Con l’entrata in vigore, il 25 maggio 2018, del GDPR (General Data Protection Regulation – Regolamento Europeo per la Protezione dei Dati personali), il mondo del trattamento e della sicurezza dei dati è stato stravolto con l’introduzione di un gran numero di regole e con la rivisitazione delle vecchie normative di cui al Codice Privacy del 2003.
Scopo della nuova regolazione è quello di procedere all’armonizzazione delle regole in tutti i Paesi Membri dell’Unione Europea in materia di salvaguardia e protezione dei dati personali, che, già a partire dal Trattato di Lisbona, costituiscono diritti fondamentali dei cittadini da salvaguardare: allo scopo sono state riviste le norme relative alla definizione dei dati personali, al loro trattamento e, in generale, a tutti gli obblighi cui sono tenute le aziende e le pubbliche amministrazioni quando maneggiano informazioni. È una materia importante e delicata, per cui addirittura sono nate assicurazioni ad hoc che vanno ad aggiungersi alle già tante assicurazioni a disposizione delle PMI.
Di qui l’importanza di individuare una sintesi delle diverse regole, così da permettere a tutte le imprese che non si siano ancora dotate dei giusti strumenti, di adeguarsi al nuovo Regolamento GDPR: è per questo che, dopo un esame dei profili più importanti della nuova disciplina, vedremo anche in che modo essa si traduce in capo alle aziende coinvolte.
Cosa sono i dati personali?
La premessa necessaria per individuare quali sono le novità in materia di sicurezza dati derivanti dal Regolamento GDPR è senz’altro coincidente con alcune definizioni. In altre parole dobbiamo chiederci: cosa si intende per dati personali e sensibili?
Abbiamo già detto che il GDPR stabilisce, all’art. 1, par. 2, che la protezione dei dati personali rientra tra i diritti e le libertà fondamentali delle persone fisiche. Dopo questa premessa, l’art. 4 del Regolamento definisce come dati personali le informazioni che riguardano un determinata persona fisica (qualificata come “interessato”), a condizione che queste permettano:
- L’identificazione delle sue generalità (quindi parliamo senz’altro di nome, cognome, residenza, codice fiscale, e così via);
- L’indicazione delle sue caratteristiche (aspetto fisico, ad eccezione dei dati genetici, biometrici e sanitari);
- L’individuazione delle sue abitudini, del suo stile di vita, delle sue relazioni personali e della sua situazione economica.
Cosa sono i dati sensibili? Qual è la differenza tra dati personali e dati sensibili?
Rispetto a questo insieme di dati, che riguardano la persona e che ne permettono la profilazione ai più diversi fini (ad esempio, commerciali, pubblicitari, finanziari, e così via), già in base alle vecchie normative si tendeva a distinguere un secondo gruppo di dati personali dotati di una maggiore incidenza nella possibile lesione della privacy del soggetto: i dati sensibili.
Il nuovo Regolamento GDPR, all’art. 9, include tra i dati sensibili e dispone per essi il divieto generale di trattamento, le informazioni riguardanti le persone fisiche e che permettano di rivelare:
- L’origine razziale o etnica;
- Le opinioni politiche, religiose, filosofiche;
- L’orientamento sessuale e, in generale, la vita sessuale;
- I dati relativi alla salute, tra cui i dati genetici e quelli biometrici che permettono di identificare in modo univoco un determinato soggetto.
Come dicevamo, la distinzione tra dati personali e dati sensibili resta tuttora rilevante: per questi ultimi è posto un esplicito divieto di trattamento, per cui qualsiasi acquisizione o impiego da parte di terzi costituisce violazione della privacy. Viceversa, gli altri dati personali (non sensibili), possono essere oggetto di trattamento da parte delle aziende.
Già da questo si intuisce l’importante differenza tra dati personali e dati sensibili, ed anche il motivo per cui alcuni settori debbano adottare soluzioni di sicurezza estremamente drastiche, tra cui le banche, le assicurazioni o gli studi medici.
Ad esempio, una banca deve tenere sotto strettissima sorveglianza i dati finanziari dei propri clienti, mentre una struttura medica dovrà adottare le migliori soluzioni, ad esempio, per la gestione della ricetta dematerializzata.
Che cos’è il trattamento dei dati personali?
Con riferimento ai dati per i quali è ammesso il trattamento è possibile porre in essere, da parte delle aziende o delle pubbliche amministrazioni interessate (che, quindi, acquisiscono la qualifica di “responsabile del trattamento”), una serie di operazioni, siano esse o meno effettuate mediante processi automatizzati o digitali, tra le quali: la raccolta, la registrazione, la conservazione, la consultazione, la comunicazione e la diffusione, la cancellazione o la distruzione.
Ciascuna di queste fattispecie, dunque, integra trattamento dei dati personali. Ovviamente, la possibilità che un’azienda o un ente, in generale, ha di poter effettuare tali operazioni sui dati personali è sottoposta a dei vincoli: si tratta, in primo luogo, della definizione delle finalità di trattamento; in secondo luogo, dell’informativa e del consenso dell’interessato.
Quando un’azienda vuole acquistare i dati personali di un determinato soggetto (poniamo, ad esempio un cliente), al fine di inviare a quest’ultimo materiale pubblicitario o di creare uno studio di mercato per valutare l’impatto dei propri prodotti, o, ancora, per raccogliere informazioni utili ad altre aziende o enti, si dice che essa persegue una determinata finalità: commerciale, marketing, produttiva, statistica, finanziaria, e così via. Ebbene, queste finalità devono essere esplicitamente dichiarate, secondo quanto previsto dal GDPR.
La legge infatti richiede che il consenso del cittadino sia informato: egli, cioè, deve essere messo in condizione di vagliare attentamente la convenienza o meno di fornire il consenso al trattamento dei propri dati. Ne deriva che sono illegittimi i consensi acquisiti in mancanza di informativa e, ancora, che è illegittimo il trattamento eseguito in assenza di consenso informato (o se il consenso manca del tutto).
L’obbligo di acquisire il consenso e di effettuare l’informativa privacy è stato rivisto dal Regolamento, che ha previsto la necessità di questi due passaggi ogni volta che vi sia un trattamento dati e di acquisire un diverso consenso per ognuna delle finalità di trattamento: questo significa che, se in un primo momento il consenso viene acquisito per attività di profilazione aziendale e poi si intende utilizzare i dati per finalità commerciali, il primo consenso non può bastare a questo secondo passaggio, ma occorre ottenere una nuova prestazione di consenso, la quale presuppone una nuova informativa sulla privacy (e cioè sulle nuove finalità o modalità di trattamento).
Chi è tenuto agli obblighi sul trattamento dei dati personali?
Quali sono i settori e i soggetti tenuti a rispettare le norme appena viste sul trattamento e messa in sicurezza dei dati personali? In altre parole: a chi si applicano le norme sulla privacy GDPR?
In via generale, il Regolamento dispone che sono tenuti ad osservare queste regole le persone fisiche o giuridiche, oltre che le autorità pubbliche o gli organismi che determinano le finalità e i mezzi del trattamento dei dati personali: in questi casi si parla, indifferentemente, di soggetto titolare del trattamento (o data controller). Ne deriva, per entrare nel particolare, che sono soggetti alle norme sulla privacy le aziende, le società, gli enti pubblici, i professionisti e chiunque altro operi l’acquisizione e l’utilizzo di dati personali raccolti tra clienti e cittadini.
Ovviamente, non tutte le persone, quando operano su dati personali, effettuano un trattamento e sono soggette, per questo, al rispetto delle norme sulla privacy. Infatti, sono escluse le persone che operano il trattamento di dati altrui per finalità strettamente personali (ad esempio, per capire se fidarsi o meno di una persona), senza che vi sia la possibilità di diffusione verso il pubblico o di impiego per finalità commerciali, e così via.
Peraltro, il regolamento GDPR ha un limite territoriale di applicazione, nel senso che le sue norme si applicano esclusivamente ai trattamenti effettuati da soggetti stabiliti nel territorio dell’Unione Europea o che, offrendo beni e servizi negli Stati membri, effettuano il trattamento di dati di persone residenti nell’Unione Europea. Da ciò deriva che sono obbligati alle norme sul trattamento non solo le aziende stabilite in Europa, ma anche le aziende di Paesi terzi che operano sul territorio europeo ed effettuano il trattamento di interessati residenti nel territorio europeo. Esempio classico di questo sono i giganti del settore tech come i Social Network, ad esempio Facebook, o Google.
Quali sono le altre regole GDPR sulla sicurezza dei dati?
Oltre a definire i dati personali e le regole che attengono al loro trattamento, il GDPR si occupa di individuare un principio di responsabilizzazione (in inglese, accountability) in capo ai soggetti che maneggiano, per le proprie finalità, i dati personali, attuando una serie di misure volte alla tutela della riservatezza e alla garanzia di sicurezza dei dati trattati.
Siccome questi trattamenti vengono fatti, oggi, prevalentemente tramite strutture informatiche, si capisce bene come sia importante per le PMI avere una struttura informatica efficiente; e come questa necessità si estenda alla sicurezza informatica nel caso in cui si tratti dati sensibili, come per esempio succede in sanità.
A questo fine, oltre ad imporre l’obbligo dell’informativa sulla privacy e all’acquisizione del consenso, il GDPR include, tra le altre, norme volte:
- All’applicazione del principio “privacy by design”, che impone all’azienda di realizzare beni e servizi che già in radice sono progettati in modo da tutelare la privacy degli utenti, così da anticipare la soglia di tutela fin dall’inizio del processo di contatto con il cittadino;
- All’introduzione della valutazione del rischio (approccio risk based), nel senso che i soggetti tenuti al rispetto delle norme sui dati personali devono porre in campo tutte le misure, anche eventualmente non previste dalla legge, necessarie caso per caso (e quindi in relazione alle effettive modalità, finalità e rischi per la privacy che possano derivare dal trattamento). Esempio classico è il controllo delle presenze dei dipendenti tramite badge.
- La previsione di una serie di diritti collaterali in capo agli interessati, che si traducono in altrettanti obblighi per le imprese, tra cui l’accesso alle informazioni che riguardano i dati personali, le finalità e modalità del loro trattamento, l’introduzione del diritto all’oblio (inteso come facoltà, per l’interessato, di chiedere al titolare del trattamento la cancellazione dei propri dati personali);
- L’introduzione dell’obbligo di notifica al Garante della Privacy delle violazioni scoperte dalle aziende in merito al trattamento dei dati personali;
- La previsione di sanzioni amministrative per le aziende che effettuano un trattamento illegittimo dei dati personali, che possono arrivare fino al 4% del fatturato globale dell’impresa.
Ne deriva che tutti le aziende e gli enti pubblici interessati dalla riforma dovranno predisporre una serie di protocolli di garanzia, onde evitare l’acquisizione illegittima dei dati personali o un trattamento effettuato con modalità che possa violare il diritto alla riservatezza (e cioè comportare un utilizzo o una diffusione dei dati non rientranti nel trattamento autorizzato dall’interessato).
Come adeguarsi al nuovo Regolamento Privacy?
È essenziale per le imprese che operano con il trattamento dei dati personali istituire una serie di iniziative volte all’adeguamento alle nuove norme GDPR, definite anche dall’ADI. Dobbiamo chiederci, quindi, come un’azienda può mettersi in regola per il trattamento dei dati personali.
Il primo passo è senz’altro una ricognizione dei processi aziendali che possono coinvolgere il trattamento dei dati personali: si tratta, quindi, di una revisione delle diverse attività (marketing, sviluppo, rete vendita ecc.) che possano comportare, almeno in astratto, un contatto con il pubblico idoneo a determinare l’acquisto o il trattamento dei dati personali.
Una volta fatto ciò, i titolari del trattamento dovranno altresì dotarsi di apposite documentazioni volte a certificare:
- La definizione dei moduli relativi al consenso e all’informativa della privacy;
- Registri relativi ai trattamenti effettuati, in relazione anche alle diverse finalità;
- Registri relativi alle misure di sicurezza attuate e alla nomina di eventuali responsabili, procedure interne e quant’altro sia rivolto all’attuazione delle norme sulla privacy.
Tutto ciò può tradursi, nella pratica, nella necessità di rivedere le informative privacy già adottate dall’azienda, inserendo al loro interno i nuovi dati obbligatori (come l’indicazione dei diritti alla rettifica, alla cancellazione e all’oblio); di formare il personale interessato alle nuove procedure e protocolli da adottare; di istituire apposite procedure interne, anche di tipo informatico, per la raccolta e la messa in sicurezza dei dati personali dei clienti, distinguendoli per finalità, tipologia di trattamento, categoria, e così via.
Da ciò si deduce anche come sia necessaria, quindi, una struttura estremamente ricca di ordine e organizzazione in una PMI.
Dal momento che, in concreto, gli adempimenti per le aziende (soprattutto per quelle di minori dimensioni) possono essere anche molto complicati, è possibile approfittare di guide predisposte dalla Commissione Europea o dal Garante Privacy, che offrono panoramiche dettagliate delle principali attività da compiere per l’applicazione del GDPR.