Regolamento Europeo Privacy: raggiunto l’accordo
La versione integrale dell’articolato commento di Alessandro Cecchetti ospitato sul n. IV – MMXV de ‘Il Documento Digitale’.
In merito alla proposta di Regolamento generale sulla protezione dei dati presentato dalla Commissione Europea il 12 gennaio 2012, il Garante della privacy italiano ha pubblicato il 24 novembre 2015 una tabella sinottica per evidenziare le differenze con gli emendamenti del parlamento Europeo del 12 marzo 2014 e quelli del Consiglio Europeo del 15 giugno 2015.
Sulla stessa pagina web il 18 dicembre 2015 è stato inserito l’aggiornamento inerente il raggiunto accordo sul testo del Regolamento e della Direttiva che sarà formalizzato nei primi mesi del 2016 dal Consiglio e dal Parlamento UE e culminerà con la pubblicazione nella Gazzetta Ufficiale UE. Il pacchetto protezione dati sarà in vigore dalla primavera del 2018.
Dopo quasi 4 anni, è, dunque, arrivato alla conclusione il faticoso iter legislativo, iniziato lo scorso 25 Gennaio 2012. Il c.d. “Trilogo” ha finalmente trovato l’accordo per il nuovo Regolamento europeo sulla protezione dei dati, che introdurrà un’unica legislazione in tutta l’Unione Europea, ed in Italia prenderà il posto dell’attuale Codice Privacy (D.lgs. n. 196 del 2003 e s.m.i.) riformando così le modalità di tutela dei dati personali ed apportando importanti novità.
Le ragioni che fondano la riforma
In primis il valore riconosciuto al dato personale ed alle informazioni in generale, ormai veri e propri asset aziendali, che necessitano di una considerazione costante e centrale all’interno dei processi. Anche l’OCSE, lo scorso ottobre, ha adottato una Raccomandazione chiedendo ai vertici aziendali ed ai governi di vagliare misure utili a prevenire i rischi di perdite di dati. Va da sé che, per approntare le dovute garanzie, si debba inevitabilmente passare anche dagli strumenti normativi che regolano, appunto, il trattamento dei dati. È poi indubbio come la normativa attualmente in vigore in Europa, ossia la Direttiva 95/46/CE ed i relativi strumenti nazionali di recepimento, tra i quali rientra l’attuale Codice Privacy italiano, appaiono anacronistici, e non più al passo con l’evoluzione tecnologica che caratterizza l’economia del nostro tempo. Parliamo di big data, cloud, droni, Internet of Things, wearable technology, comunque di nuove modalità di acquisizione di dati personali che devono essere attentamente analizzate e risolte in modo da bilanciare i diritti degli interessati con le esigenze di sviluppo del mercato, in un’ottica di pianificazione e di trasparenza. Tutto questo, associato alle diverse peculiarità proprie delle normative degli Stati membri dovute al recepimento della Direttiva che ha reso fino ad oggi frammentaria l’applicazione della normativa in materia, rappresenta solo uno degli aspetti fondanti l’esponenziale aspettativa che si sta creando attorno al testo del Regolamento Europeo.
Sintomatico è lo strumento normativo scelto. L’art. 288 TFUE ne evidenzia, quali caratteristiche del regolamento, la portata generale, l’obbligatorietà e la diretta applicabilità. Il Regolamento sulla Data Protection pertanto sarà rivolto a tutti gli Stati membri, che saranno vincolati a tutti gli elementi in esso contenuti, e ciò senza atti di ricezione nazionali che ne possano compromettere la simultanea ed uniforme applicazione, altresì riducendo le lungaggini di un adeguamento delle singole normative nazionali. In pratica, a partire dalla sua entrata in vigore, il nuovo testo esplicherà la pienezza dei nuovi obblighi in modo uniforme in tutti gli Stati, risultando di per sé idoneo a far sorgere situazioni soggettive da far valere nei confronti degli Stati, delle Istituzioni e delle persone fisiche e giuridiche. Un’armonizzazione che migliorerà la tutela dei diritti fondamentali degli interessati, in un’ottica di certezza e di trasparenza, contribuendo a potenziare l’andamento del mercato europeo.
Veniamo alle novità introdotte
Centrale è il principio dell’accountability, che sta alla base degli obblighi sanciti dal Regolamento e che può essere tradotto come responsabilità del titolare e prova della sua responsabilità. Sostanzialmente, spetterà al medesimo titolare del trattamento dover dimostrare di aver implementato un “MOG Privacy” che risponda puntualmente a quanto imposto dalla nuova normativa, tenuto conto del settore di mercato dove opera, e delle peculiarità della propria organizzazione. Una componente, questa, da tenere ben presente nella conversione capillare delle attuali modifiche nel contesto aziendale.
Caratterizzerà l’attività degli operatori del mercato unico anche il concetto di privacy by design, il quale suggerisce una modalità di intervento consistente nella adozione di assetti informatici e strumenti tecnologici funzionali al business intrapreso, che fin dalla loro prima realizzazione, ossia dalla progettazione, dovranno essere conformi ai principi ed alle norme individuate nel Regolamento, evitando – o quantomeno riducendo sensibilmente – compressioni pericolose dei diritti riconosciuti all’interessato cui i dati personali afferiscono, nonché eventuali perdite o accessi abusivi a contenuti riservati che dovranno essere prontamente comunicati alle autorità preposte.
L’applicazione di tale concetto sugli strumenti utilizzati nell’attività svolta, avrà l’effetto di considerare la privacy un’impostazione di default delle aziende (ma non solo) nella conduzione della loro attività, idonea ad assicurare maggiore trasparenza ed il controllo sulle informazioni, garantendo la centralità dell’interessato cui le informazioni afferiscono e, conseguentemente, un valore tangibile per tutti gli attori coinvolti. La PbD riguarderà non solo l’attività del titolare, ma anche quella dei suoi fornitori, atteso che dovranno assicurare che gli strumenti collocati sul mercato siano conformabili alle prescrizioni del Regolamento: i risvolti (anche) contrattuali sono ovvi.
Un altro adempimento richiesto strettamente connesso ai principi di cui sopra, introdotto dall’art. 33 del Regolamento, è rappresentato dal Privacy Impact Assessment, vale a dire la valutazione dell’impatto privacy sui diritti dell’interessato con riferimento ad alcune tipologie di dati (videosorveglianza, sanitari, biometrici ecc), da effettuare sia prima di porre in essere il trattamento, sia nel caso in cui lo stesso subisca in itinere delle modifiche. Difatti, anche qualora il trattamento inizialmente valutato subisca delle variazioni, ad esempio per la qualità o la quantità dei dati trattati, oppure mutino i termini di data retention o di sicurezza, l’azienda dovrà prevedere dei processi dove gli attori coinvolti, siano essi interni oppure esterni, si attivino prontamente per ripensare gli impatti privacy prima di implementare tali cambiamenti.
Appare evidente come a cambiare sia la prospettiva con cui l’azienda debba approcciarsi con la normativa privacy: non più un mero dovere cui uniformarsi (sentito più come un “peso” cui adeguarsi da ultimo e per forza), bensì la visione si sposta in un momento antecedente, alla progettazione, mediante l’analisi preventiva dei rischi e delle soluzioni che fin dalla raccolta del dato siano in grado di tutelarlo, e ciò anche nell’ottica di accompagnare strategicamente le scelte sul business, e fermo restando il principio dell’accountability, che comporta l’obbligo del titolare di dimostrare che i processi decisi sono idonei a garantire un’analisi del trattamento così dettagliata.
La figura del DPO
Molto chiacchierata è la figura del Data Protection Officer, anche se non si tratta di una completa novità nel panorama giuridico europeo, essendo stata in realtà prevista fin dalla Direttiva 95/46/CE del Parlamento e del Consiglio del 24 ottobre 1995. È utile ricordare infatti, che l’articolo 18 della Direttiva prevede una semplificazione o addirittura l’esonero dall’obbligo di notificazione per gli Stati membri “qualora il responsabile (rectius il titolare) del trattamento designi, conformemente alla legislazione nazionale applicabile, un incaricato (rectius responsabile) alla protezione dei dati”. Ebbene, sul tenore di detta disposizione molti Stati membri introdussero tale figura come obbligatoria (per esempio la Germania, la Grecia, l’Ungheria), altri, invece, ne resero la designazione meramente facoltativa (è il caso della Francia). Disciplinato dagli artt. 35, 36 e 37 del testo, la nomina del DPO sarà obbligatoria per le autorità e gli enti pubblici (ad eccezione dei tribunali), per quei titolari che effettuano trattamenti che, in virtù della loro natura o della finalità perseguita, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, oppure tale monitoraggio riguardi dati sensibili o sia relativo a condanne penali. Per i gruppi di imprese, potrà essere nominato un unico DPO, ma a condizione che sia facilmente raggiungibile da parte di ciascun stabilimento. 
Potrà essere sia interno che esterno all’azienda, e sarà una figura da coinvolgere tempestivamente su tutte le tematiche che riguardano la protezione dei dati personali, così che fornisca suggerimenti utili a garantire la puntuale attuazione della normativa rispetto alle attività che impattano sui trattamenti. Oltre a tali attività, altri compiti attribuiti a tale figura sono quelli di informare il titolare o il responsabile circa gli obblighi imposti dal Regolamento, controllare circa il rispetto della normativa all’interno dell’azienda fornendo consulenza per i PIA, e sarà lo snodo primario nei rapporti tra l’azienda e l’Autorità nazionale, anche per quanto riguarda le comunicazioni dei data breach, ora resi obbligatori per tutti i trattamenti. Di particolare rilevanza è anche il meccanismo del c.d. one-stop-shop di interesse anche per il DPO, che permetterà ad un titolare presente in più Stati membri di rivolgere le proprie richiesta solo all’Autorità di Ambito presente nello Stato dove ha il proprio stabilimento principale, accorciando i tempi e riducendo la dispersione attualmente in essere e che penalizza l’operare delle multinazionali.
In pratica il DPO deve avere sia competenze legali che informatiche, tali da poter gestire tutti gli aspetti funzionali all’attuazione ed al controllo sull’attuazione e sull’applicazione delle politiche inerenti la protezione dei dati personali. Risulta quindi imprescindibile per il DPO conoscere i processi aziendali ed il settore di mercato dove la Società opera, la quale dovrà dotarlo dei giusti strumenti, anche economici, utili a svolgere le attività ad esso demandate. Pertanto, la formalizzazione della sua designazione, con l’indicazione analitica dei compiti demandati, delle facoltà concesse e dei relativi limiti, è un atto primario fondamentale. C’è inoltre da precisare che detta figura dovrà essere considerata anche nei MOG 231 per la prevenzione dei reati informatici, fermo restando l’autonoma attività di audit riservata al DPO.
Il trasferimento di dati all’estero
Si ricorda inoltre che il Regolamento affronta anche la delicata materia del trasferimento di dati all’estero. L’articolo 41 stabilisce, sulla base dell’articolo 25 della direttiva 95/46/CE, i criteri, le condizioni e le procedure per l’adozione di una decisione di adeguatezza della Commissione. I criteri di cui deve tener conto la Commissione per valutare se il livello di protezione è o meno adeguato includono espressamente lo stato di diritto, il ricorso giudiziario e un controllo indipendente. L’articolo conferma ora esplicitamente che la Commissione può valutare il livello di protezione offerto da un territorio o settore di trattamento all’interno di un paese terzo e dunque legittimarvi il trasferimento del dato personale. Anche il Regolamento, come la Direttiva, prevede che, in mancanza di una decisione di 
adeguatezza della Commissione, i trasferimenti a paesi terzi siano subordinati ad adeguate garanzie, in particolare clausole tipo di protezione dei dati, norme vincolanti d’impresa (Binding Corporate Rules) – in passato non menzionate dalla Direttiva – e clausole contrattuali. Le clausole standard potranno essere ora adottate anche da un’autorità di controllo ed essere dichiarate generalmente valide dalla Commissione. L’opzione delle clausole contrattuali offre una certa flessibilità al titolare o al responsabile del trattamento, ma è subordinata all’autorizzazione preventiva delle autorità di controllo.
Ancora, l’articolo 44 precisa e chiarisce le deroghe per il trasferimento di dati, partendo dalle attuali disposizioni dell’articolo 26 della direttiva 95/46/CE. Inoltre, una trasmissione di dati può, in circostanze limitate, essere giustificata dall’interesse legittimo del titolare del trattamento o del responsabile, ma solo dopo che siano state valutate e documentate le circostanze del trasferimento.
Un intervento importante attiene al rafforzamento del “diritto all’oblio” in favore dell’interessato, cui è riconosciuta la possibilità di ottenere dal titolare del trattamento per motivi legittimi la cancellazione dei dati che lo riguardano, in un’ottica di bilanciamento rispetto al principio della libertà di espressione e della ricerca scientifica, e che il Regolamento cerca di rendere più concreto e diffuso imponendo degli obblighi al medesimo titolare che dovrà attivarsi anche nei confronti dei responsabili coinvolti nel trattamento.
Le sanzioni
In ultimo, il sistema sanzionatorio è stato dotato di incisività: per scongiurare eventuali comportamenti devianti rispetto alle regole vincolanti introdotte dal Regolamento, le Autorità Garanti nazionali potranno sanzionare fino al 4% del fatturato mondiale annuo della Società o del Gruppo.
Il testo definitivo sarà disponibile, a quanto annunciato nel comunicato ufficiale, dopo la votazione di Parlamento e Consiglio, a partire dalla primavera 2016, con le relative traduzioni ufficiali nelle lingua dell’Unione, posto che giuridicamente i termini pesano. Due gli anni previsti per il recepimento e l’adeguamento. Resta ora da capire come il Regolamento, una volta entrato definitivamente in vigore, potrà conciliarsi con le normative interne: si pensi alla recente riformulazione dello Statuto dei Lavoratori ed alle modifiche che l’Art. 4 ha subito a seguito del Jobs Act; piuttosto che a tutti i temi legati al cyber risk ed alla sicurezza pubblica demandati ai singoli Stati.
