Webmarketing

Attuazione del GDPR: Rush Finale Verso il Nuovo Regolamento Privacy 2018

Attuazione del GDPR: Rush Finale Verso il Nuovo Regolamento Privacy 2018

Non è rimasto molto tempo alle aziende per adeguarsi al Regolamento UE 2016/679 in materia di protezione dei dati personali (anche: “General Data Protection Regulation” e, in breve: “GDPR”), i due anni dalla sua entrata in vigore scadono di fatti il 25 maggio 2018, termine a partire del quale le nuove disposizioni saranno immediatamente applicabili.

Alcune ricerche condotte hanno evidenziato come, malgrado l’argomento imperversi ormai su ogni rivista, specializzata e non, media o web magazine, tra le PMI ci sia un notevole ritardo nel processo di adeguamento (nel mese di aprile 2017, ben l’80% delle aziende a conoscenza del GDPR si era dichiarata “non ancora a norma”) e, soprattutto, una scarsa conoscenza sull’effettivo impatto della nuova normativa.

Di seguito una breve sintesi di quali sono le principali novità normative con le quali le imprese che ancora non l’abbiano fatto, dovranno necessariamente confrontarsi entro il 25 maggio 2018.

Nuovo approccio del GDPR alla gestione dei dati personali (“Privacy by design”)

Il regolamento affronta la tutela dei dati personali, con un approccio nuovo caratterizzato dalla abrogazione delle linee guida fisse cui le imprese dovevano conformarsi alle quali si è preferita la responsabilizzazione del titolare del trattamento, (“accountability” in inglese) sul quale grava altresì l'onere di provare di aver adottato tutte le azioni e le misure richieste dal GDPR.

Nell’ottica di un rafforzamento della tutela delle persone fisiche, la nuova normativa ha adottato l’approccio così detto di “privacy by design in ragione del quale ogni trattamento deve essere configurato prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del Regolamento e di tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Ogni trattamento dovrà essere preceduto quindi da una valutazione del rischio concreto che dal trattamento  specifico derivino impatti negativi sulle libertà e i diritti degli interessati alla luce dei rischi noti o evidenziabili e delle misure tecniche organizzative che si ritiene adottare.

Conseguenze dirette e immediate di questo mutato approccio saranno:

  • l’obbligo per il titolare di mettere in atto le misure che rendano ogni trattamento effettuato come conforme alle previsioni del GDPR;
  • l'obbligo che le misure adottate forniscano la garanzia di detta conformità;
  • l’obbligo di fondare la scelta delle misure adottate su preventive analisi dei rischi;
  • l’obbligo che la conformità così garantita sia anche facilmente dimostrabile e, quindi, di fatto, un vero e proprio obbligo di rendicontazione.

In ragione del nuovo approccio, il GDPR ha altresì soppresso, a partire dal 25 maggio 2018, alcuni istituti fino previsti dal Codice della Privacy, fino ad oggi in vigore, quale la notifica preventiva dei trattamenti all'autorità di controllo e la verifica preliminare, che sono stati sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile.

Liceità del trattamento secondo le nuove disposizioni del GDPR

Il GDPR non ha modificato l’impianto preesistente, confermando i requisiti già fissati dall’attuale normativa per la liceità di ogni trattamento: consenso, obblighi contrattuali, interessi vitali dell’interessato o di terzi, obblighi di legge del titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Alcune precisazioni vengono invece dettate per quanto riguarda le modalità del consenso che deve essere libero, esplicito, inequivocabile, specifico ed informato. Il consenso non potrà pertanto essere né tacito né presunto ma dovrà essere manifestato attraverso una dichiarazione o azione positiva inequivocabile. Il titolare dovrò inoltre essere in grado di dimostrare non solo l’avvenuto consenso ma anche l’esistenza dei requisiti suddetti.

È di intuitiva comprensione come la maggior attenzione con cui il GDPR guarda alle modalità di richiesta e di prestazione del consenso siano destinate ad avere un impatto maggiore per quelle aziende che operano (e richiedono ed ottengono il consenso) solo online.

Le specificazioni introdotte dal GDPR rendono opportuno per le aziende verificare che i consensi a trattamenti già in essere rispondano ai nuovi requisiti. In caso contrario, sarà necessario per le aziende provvedere a richiedere nuovi consensi entro il 25 maggio 2018.

Informativa del regolamento

Il legislatore europeo ha ridefinito – dettagliandolo - anche il contenuto obbligatorio dell’informativa che, al momento della raccolta del consenso, il titolare deve fornire agli interessati per iscritto (anche in formato elettronico), in forma concisa, trasparente, intellegibile e facilmente accessibile, nonché con un linguaggio semplice e chiaro.

Sempre in merito alle modalità con cui il titolare deve informare gli interessati al momento della raccolta del dato, il GDPR ammette, istituzionalizzandolo, l’utilizzo di icone standardizzate che rappresentino i contenuti dell’informativa in forma sintetica. Tali icone (che saranno definite dalla commissione europea) potranno essere utilizzate solo in combinazione con l’informativa stessa e, se presentate elettronicamente, dovranno essere accessibili da ogni dispositivo.

Alla luce delle novità introdotte, è opportuno che i titolari di trattamenti verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri introdotti dalla nuova normativa in modo da adeguarle, se necessario, entro il termine del 25 maggio.

Attività di profilazione

L’art. 4 del GDPR definisce come profilazione: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”. Tale attività viene inserita nella più ampia categoria dei “processi decisionali automatizzati” oggetto, oggi, del divieto generale posto dall’articolo 22 a norma del quale: “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

L’art. 22 del GDPR al par. 2 ricomprende tra le eccezioni al divieto generale la possibilità che il trattamento completamente automatizzato si basi sul consenso esplicito e specifico dell’interessato, ossia su un consenso manifestato attraverso una dichiarazione espressa e non desunto da un comportamento concludente. In linea con il requisito della specificità, le Linee guida dettate dal Garante in tal proposito chiariscono altresì che i dati devono essere trattati per la finalità specifica indicate nella richiesta del consenso presentata all’interessato, essendo illecito il loro utilizzo per una finalità diversa per la quale sarà necessario chiedere un altro specifico consenso.

In riferimento ai trattamenti completamente automatizzati di cui all’art. 22, il GDPR introduce l’obbligo del titolare di:

  • fornire le informazioni necessarie a garantire all’interessato la conoscenza non solo del processo decisionale automatizzato, ma anche la logica utilizzata e delle conseguenze previste di tale trattamento;
  • attuare misure appropriate e rinforzate di tutela;
  • garantire all’interessato il diritto di ottenere l’intervento umano del titolare, di esprimere la propria opinione e di contestare la decisione.  

Diritti degli interessati

Il legislatore europeo ha rielaborato in maniera sostanziale le disposizioni con cui il Codice della Privacy (che, ricordiamo, resterà in vigore anche dopo il 25 maggio nella misura in cui le sue disposizioni non siano incompatibili con la nuova formula) già disciplinava i diritti degli interessati al riscontro, all’accesso, all’oblio, alla limitazione del trattamento, all’opposizione al trattamento.

In aggiunta a quanto già in vigore, il GDPR ha introdotto il diritto alla portabilità dei dati, inteso come il diritto degli interessati di ricevere i dati personali da loro forniti al titolare del trattamento, in formato strutturato, di uso comune e leggibile meccanicamente e di trasmetterlo ad un diverso titolare.

Prima del 25 maggio, i titolari dovranno quindi adottare le misure tecniche ed organizzative eventualmente necessarie per garantire e favorire l'esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita la forma scritta (anche elettronica)

Soggetti attivi del trattamento

Ultimo elemento di questa veloce e sommaria disamina, sono le novità introdotte dal GDPR in relazione ai soggetti attivi del trattamento ed in particolare:

  • La disciplina relativa alla contitolarità – vale a dire alla possibilità che 2 o più titolari determino congiuntamente le finalità e i mezzi del trattamento, per mezzo di un accordo interno che stabilisca in maniera trasparente le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR e che, nei suoi contenuti essenziali, deve essere messo a disposizione degli interessati;
  • Maggior rigore dei requisiti dell’atto con cui il titolare può nominare il responsabile del trattamento in capo al quale il GDPR pone obblighi specifici e diversi rispetto a quelli posti a carico del titolare stesso;  
  • L’obbligo di nominare un Responsabile Protezione Dati (RPD o anche DPO dall’acronimo di Data Protection Officer) oltre che per le Pubbliche Amministrazioni e gli organismi pubblici, anche per le aziende private che svolgono trattamenti che richiedono i) il monitoraggio regolare e sistematico di interessati su larga scala, ovvero ii) consistano nel trattamento su larga scala di dati sensibili o relativi a condanne penali o reati.

Entro il 25 maggio sarà opportuno che i titolari verifichino oltre all’esistenza di eventuali situazioni di contitolarità che richiedano la stesura del accordo richiesto dal GDPR anche che gli atti di nomina degli attuali responsabili e/o incaricati rispondano ai requisiti ora introdotti.

Sei interessato a valutare l'impatto del nuovo GDPR sulla tua Azienda? Contattami per una consulenza.

Nata a Milano nel 1970 è cresciuta a Roma dove si è laureata in Legge nel 1996 e dove è tornata a vivere e lavorare, dopo un’esperienza all’estero e 4 anni vissuti a Milano, nel 2001. È iscritta all’albo degli Avvocati dal 2001 ed è attualmente Partner di EXPLEGAL – Italian and International Law Firm, con sede a Roma e a Milano. Svolge la propria attività prevalentemente nelle materie della assistenza e consulenza legale alle imprese in tutti i settori della gestione ordinaria e straordinaria del business.Assiste e collabora con incubatori e con Start Up dalla fase della costituzione, alla crescita, ai rapporti con gli investitori ed infine alla stabilizzazione nel mercato. 

Email Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.