Il nuovo Regolamento Privacy

Il prossimo 25 maggio diverrà esecutivo il Regolamento 679/2016 UE, meglio conosciuto come GDPR, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonchè alla libera circolazione di tali dati, già in vigore dal 24 maggio 2016.

Gli obiettivi prefissati ed i principi sanciti in materia rimangono invariati, tuttavia la repentina ed incessante evoluzione tecnologica, che rende sempre più digitale la società in cui viviamo, impone una più dettagliata ed efficace disciplina dei diritti degli interessati e degli obblighi di coloro che effettuano il trattamento dei dati personali, un maggior controllo da parte dell'autorità garante e più incisive sanzioni. E tanto proprio al fine di assicurare un'effettiva protezione delle persone fisiche all'interno dell'Unione ed al contempo favorire la libera circolazione dei dati personali nel mercato interno.

In estrema sintesi, ciò che permea la nuova disciplina Privacy è il sostanziale cambiamento d'approccio alla materia: da una regolamentazione orientata alla definizione di misure minime necessarie si passa ad una stringente responsabilizzazione di chi decide le modalità e le finalità del trattamento e di chi lo esegue, per garantire un trattamento lecito, corretto, trasparente e sicuro.

La novità più rilevante del GDPR, dunque, è l'introduzione del principio di accountability (responsabilità incondizionata) che pone in capo al titolare del trattamento nonchè al responsabile del trattamento, ove presente, la piena responsabilità in termini di valutazione dei rischi prevedibili e prevenibili connessi al trattamento dei dati personali e delle conseguenti scelte inerenti le misure idonee ad evitare il prodursi dell'evento dannoso (data breach). L' art. 24, par. 1 GDPR, in merito alle responsabilità del titolare del trattamento, così recita: "Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalit` del trattamento, nonchè dei rischi aventi probabilit` gravità diverse per i diritti e le libertà, delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario."

Al fine di garantire un livello di sicurezza dei dati proporzionato al rischio connesso al loro trattamento, l'adeguatezza di tali misure, oltre che nell'esecuzione del trattamento, dovrà essere implementata sin dal momento della determinazione dei mezzi del trattamento stesso ed il titolare dovrà assicurarsi che tali dati vengano trattati, già per impostazione predefinita, secondo i principi e con le garanzie indicati dalla normativa stessa (art. 25 Reg. 679/2016 UE, Protezione by design e Protezione by default).

Si comprende come, a partire dalla previsione di un trattamento di dati personali, passando per il centrale consenso dell'interessato e per la corretta contrattualizzazione dei rapporti con gli incaricati e i vari responsabili, anche esterni, che quei dati andranno inevitabilmente a trattare (dipendenti, consulenti del lavoro, fornitori di servizi IT, etc..), tutto ricade nell'alveo delle responsabilità del titolare del trattamento, ossia dell'azienda e del suo rappresentante legale.

E' evidente, quindi, come il nuovo sistema normativo e sanzionatorio a protezione dei dati personali abbia risvolti tutt'altro che banali ed anzi quanto sia faccenda estremamente delicata in termini di compliance aziendale. La mancata puntuale conformità alla disciplina GDPR comporterà onerose sanzioni amministrative pecuniarie, finanche responsabilità penali nei casi di gravi violazioni.

Per scongiurare le severe conseguenze derivanti da simile responsabilità, fatto salvo ovviamente il diritto dell'interessato al risarcimento del danno, il titolare del trattamento dovrà essere in grado di dimostrare, in occasione di controlli o in caso di violazione di dati personali, di aver approntato tutte le misure tecniche ed organizzative possibili, avuto riguardo allo stato dell'arte ed ai costi di attuazione.

Come si diceva, non sono più previsti uno standard minimo da seguire e quindi soluzioni preconfezionate da approntare, quanto piuttosto valutazioni frutto di consapevolezza e misure ad hoc. La conformità alla nuova disciplina Privacy delle misure adottate dal titolare del trattamento inizierà, allora, con l'attuazione di una preventiva analisi dello stato di fatto della specifica realtà aziendale e di una valutazione della tipologia di dati personali da trattare e del contesto e delle finalità del trattamento, nonchè dei rischi connessi a detto trattamento. Solo all'esito di questa podromica attività di screening potranno implementarsi le adeguate procedure, necessarie ad un trattamento dei dati compliant alla normativa in essere.

V'è da dire che, in ausilio al titolare del trattamento, il GDPR prevede la figura del Responsabile della Protezione dei Dati (DPO, Data Protection Officer), l'impiego del quale, benchè obbligatorio solo per determinate realtà viene vivamente raccomandato laddove manchino o siano carenti all'interno dell'azienda competenze professionali specifiche in materia di normativa Privacy e sicurezza informatica.

Per approfondimenti: www.garanteprivacy.it

Avv. Francesca Pizzuto

Responsabile Compliance Mondoserver IT