Data Protection, cosa cambia con il Regolamento Europeo

di Avv. V. Frediani - La direttiva del 1995 non è più sufficiente a garantire diritti e stabilire doveri, in un presente in cui i dati personali sono sempre più preziosi ed ambiti

Data Protection, cosa cambia con il Regolamento EuropeoRoma - Via alle nuove regole sulla protezione dei dati: con il voto del Parlamento Europeo dello scorso giovedì si inaugura una nuova era per la privacy, tagliando un ambizioso traguardo dopo quattro anni di lavoro tra gli Stati membri e tracciando un importante punto di partenza per un nuovo concetto di governance dei dati, dove la trasparenza e la tutela delle informazioni rappresentano i perni centrali.
Una manovra economica, oltre che una svolta legislativa, tesa a porre fine all'obsoleto mosaico di norme nazionali, incapaci di creare un comune fronte d'azione e un quadro di riferimento omogeneo.

Del resto era chiaro come il trattamento dei dati fosse diventato un tema troppo caldo per essere gestito dall'attuale Direttiva privacy, datata 1995, quando Internet era solo agli esordi. Le continue pressioni dei colossi industriali per ottenere informazioni sui consumatori e le esigenze di sicurezza di raccogliere quanti più dati possibili su eventuali sospetti di reati transnazionali o di terrorismo, scandite da accesi dibattiti e feroci battaglie politiche tra industria e Autorità Garanti, hanno reso più che mai necessario nel tempo un regolamento generale a misura di Società "digitale", dove tutto viaggia su smartphone, social media e trasferimenti di dati da un capo del mondo all'altro.

Ma cosa comprende nello specifico il pacchetto di protezione dati? Diritto all'oblio, condizioni per un "consenso chiaro" per il trattamento dei dati privati dell'interessato, diritto di trasmettere i propri dati a un altro titolare del trattamento oltre che trasparenza in materia di data breach ovvero il diritto di essere informati di eventuali violazioni dei propri dati personali. Un tema di particolare interesse, quest'ultimo, che dovrà costituire argomento di adeguata analisi da parte delle aziende, le quali dovranno essere in grado di monitorare gli eventi relativi alla violazione dei dati e notificare all'Autorità competente, entro 72 ore decorrenti dalla conoscibilità dell'evento, i dettagli del medesimo. Con il possibile obbligo a notificare anche agli interessati eventuali violazioni subite. Si tratta di un aspetto sintomatico del principio di trasparenza nel trattamento dei dati che questo Regolamento evidenzia in vari punti. Molti diritti, quindi, per gli interessati, che per le aziende si traducono in obblighi ed evidentemente in costi. Ma non solo.
Con riferimento alle figure del titolare e responsabile, viene specificato che "tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il controller/processor del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento dei dati è conforme al regolamento. Tali misure sono riesaminate ed aggiornate qualora necessario. Esse includono politiche adeguate in materia di protezione dei dati". Quindi ampia discrezionalità circa la tipologia, ma, al tempo stesso, con l'onere di dimostrare il processo logico che ha portato ad adottarle, con tanto di politiche annesse.

Saranno obbligatori i cosiddetti privacy impact assessment (PIA) ovverosia una procedura interna che sintetizza in un documento i rischi sussistenti e le modalità per contenerli, sia dal punto di vista tecnico che di acquisizione dei dati in caso di conservazione o cancellazione. Sarà importante non solo la creazione del primo PIA, ma anche le successive modifiche che il trattamento potrà subire e che coinvolgeranno anche l'aspetto documentale.

Sul fronte della sicurezza occorre citare diversi concetti ricorrenti nel testo del Regolamento: la puntualizzazione di cosa si intenda per pseudonimizzazione, nonché cosa si intenda per minimizzazione (tecniche da applicarsi ai dati) piuttosto che il rimarcato concetto di data retention, ancora non abbastanza conosciuto dalle aziende italiane, ovvero l'obbligo di dotarsi di un piano di conservazione temporale dei dati con la possibilità di pianificare la cancellazione per trattamenti o database.

Sul fronte dei rapporti cliente-fornitore cambiano vari aspetti. Innanzitutto si evidenzia nel Regolamento la necessità che in caso di sviluppo prodotto o servizi, siano ben chiare le responsabilità relative alla gestione dei dati piuttosto che alle soluzioni di privacy by design e by default.
Come ci indica il legislatore europeo, tenendo conto "della tecnologia disponibile, dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche costituite dal trattamento, i Controllers del trattamento, sin dal momento della progettazione degli strumenti che trattano dati personali, nonché durante il trattamento stesso, mettono in atto misure organizzative e tecniche appropriate, come la pseudonimizzazione dei dati, che mirano ad attuare i principi di protezione dei dati, come la minimizzazione, in modo che il trattamento soddisfi i requisiti del regolamento e tuteli i diritti degli interessati".

Secondariamente il ruolo del Fornitore dovrà essere proattivo in caso di implementazioni che impattino lato privacy piuttosto che partecipativo in caso di PIA. Il tutto ovviamente dovrà essere gestito attraverso una contrattualistica preventiva, a livello almeno di data processing agreement.

Ricordiamo infine il concetto di accountability richiamato dal legislatore rispetto all'attuazione del Regolamento nelle aziende: sarà onere del controller dimostrare di aver correttamente rispettato quanto sancito dal Regolamento anche attraverso un vero e proprio modello organizzativo integrato rispetto ai vari processi aziendali affinché la privacy divenga materia propedeutica alle attività.

L'allineamento delle imprese rispetto al nuovo assetto che, ricordiamo, entrerà in vigore dopo la pubblicazione sulla Gazzetta Ufficiale dell'UE e prevede due anni per l'adeguamento prima che le disposizioni siano applicabili in tutti gli Stati Membri, comporterà necessariamente una metamorfosi nel modus operandi, o perlomeno nella mentalità degli addetti ai lavori rispetto alla governance delle informazioni.

La svolta legislativa non deve di fatto rappresentare solo una disposizione alla quale conformarsi, ma deve essere colta come un'opportunità, una occasione di ripensamento dei processi interni nell'ottica di una razionalizzazione dei flussi informativi dell'azienda: interni, rispetto ai dipendenti, ed esterni rispetto ai fornitori. Una presa di coscienza fondamentale, soprattutto a fronte degli aspetti sanzionatori previsti in caso di violazione delle disposizioni, fino a 20 milioni di euro o, per le imprese, fino al 4 per cento del fatturato mondiale totale annuo.

Avv. Valentina Frediani
Founder Colin & Partners
Notizie collegate
  • Diritto & InternetData Protection, il Regolamento Europeo al traguardodi Avv. V. Frediani - Il Regolamento e la Direttiva che uniformeranno e riformeranno la protezione dei dati personali in Europa assumono una forma. Che impatto ci si aspetta sul quadro normativo italiano? Cosa cambierà per cittadini e aziende?
  • AttualitàUE, verso la privacy unicaLe istituzioni europee si riuniscono per decidere sull'adozione di regole comuni per il rispetto della privacy, una questione su cui si dibatte da tempo e che continua a suscitare polemiche. Molte le lamentele di aziende, organizzazioni che si battono per i diritti digitali e teenager
  • Diritto & InternetPrivacy Shield, uno scudo vulnerabileA soffrirne rischiano di essere i cittadini europei che affidino i dati alle multinazionali: l'Article 29 Working Party sottolinea le incoerenze di un testo che non scongiura la sorveglianza indiscriminata ammessa dai decaduti accordi Safe Harbor
4 Commenti alla Notizia Data Protection, cosa cambia con il Regolamento Europeo
Ordina
  • avete descritto bene la situazione bravi! Sottocrivo e mi associo.
  • Quando leggo cose come quelle scritte nell'articolo mi rendo conto sempre più di come il mondo legale si stia allontanando a velocità curvatura dal mondo reale, senza che la maggior parte dei protagonisti se ne renda conto, da una parte e dall'altra.

    Una moltitudine di servizi è oggi falsamente facoltativa obbligatoria se si vuole rimanere nel consorzio civile a un livello che non sia in fondo alla piramide sociale.
    Perciò siamo costretti a firmare una moltitudine di contratti commerciali, con le loro clausole, da soggetto più forte a soggetto più debole.
    Perciò il "consenso informato" è una ipocrisia bella e buona e la nostra privacy è di fatto terminata già da anni.

    "Le continue pressioni dei colossi industriali per ottenere informazioni sui consumatori" sono solo fumo negli occhi, visto che i suddetti soggetti dragano le informazioni proprio dai servizi che ci propinano, oppure le comperano (e le integrano!) da chi lo fa.

    E ormai di informazioni, anche se cessasse di colpo la "fornitura" coatta, ne hanno già una marea sterminata sulla maggior parte degli abitanti "civili" del pianeta.
    non+autenticato
  • - Scritto da: zoddo
    > Quando leggo cose come quelle scritte
    > nell'articolo mi rendo conto sempre più di come
    > il mondo legale si stia allontanando a velocità
    > curvatura dal mondo reale, senza che la maggior
    > parte dei protagonisti se ne renda conto, da una
    > parte e
    > dall'altra.
    >
    > Una moltitudine di servizi è oggi falsamente
    > facoltativa
    obbligatoria se si vuole rimanere
    > nel consorzio civile a un livello che non sia in
    > fondo alla piramide
    > sociale.
    > Perciò siamo costretti a firmare una
    > moltitudine di contratti commerciali, con le loro
    > clausole, da soggetto più forte a soggetto più
    > debole.
    > Perciò il "consenso informato" è una
    > ipocrisia bella e buona e la nostra
    > privacy è di fatto terminata già da
    > anni.
    >
    > "Le continue pressioni dei colossi industriali
    > per ottenere informazioni sui consumatori
    "
    > sono solo fumo negli occhi, visto che i suddetti
    > soggetti dragano le informazioni proprio dai
    > servizi che ci propinano, oppure le comperano (e
    > le integrano!) da chi lo
    > fa.
    >
    > E ormai di informazioni, anche se cessasse di
    > colpo la "fornitura" coatta, ne hanno già una
    > marea sterminata sulla maggior parte degli
    > abitanti "civili" del
    > pianeta.

    E bello vedere che c'è ancora in giro gente capace di riconoscere la realtà.
    non+autenticato
  • Già, oltretutto l'elefantiasi delle aziende di servizi uniforma l'offerta dal punto di vista contrattuale, togliendo la possibilità di rivolgersi ad altri fornitori con clausole meno vessatorie.
    Le associazioni dei consumatori, che dovrebbero essere le uniche a contrastare lo strapotere delle mega-aziende, si barcamenano per fare azioni scenografiche per salvare le apparenze ma dai risultati molto relativi, senza affrontare minimamente la questione all'origine.
    I politici invece (che non dovrebbero mettere il naso) pretendono di regolamentare ogni cosa per legge e con i tempi biblici delle loro decisioni, unite ad una colpevole ignoranza e ad una rampante corruzione, le uniche cose che riescono a fare sono quella di aumentare i costi della macchina burocratica (e quindi aumentare le tasse) e di ingessare sempre più il mercato e la gente, che ormai non va più nemmeno a votare tanto è depressa dallo schifo che la circonda (e i politici/burocrati ringraziano).
    non+autenticato