Privacy: il nuovo GDPR

di Andrea Merati, Consulente sistemi di gestione aziendali

Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo generale sulla protezione dei dati, denominato GDPR: General Data Protection Regulation (2016/679). Sarà applicato a tutti i tipi di organizzazione che offra servizi o prodotti a persone che si trovino nel territorio dell’Unione Europea.

Non ci saranno proroghe, la scadenza infatti è tassativa, perché trattandosi di un Regolamento dell’Unione Europea, il nuovo testo e le sanzioni da esso previste, saranno direttamente applicabili dal 25 maggio 2018 senza alcuna necessità di recepimento, o altro atto formale, da parte dello Stato italiano.

Questa normativa obbliga le organizzazioni ad assumersi maggiori responsabilità rispetto al trattamento dei dati personali raccolti e conservati per qualsiasi finalità.

Mettendo da parte l’atteggiamento destabilizzante e terroristico che piace molto all’uomo moderno e connesso, volto alla lettura delle conseguenze, prima di preoccuparsi dei presupposti (sanzioni sino al 4% del fatturato globale, ispezioni della Guardia di Finanza…), il cambiamento per gli studi professionali può essere costoso, sia in termini di tempo speso per le attività di adeguamento, sia per l’eventuale esborso economico in caso di affidamento delle attività a risorse esterne.

Per questo motivo il presente intervento, e quelli che seguiranno, saranno volti alla massima semplificazione, nonché alla raccolta di buone prassi e indicazioni che raccoglieremo sia dai professionisti della materia, sia dalle analisi che scaturiranno durante i percorsi di formazione che sono in svolgimento presso ANCL Milano: già il prossimo mese proporremo domande e risposte proprio a partire dai quesiti nati durante gli incontri di febbraio e marzo.

Nostro scopo primario è rendere autonomi gli studi e semplificarne il processo di adeguamento. Passiamo quindi a esaminare principi giuridici e a presentare qualche considerazione.

Il dato personale

È qualunque informazione riguardante una persona fisica, identificata o identificabile tramite:

  • nome e cognome;

  • numero o codice di identificazione;

  • dati relativi all’ubicazione;

  • identificativo online;

  • uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (GDPR Art. 4 n. 1).

Il dato personale può essere inserito in tre aree:

  1. Dati comuni. Sono quelli che non afferiscono alle altre due tipologie, essenzialmente si tratta delle informazioni generiche di identificazione della persona (nome, cognome, indirizzo, numero di telefono, e-mail…)

  2. Dati particolari. Rientrano in quest’area: i dati che rivelino l’origine etnica, l’orientamento politico, l’appartenenza sindacale, il credo religioso o filosofico; i dati genetici; i dati biometrici che permettano l’identificazione; i dati relativi alla salute o alla sessualità (GDPR Art. 9).

  3. Dati relativi a condanne penali o reati (GDPR Art. 10).

Il trattamento dei dati personali

È qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (GDPR Art. 4 n. 2).

I ruoli principali coinvolti

Il titolare. È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (GDPR ART 4 n. 7).

Il responsabile. La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (GDPR ART 4 n. 8).

L’autorizzato. Le persone autorizzate a compiere operazioni di trattamento sotto l’autorità diretta del titolare o del responsabile.

Il DPO (Data Protection Officer). Il titolare del trattamento e il responsabile del trattamento designano un Responsabile della Protezione dei Dati (o RDP, traduzione italiana di DPO) ogniqualvolta (vedi fig. 1):

  • il trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico;

  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art. 10.

Nuovi oneri e adempimenti per titolare e responsabile

Con modalità di valutazione del rischio e accountability (cioè mettere in atto – nonché riesaminare e aggiornare – adeguate misure tecniche e organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina – art. 24), sarà necessario:

  1. Tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30);

  2. Formare e istruire i soggetti autorizzati al trattamento dei dati (art. 29);

  3. Adottare misure tecniche e organizzative appropriate a garantire un livello di sicurezza adeguato al rischio, tenendo conto di probabilità e gravità per i diritti e le libertà delle persone fisiche (art. 32);

  4. Notificare tempestivamente l’eventuale perdita o furto dei dati (Data Breach) all’Autorità garante e all’interessato (art. 33 e 34);

  5. Adeguare tutti i documenti (informative, consensi e nomine) al Regolamento.

Conclusioni (per ora)

Per quanto riguarda i dati non personali non ci saranno sostanziali cambiamenti, il precedente D.lgs. n. 196/2003 rimarrà in vigore o, comunque, sarà armonizzato al Regolamento Europeo. Per i dati personali, invece, si prospetta un periodo di adeguamento che, per gli studi professionali, significherà principalmente tornare a identificare i processi e gli incarichi che riguardano:

  1. Le attività di trattamento interne, per i propri dipendenti;

  2. Le modalità e i ruoli che sottendono all’attività con i clienti, rispetto ai dati raccolti dalle aziende e trasferiti agli studi per adempimenti di legge o contrattuali.

In seguito sarà necessario:

  • descrivere il processo di valutazione del rischio rispetto a tali trattamenti posti in essere;

  • rivedere la propria documentazione informativa e di consenso;

  • creare i registri dei trattamenti;

  • nominare un DPO (solo se necessario – vedi fig. 1)

  • formare i dipendenti autorizzati al trattamento;

  • mantenere tutto aggiornato nel tempo (per l’art. 24 è necessario dimostrare una continua attività di valutazione e attuazione perché gli adempimenti siano dirimenti).

Nei prossimi interventi entreremo negli aspetti operativi che sottendono al GDPR, sia rispetto alla documentazione sia in ordine all’organizzazione che gli studi dovranno assumere per sottostare al Regolamento.