Via alle nuove regole sulla protezione dei dati: con il voto del Parlamento Europeo dello scorso giovedì si inaugura una nuova era per la privacy, tagliando un ambizioso traguardo dopo quattro anni di lavoro tra gli Stati membri e tracciando un importante punto di partenza per un nuovo concetto di governance dei dati, dove la trasparenza e la tutela delle informazioni rappresentano i perni centrali.
Una manovra economica, oltre che una svolta legislativa, tesa a porre fine all’obsoleto mosaico di norme nazionali, incapaci di creare un comune fronte d’azione e un quadro di riferimento omogeneo.
Del resto era chiaro come il trattamento dei dati fosse diventato un tema troppo caldo per essere gestito dall’attuale Direttiva privacy, datata 1995, quando Internet era solo agli esordi. Le continue pressioni dei colossi industriali per ottenere informazioni sui consumatori e le esigenze di sicurezza di raccogliere quanti più dati possibili su eventuali sospetti di reati transnazionali o di terrorismo, scandite da accesi dibattiti e feroci battaglie politiche tra industria e Autorità Garanti, hanno reso più che mai necessario nel tempo un regolamento generale a misura di Società “digitale”, dove tutto viaggia su smartphone, social media e trasferimenti di dati da un capo del mondo all’altro.
Ma cosa comprende nello specifico il pacchetto di protezione dati? Diritto all’oblio, condizioni per un “consenso chiaro” per il trattamento dei dati privati dell’interessato, diritto di trasmettere i propri dati a un altro titolare del trattamento oltre che trasparenza in materia di data breach ovvero il diritto di essere informati di eventuali violazioni dei propri dati personali. Un tema di particolare interesse, quest’ultimo, che dovrà costituire argomento di adeguata analisi da parte delle aziende, le quali dovranno essere in grado di monitorare gli eventi relativi alla violazione dei dati e notificare all’Autorità competente, entro 72 ore decorrenti dalla conoscibilità dell’evento, i dettagli del medesimo. Con il possibile obbligo a notificare anche agli interessati eventuali violazioni subite. Si tratta di un aspetto sintomatico del principio di trasparenza nel trattamento dei dati che questo Regolamento evidenzia in vari punti. Molti diritti, quindi, per gli interessati, che per le aziende si traducono in obblighi ed evidentemente in costi. Ma non solo.
Con riferimento alle figure del titolare e responsabile, viene specificato che “tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il controller/processor del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento dei dati è conforme al regolamento. Tali misure sono riesaminate ed aggiornate qualora necessario. Esse includono politiche adeguate in materia di protezione dei dati” . Quindi ampia discrezionalità circa la tipologia, ma, al tempo stesso, con l’onere di dimostrare il processo logico che ha portato ad adottarle, con tanto di politiche annesse.
Saranno obbligatori i cosiddetti privacy impact assessment (PIA) ovverosia una procedura interna che sintetizza in un documento i rischi sussistenti e le modalità per contenerli, sia dal punto di vista tecnico che di acquisizione dei dati in caso di conservazione o cancellazione. Sarà importante non solo la creazione del primo PIA, ma anche le successive modifiche che il trattamento potrà subire e che coinvolgeranno anche l’aspetto documentale.
Sul fronte della sicurezza occorre citare diversi concetti ricorrenti nel testo del Regolamento: la puntualizzazione di cosa si intenda per pseudonimizzazione , nonché cosa si intenda per minimizzazione (tecniche da applicarsi ai dati) piuttosto che il rimarcato concetto di data retention , ancora non abbastanza conosciuto dalle aziende italiane, ovvero l’obbligo di dotarsi di un piano di conservazione temporale dei dati con la possibilità di pianificare la cancellazione per trattamenti o database.
Sul fronte dei rapporti cliente-fornitore cambiano vari aspetti. Innanzitutto si evidenzia nel Regolamento la necessità che in caso di sviluppo prodotto o servizi, siano ben chiare le responsabilità relative alla gestione dei dati piuttosto che alle soluzioni di privacy by design e by default .
Come ci indica il legislatore europeo, tenendo conto “della tecnologia disponibile, dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche costituite dal trattamento, i Controllers del trattamento, sin dal momento della progettazione degli strumenti che trattano dati personali, nonché durante il trattamento stesso, mettono in atto misure organizzative e tecniche appropriate, come la pseudonimizzazione dei dati, che mirano ad attuare i principi di protezione dei dati, come la minimizzazione, in modo che il trattamento soddisfi i requisiti del regolamento e tuteli i diritti degli interessati” .
Secondariamente il ruolo del Fornitore dovrà essere proattivo in caso di implementazioni che impattino lato privacy piuttosto che partecipativo in caso di PIA. Il tutto ovviamente dovrà essere gestito attraverso una contrattualistica preventiva, a livello almeno di data processing agreement .
Ricordiamo infine il concetto di accountability richiamato dal legislatore rispetto all’attuazione del Regolamento nelle aziende: sarà onere del controller dimostrare di aver correttamente rispettato quanto sancito dal Regolamento anche attraverso un vero e proprio modello organizzativo integrato rispetto ai vari processi aziendali affinché la privacy divenga materia propedeutica alle attività.
L’allineamento delle imprese rispetto al nuovo assetto che, ricordiamo, entrerà in vigore dopo la pubblicazione sulla Gazzetta Ufficiale dell’UE e prevede due anni per l’adeguamento prima che le disposizioni siano applicabili in tutti gli Stati Membri, comporterà necessariamente una metamorfosi nel modus operandi, o perlomeno nella mentalità degli addetti ai lavori rispetto alla governance delle informazioni.
La svolta legislativa non deve di fatto rappresentare solo una disposizione alla quale conformarsi, ma deve essere colta come un’opportunità, una occasione di ripensamento dei processi interni nell’ottica di una razionalizzazione dei flussi informativi dell’azienda: interni, rispetto ai dipendenti, ed esterni rispetto ai fornitori. Una presa di coscienza fondamentale, soprattutto a fronte degli aspetti sanzionatori previsti in caso di violazione delle disposizioni, fino a 20 milioni di euro o, per le imprese, fino al 4 per cento del fatturato mondiale totale annuo.
Avv. Valentina Frediani
Founder Colin & Partners