Arriva una data importante, se non storica, per la privacy: venerdì 25 maggio entra in vigore la normativa europea sulla protezione dati, in sigla GDPR (General Data Protection Regulation). Riguarda tutta la filiera che accompagna i dati personali di ciascuno di noi, coinvolgendo quindi aziende, pubblica amministrazione, professionisti e via dicendo.
Non solo quindi i social. Il GDPR si basa, infatti, sul principio di "responsabilizzazione" (in inglese accountability) di chiunque effettui operazioni di trattamento nell'ambito della propria attività (il cosiddetto "titolare del trattamento"). Significa, quindi, che ciascuno dovrà fare le valutazioni e le scelte adatte alla propria specifica realtà. E le sanzioni per l'inosservanza delle norme possono arrivare fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato mondiale totale. Particolare attenzione è dedicata alla tutela dei minori che - per accedere ai servizi della società dell'informazione (come i social network) - devono avere almeno 16 anni per poter prestare autonomamente il consenso al trattamento.
Il Regolamento è destinato ad abrogare la Direttiva 95/46 che ha portato l'Italia all'adozione dell'attuale Codice Privacy (il Decreto Legislativo n. 196/2003), norme che sono state adottate però in un contesto tecnologico completamente diverso, prima cioè che internet, social media, cloud e servizi in rete cambiassero definitivamente il nostro modo di vivere e lavorare. Ora, le nuove norme mirano proprio ad adeguare il livello di protezione dei nostri dati all'evoluzione degli strumenti che utilizziamo quotidianamente e con cui registriamo, trasmettiamo e archiviamo i dati dei nostri utenti e dipendenti.
Il perché del GDPR sta quindi nell'esigenza di assicurare la "tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati" e i trattamenti di dati personali, sia nel settore privato che nel settore pubblico. Approvato nel maggio 2016, il Regolamento è per la verità già in vigore, la data del 25 maggio 2018 fissata da un Regolamento Europeo, il n. 679/2016, lo renderà definitivamente applicabile in tutto il territorio Ue, senza che siano richiesti atti di recepimento da parte dei singoli Stati membri.
Ad ogni modo l'Italia sta lavorando a un decreto legislativo con l'obiettivo di adeguare le norme italiane al GDPR che troverà comunque applicazione a prescindere dall'adozione del decreto entro due giorni. Pertanto niente proroghe o differimenti. La scadenza richiede di intraprendere un percorso consapevole finalizzato alla protezione dei dati trattati. Evitando di cadere nell'allarmismo ed evitando anche le trappole che anche in questa circostanza non mancano, come quelle di chi già si fa avanti proponendosi come esperto e in grado di far sì che, in cambio di un compenso - "a partire da 19,99 euro" -, ci si possa adeguare alle nuove regole. Ecco quindi una guida, una serie di 'istruzioni per l'uso' che AGI ha chiesto all'avvocato Ernesto Belisario, esperto di diritto delle tecnologie. Vediamo le novità principali che il GDPR introduce e con cui occorre avere da subito confidenza.
1. L'obbligo di nominare un Data Protection Officer
Il Regolamento prevede l'obbligo per alcuni soggetti di nominare un DPO - Data Protection Officer (ovvero il responsabile della protezione dei dati personali). Si tratta di una figura, interna o esterna alla struttura del titolare, che deve possedere dei requisiti specifici (ad esempio in termini di esperienza e competenza) e deve occuparsi della corretta applicazione della normativa, curando con particolare attenzione la formazione del personale.
Il DPO è obbligatorio quando il trattamento è effettuato da una pubblica amministrazione (eccezion fatta per le autorità giurisdizionali) e quando le attività di trattamento consistano nel monitoraggio su larga scala degli interessati oppure determinino il trattamento su larga scala di dati sensibili (dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona). Il Garante Privacy ha chiarito che, anche quando non obbligatoria, la nomina del DPO è comunque sempre consigliata in quanto può rappresentare un valido supporto.
2. La valutazione d'impatto e il registro dei trattamenti
Nel caso in cui i trattamenti posti in essere siano particolarmente rischiosi per i diritti e le libertà degli interessati (ad esempio, la videosorveglianza), il titolare è obbligato ad una valutazione preliminare di impatto sulla tutela dei dati (cosiddetta "privacy impact assessment"), con una precisa analisi dei rischi e delle contromisure poste in essere. Inoltre, tutte le organizzazioni con più di 250 dipendenti oppure che - indipendentemente dal numero dei dipendenti - pongano in essere trattamenti potenzialmente pericolosi sono tenute all'adozione di un "registro delle attività di trattamento" che contenga, tra le altre informazioni, la descrizione delle misure di sicurezza adottate.
3. Gli obblighi nei confronti degli utenti
Gli utenti devono essere informati in modo semplice e chiaro sulle finalità, modalità e ambito del trattamento. Le informative richieste agli utenti (dal form per una newsletter ai moduli per richiedere una fidelity card) devono quindi essere aggiornate, prevedendo alcune informazioni nuove (come la base giuridica del trattamento e il tempo di conservazione dei dati) e semplificando il testo in modo da renderle realmente comprensibili. Particolare attenzione è dedicata alla tutela dei minori che - per accedere ai servizi della società dell'informazione (come i social network) - devono avere almeno 16 anni per poter prestare autonomamente il consenso al trattamento.
4. Le misure tecniche da adoperare
Ogni titolare del trattamento è tenuto ad adottare misure tecniche e organizzative sin dal momento della progettazione oltre che nell'esecuzione del trattamento, che tutelino i principi di protezione dei dati. Non esiste un elenco di misure di sicurezza "minime" uguali per tutti. Spetta a ciascuno decidere e assumersi le responsabilità di quali siano le contromisure adeguate alla propria realtà (crittografia, controllo degli accessi, sorveglianza degli archivi, ecc.).
5. Venire a conoscenza delle violazioni dei propri dati
Viene introdotto il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali ("data breach"). Questo significa che - nel caso di incidenti di sicurezza relativi ai sistemi utilizzati per il trattamento (come lo smarrimento di una chiavetta Usb, il furto di un fascicolo oppure un attacco informatico) - il titolare del trattamento dovrà organizzarsi per procedere alla notificazione al Garante Privacy senza ritardo (e, comunque, entro le 72 ore). Inoltre, la comunicazione dovrà essere data a tutti gli interessati, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (ipotesi assai probabile, ad esempio, nel caso dei dati sanitari o dei servizi di posta elettronica o messaggistica).
6. Le sanzioni
Il sistema sanzionatorio previsto del GDPR è molto più severo rispetto a quello del Codice Privacy. Le sanzioni amministrative - che saranno inflitte dal Garante Privacy - possono arrivare fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato mondiale totale. Le sanzioni non sono però l'unico spauracchio. In attesa di vedere se e quali saranno gli illeciti penalmente rilevanti previsti dal Decreto che il governo italiano si appresta ad adottare, è importante tenere a mente che chiunque subisca un danno da una violazione del GDPR ha il diritto di ottenerne il risarcimento dal titolare, a meno che quest'ultimo non dimostri che il danno non gli è alcun modo imputabile. E forse questa è alla fine la prova più difficile da dare se non sono state affrontate tutte le novità del GDPR.