Il Regolamento Europeo: gli adempimenti documentali

L’incremento delle violazioni informatiche e la percezione dei rischi nelle operazioni on-line, come del resto l’incertezza giuridica specie per le multinazionali circa il diritto applicabile, sono solo alcune delle esigenze fondanti un cambiamento epocale in materia di protezione di dati personali, ed alle quali l’ormai prossimo Regolamento Europeo in materia di Data Protection intende rispondere.

Significativo è indubbiamente il tipo di atto derivato vincolante prescelto per attuare la riforma della materia. Difatti la portata generale, l’obbligatorietà e soprattutto la diretta applicabilità, tutte caratteristiche attribuite dall’art. 288 TFUE al Regolamento, evidenziano la ferma intenzione delle Istituzioni sovranazionali a dettare in modo uniforme in tutti gli Stati membri la disciplina sul trattamento dati. Una volta stabilito il testo definitivo, la nuova normativa entrerà in vigore senza atti di recepimento statali che ne possano compromettere la simultanea ed omogenea applicazione, e l’attuale frammentazione delle normativa nazionali in materia di privacy verrà effettivamente ricondotta ad unità.

Ben presto, quindi, molte delle imprese stabilite nel territorio dell’UE o extra UE, che forniscono servizi gratuiti o a pagamento a cittadini che si trovano in Europa, dovranno confrontarsi con gli adempimenti (anche) documentali imposti dal Regolamento.

Provando a definire quelli principali, da una prima lettura è evidente che la trasparenza nei confronti dell’interessato in merito al trattamento dei dati personali che lo riguardano è fatto proprio anche dal nuovo testo di riforma, atteso che il titolare sarà ancora tenuto a rendere un’informativa privacy ed acquisire, se dovuti, i necessari consensi. L’informativa avrà probabilmente un contenuto più ampio di quello oggi noto, dettato dall’art. 13 dell’attuale Codice, posto che dovrà precisare anche quali sono i dati ulteriori ed eccedenti a quelli necessari per il raggiungimento dello scopo, nonché l’indicazione del periodo di conservazione ultroneo rispetto a quello minimo per il perseguimento delle finalità.

Inoltre i concetti di privacy by design e privacy by default disposti dal Regolamento, imporranno al titolare l’obbligo di mettere in piedi adeguate procedure, sia tecniche che organizzative, volte ad assicurare che il trattamento sia già ab initio conforme alle disposizioni del nuovo testo. Saranno pertanto indispensabili specifiche clausole contrattuali, o meglio – anche in considerazione dell’incidenza del trattamento sulla riservatezza dell’interessato o rispetto all’evoluzione informatica degli strumenti usati per effettuarlo – la sottoscrizione di SLA (Service Level Agreement) o PLA (Privacy Level Agreement) con i fornitori.

Rispetto poi a specifici trattamenti quali – a titolo meramente esemplificativo e non esaustivo – la profilazione, la geolocalizzazione, la solvibilità economica, la videosorveglianza o la biometria, il titolare dovrà compiere una preventiva valutazione di impatto (PIA – Privacy Impact Assessment) adeguatamente documentata, che contenga almeno una descrizione sommaria del trattamento, i rischi per i diritti degli interessati e le conseguenti misure di sicurezza e procedure attuate per ovviare a tali rischi, sì da dimostrare la conformità del trattamento al Regolamento.

Come si può notare a cambiare è la concezione della privacy in azienda, che passa da adempimento successivo ad analisi propedeutica. Cambiamento “incoraggiato” anche dalle sanzioni avvisate dal testo europeo.

Per di più le eventuali violazioni di dati personali (c.d. data breach) dovranno essere notificate senza ritardo (ove possibile entro 24 ore) alle autorità preposte e tale comunicazione dovrà contenere alcune specifiche informazioni utili a descrivere le circostanze della violazione stessa.

Una risposta efficace a tutti questi obblighi (si pensi anche solo al data breach o ai PIA) passa da un’organizzazione precisa e ben ponderata per le Società titolari, che dovranno strutturarsi internamente attraverso un organigramma privacy che si spieghi in atti di nomina diretti a definire in modo inequivocabile “chi fa cosa”, ma anche con accordi infragruppo per i servizi corporate, e con i già citati SLA e PLA. Delle procedure precise in tal senso sono quasi un atto dovuto anche in considerazione degli audit imposti dal Regolamento, stabiliti per garantire una valutazione costante dello stato dell’arte in materia di protezione dei dati personali.

Questi sono solo alcuni degli adempimenti documentali contenuti nel Regolamento, ricordando, in ultimo, che anche la scelta del DPO (Data Protection Officer) – figura già soggetta ad ampie interpretazioni e dibattiti – e la sua formalizzazione sarà un passaggio obbligato critico, ma fondamentale per garantire in azienda la data protection.

Articolo pubblicato su Il Corriere della Privacy – 6 Novembre 2014