Privacy: gli adempimenti imposti alle imprese dalle nuove norme (GDPR reg. UE 2016/679, in vigore dal 25 maggio 2018)

All’esito dell’entrata in vigore, lo scorso 25 maggio 2018, della nuova normativa europea in materia di privacy (reg. UE 2016/679, c.d. GDPR – General Data Protection Regulation), le imprese sono chiamate a compiere quanto necessario a conformare il proprio operato al regime giuridico introdotto dalla riforma, al fine di adeguarsi al principio della accountabiliy (c.d. “responsabilizzazione”) e di evitare di incorrere nelle sanzioni previste, tanto rilevanti da giungere, nel massimo, a 20 milioni di euro o al 4% del fatturato annuale lordo, se superiore.

Le attività che risultano essenziali ai fini del suddetto adeguamento possono schematicamente elencarsi come di seguito.

1) L’analisi dei rischi e la valutazione di impatto del trattamento sulla protezione dei dati personali (DPIA – Data protection Impact Assessment) (art. 35 reg.)

Il GDPR stabilisce l’obbligo del Titolare del trattamento (ed eventualmente del Responsabile) di tenere conto dei rischi che il trattamento dei dati possa comportare per i diritti e le libertà delle persone fisiche e giuridiche coinvolte.  La DPIA deve essere compiuta preventivamente (vale a dire, prima che il trattamento inizi) e con riferimento a ciascuna delle tipologie di trattamento da compiersi, e deve poi essere ripetuta periodicamente, specie in caso di variazione delle modalità di trattamento.

2) La predisposizione delle misure di sicurezza (art. 32 reg.)

Quando l’analisi dei rischi e la valutazione di impatto del trattamento sulla protezione dei dati personali evidenzino la presenza di rischi per la protezione dei dati che formano l’oggetto del trattamento, sarà necessario predisporre le misure di sicurezza idonee ad evitare che tali situazioni di rischio si traducano in effettive violazioni dei diritti dei soggetti ai quali i dati appartengono.  L’elenco di cui all’art. 32 del GDPR comprende tra l’altro, a titolo di esempio, le seguenti misure di sicurezza:

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  3. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
  4. l’adozione di strumenti idonei ad assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.

In tale contesto, le misure minime che erano previste dalla normativa previgente, gli artt. 33 e seguenti del c.d. Codice Privacy – D.lgs n. 196/2003 e dal relativo Allegato B (password, antivirus, firewall), sono sì divenute non più obbligatorie a seguito dell’entrata in vigore della nuova normativa europea, ma è comunque possibile ritenere che esse rappresentino il nucleo centrale minimo per garantire la sicurezza dei dati, come indicato nella Guida al regolamento in materia di protezione dei dati personali dell’Autorità Garante.  In concreto, si tratterà – per il tramite del Titolare e del Responsabile del trattamento – di valutare quali misure di sicurezza tecniche e organizzative adottare, se del caso in aggiunta a questo nucleo fondamentale, e ciò sulla base di un criterio di proporzionalità e di adeguatezza.

3) L’adozione del nuovo registro dei trattamenti (art. 30 reg.)

Di certo, il primo passo da compiere in tal senso è quello dell’adozione e della costante tenuta del registro dei trattamenti, che già di per sé è considerato indice di una corretta gestione dei trattamenti da parte dell’impresa. Sul punto, occorre precisare che tale incombente è obbligatorio in tutte le imprese che impieghino almeno 250 dipendenti, ma anche in quelle che svolgano attività di trattamento non occasionali, che possano comportare rischi e che abbiano ad oggetto particolari categorie di dati (art. 9, c. 1, reg.).  Anche a prescindere dall’integrazione o meno dei suddetti requisiti, è in ogni caso consigliabile dotarsi di un registro dei trattamenti, anche in considerazione di quanto detto in avvio al presente punto. 

Del resto, la tenuta del registro (onere del Titolare e, se nominato, del Responsabile) è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all’analisi del rischio e ad una corretta pianificazione dei trattamenti. Ragion per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme. Il registro deve essere tenuto in forma scritta (anche in formato elettronico) e va esibito all’Autorità di controllo in caso di verifiche.

4) La elaborazione del modulo per la notifica delle violazioni all’Autorità Garante della Privacy e del registro delle violazioni (artt. 33 e 34 reg.):

La violazione dei dati personali (data breach) è definita dall’art. 4 come “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.  Può trattarsi dunque di un evento tanto doloso, quanto accidentale. In caso di data breach, il Responsabile del trattamento, se designato, deve avvertire il Titolare dell’avvenuta violazione dei dati. Quest’ultimo dovrà poi notificare l’evento all’Autorità di controllo, tranne che nel caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (art. 33 reg.). La notifica deve avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza” il Titolare.  Qualora la notifica non avvenga nelle 72 ore, il Titolare dovrà indicare i motivi del ritardo.

Allo scopo di garantire all’impresa la possibilità di adempiere il suddetto obbligo in modo corretto e puntuale, si fornirà un modulo da utilizzare in caso di violazione, con i contenuti prescritti dall’art. 33 reg. UE 2016/679.

Il Titolare deve poi documentare le violazioni di dati personali subite tramite un apposito registro delle violazioni, nonché le conseguenze e i provvedimenti adottati, anche se le violazioni non sono state comunicate all’Autorità di controllo. Il Titolare dovrebbe anche documentare nel registro le ragioni delle decisioni assunte, nei casi in cui non ha proceduto alla notifica, ha ritardato la notifica e nei casi in cui non ha comunicato la violazione agli interessati. Tale documentazione dovrà essere fornita al Garante in caso di accertamenti.  Si fornirà anche di tale registro un apposito modello.

5) La valutazione in ordine alla necessità di nominare il Responsabile del trattamento e il Responsabile della protezione dei dati (RPD – DPO). La redazione dell’atto di designazione, previa verifica della sussistenza dei relativi presupposti

È necessario distinguere tra il Responsabile del trattamento ed il Responsabile della protezione dei dati.

Il Responsabile del trattamento è definito dal GDPR come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamentoIn pratica il Responsabile è un soggetto al quale vengono delegati i trattamenti da parte del Titolare.  Il Responsabile, interno o esterno che sia, dovrà offrire adeguate garanzie in ordine ai trattamenti che gli sono demandati e, soprattutto, dovrà attenersi alle istruzioni impartite dal Titolare (art. 29 Codice privacy e art. 28, comma 3, lettera a, del GDPR).

La nomina del Responsabile della protezione dei dati (RPD) rientra, invece, tra le misure di sicurezza che sono se del caso adottate proprio dal Responsabile del trattamento. Il RPD favorisce l’osservanza della normativa da parte dell’impresa attraverso strumenti di accountability (per esempio, supportando valutazioni di impatto e/o conducendo audit in materia di protezione dei dati) ed inoltre funge da interfaccia fra i soggetti coinvolti in materia di protezione dei dati: impresa, divisioni operative all’interno di un’azienda o di un ente interessati, Autorità di controllo.

In base all’articolo 37, primo paragrafo, del GDPR, la nomina di un RPD è obbligatoria in tre casi specifici:

  1. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  2. se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  3. se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Tranne quando sia evidente che un soggetto non è tenuto a nominare un RPD, si raccomanda a Titolari e Responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. Tale analisi fa parte della documentazione da produrre al Garante in base al principio di responsabilizzazione.

L’attività di consulenza riguarderà anche tale profilo, e comprenderà anche la predisposizione dell’atto di designazione del RPD, ove risulti necessario procedere alla sua nomina.

Considerazioni conclusive

Come si può evincere da questa pur breve (e di certo di necessità lacunosa) rassegna, gli adempimenti imposti alle imprese dal GDPR risultano di certo complessi e di non facile applicazione. Il principio di responsabilizzazione che fa da perno al nuovo regime, se da un lato lascia una rilevante libertà ai destinatari delle norme, dall’altro impone loro la massima cautela, anche in ragione del rischio concreto di incorrere in sanzioni come detto assai severe. In questo contesto, è più che mai evidente che il “fai da te” dev’essere evitato: un piccolo risparmio potrebbe infatti tramutarsi in ingenti perdite.

Di qui l’opportunità – se non la necessità – di rivolgersi a soggetti qualificati e competenti nel settore, che siano in grado – come lo Studio Legale Fameli – di offrire una consulenza esaustiva e puntuale, così da scongiurare ogni pericolo di sanzione, per di più a costi contenuti e concorrenziali, sia per quanto riguarda gli adempimenti iniziali, sia con riferimento alla revisione periodica delle misure di sicurezza adottate.

 

studio legale privacy Firenze Prato Pistoia

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.