuto al Convegno Privacy Unolegal 2017 spiegando: <<Il termine “dato personale” è qualsiasi informazione direttamente o indirettamente ricollegabile ad un individuo>>. D’altronde anche la Corte di Giustizia dell’UE aveva già stabilito che anche l’IP è un dato personale, così come l’IP dinamico e il MAC address. Balboni ha poi aggiunto: <<Il dato è anonimo non solo quando non è più ricollegabile ad un individuo>>.

In sintesi è anonimo il dato in qualsiasi modo (banche dati proprie o di terzi) non è possibile risalirne al titolare. Ogni attività compiuta sui dati personali è indicata come trattamento. Su questo punto spiega Baldoni: “Il trattamento dei dati personali è anche semplicemente la visualizzazione. Frequentemente le società fanno riferimento a fornitori di servizi in cloud, ma tendono a verificare solo che il fornitore sia stabilito in Europa, senza controllare dove siano ubicati i server.

La verifica successiva che le aziende dovrebbe porre in essere è relativa alla localizzazione dello spazio in cui opera il team che si occupa dell’assistenza, perché potrebbe aver sede fuori dall’Unione Europea e questo servizio, anche solo di collegamento per fornire manutenzione (anche solo in visualizzazione) è già da considerarsi trattamento dei dati personali che avviene al di fuori dell’Unione Europea”. Secondo il regolamento europeo sulla privacy questo processo risulterebbe illegale difatti il testo precisa che saranno vietati anche gli scambi di dati con paesi extra UE.

Questo per evitare quanto accaduto nel 2015 quando la Corte di Giustizia UE ha dichiarato invalido il safe harobur, un accordo tra Europa e gli USA basato proprio sullo scambio di dati. Baldoni si è poi soffermato sui punti salienti del regolamento generale sulla protezione dei dati: “L’art. 32 del Regolamento fa riferimento alla valutazione del rischio. Tenuto conto della best available technology dei costi (approccio pragmatico), dell’ambiente di trattamento dei dati, dei soggetti coinvolti, del perimetro di circolazione, del rischio (asset dato personale) e del bene giuridico tutelato (diritto alla Privacy e alla tutela dei dati personali) occorre porre in essere misure adeguate. […] Oggi, invece, è necessario che i legali si abituino ad effettuare valutazioni del rischio (ad esempio utilizzando strumenti gestionali come Tool Privacy) ed entrare in partnership>>.

Di fatto è bene rendersi conto che è tecnicamente impossibile che un legale puro, da solo, riesca gestire tutta la compliance al GDPR, occorre quindi avvalersi di esperti di IT/Security e di soluzioni informatiche volte alla gestione dell’allineamento degli obblighi in materia di Privacy; bisognerà tracciare tutti i processi utilizzando il principio di Data Protection By Design già allineati al nuovo Regolamento, e questo potrà avvenire solo sulla base della valutazione del rischio.

Come prevede il nuovo regolamento europeo sulla pricacy nell’art. 32  e negli artt. 25 e 35. Un punto molto discusso della nuova normativa a protezione dei dati sensibili riguarda le modalità di ricordo dei soggetti interessati.

Dall’entrata in vigore del GDPR regolamento e sanzioni si potrà infatti anche ricorrere all’azione collettiva Privacy. Con la possibilità di affidare terzi (come associazioni dei consumatori, Privacy advocacy, ecc. ecc.) di rappresentare interessi collettivi davanti alle autorità competenti, proponendo class action. I dati personali sono ormai considerati il petrolio del nuovo millennio è la quarta rivoluzione industriale è appena agli inizi.