Europa e data protection: Colin & Partners incontra le imprese sulle novità previste
Il nuovo Regolamento Europeo è stato argomento centrale del primo Colin Focus Day del 2016 che si è svolto a Milano il 3 febbraio. Affari legali, Compliance e Audit i principali interlocutori di questo momento di scambio, organizzato per fare il punto su una svolta normativa che potrà essere definita ‘epocale’ in tema di data protection.
L’attesa del testo definitivo, a seguito dell’ormai noto accordo del cosiddetto “Trilogo”, può divenire vantaggiosa occasione per una efficace revisione del livello di adeguatezza, in tema di tutela dei dati, rispetto alla norma in vigore. Occorre infatti rammentare che i punti di partenza della vigente normativa costituiscono il livello di adeguamento minimo che verrà integrato dalle nuove disposizioni. Considerando l’impatto che le sanzioni previste avranno – si può arrivare fino al 4% del fatturato mondiale nel suo massimo assoluto – farsi trovare impreparati potrebbe essere un costo difficile da sostenere.
La mappatura interna: punto di partenza necessario
Il workshop ha affrontato gli elementi salienti della bozza del Regolamento il quale si presenta come una chiara manovra economica che l’Europa sta attuando per agevolare la libera circolazione dei dati nell’Unione, legiferando sull’esigenza di tutela del loro valore come patrimonio informativo delle aziende.
In quest’ottica, l’Avv. Valentina Frediani, Founder di Colin & Partners, ha sottolineato la necessità di una mappatura chiara e attenta dei ruoli e dei trattamenti dati all’interno delle aziende. “Le nomine non sono un mero adempimento burocratico, devono al contrario essere tarate sulle effettive competenze e ruoli operativi svolti dalle risorse interne. Anche il flusso di dati che circolano nelle aziende, e quindi una fotografia fedele dei trattamenti effettuati, è prerequisito già oggi necessario per prepararsi alle integrazioni europee”.
Che fine faranno i Provvedimenti dell’Autorità Garante?
Di integrazioni si è parlato anche rispetto al ruolo che avranno le attuali Autorità Garanti nei singoli Paesi. Se infatti il regolamento avrà efficacia self-executing, vale a dire direttamente applicabile nel nostro ordinamento, permarrà la necessità di adattare alcune disposizioni alla situazione preesistente in Italia come nell’intera UE.
Il ruolo di questa istituzione sarà di certo reinterpretato alla luce delle nuove norme, ma difficilmente scomparirà. Vivrà un’evoluzione e gli interventi, come i noti Provvedimenti, renderanno probabilmente il testo del Regolamento più dinamico. In quest’ultimo c’è un esplicito richiamo alla partecipazione del legislatore nazionale o dell’Autorità competente in particolare su temi quali certificazioni, codici di condotta, PIA (Privacy Impact Assessment) e DPO (Data Protection Officer).
Quando si applica il Regolamento?
Passando all’analisi dei punti salienti del documento reso noto dall’Europa, il punto di partenza è il criterio di applicazione: esso è sostanzialmente territoriale. Il Regolamento si applica al trattamento effettuato da uno stabilimento nel contesto delle attività di un Controller (Titolare) o di un Processor (Responsabile) sito nel territorio UE, indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione o meno. Si applica anche nel caso in cui il trattamento sia effettuato da soggetti esterni al territorio dell’UE se l’interessato è nel territorio UE, indipendentemente dalla locazione dei Controller, qualora il trattamento riguardi servizi o beni ad esso rivolti o venga effettuato monitoraggio del comportamento, all’interno del territorio europeo. Le implicazioni per grandi operazioni di raccolta a fini marketing a livello worldwide sono evidenti.
Le definizioni: una questione di sostanza
Interessante è l’aspetto che riguarda le definizioni: nel nuovo testo è evidente come punto di partenza sia la Direttiva 95/46 CE, tuttavia, alcune importanti modifiche e nuove definizioni, devono far riflettere già ora. Ad esempio è specificato, in modo chiaro, che per dato personale s’intende anche nome, il dato sull’ubicazione (geolocalizzazione) e l’identificativo online (ad esempio il nickname di un account social). Viene inoltre meglio definito il termine trattamento, includendo esplicitamente tutte le raccolte dati e le attività di strutturazione delle informazioni ottenute (si pensi alla Business Intelligence).
Le nuove definizioni appaiono un atto dovuto anche per aggiornare la normativa a tecnologie, strumenti, tipologie di informazioni e pratiche di business più attuali. Ecco che vengono inclusi i concetti di profilazione, pseudoanonimizzazione, dato genetico, dato biometrico, dato sulla salute, stabilimento principale, rappresentante, impresa, gruppo di imprese, autorità di vigilanza interessata, trattamento dei dati transnazionale, opposizione rilevante e fondata. Interessante, dal punto di vista della ricaduta lato processi e soluzioni IT, il concetto di restrizione al trattamento.
Come sottolineato dall’Avv. Frediani: “Questo implica che l’interessato sia sempre più coinvolto nella gestione di ogni singolo dato che lo riguardi. Non si parla più, quindi, di cancellazione dei dati, ma di una selezione di ciò che è possibile trattare o meno su un singolo soggetto. Le aziende dovranno essere pronte anche a questo, adottando soluzioni adeguate”.
Contratti lungimiranti per una tutela a lungo termine
Dopo aver analizzato aspetti quali la liceità del trattamento, la durata consentita in base alle finalità perseguite e le responsabilità del Controller (titolare), Alessandro Cecchetti, General Manager in Colin & Partners, ha approfondito due concetti di cui già da tempo si discute: privacy by design e privacy by default. “Nel primo caso s’intende che il servizio che impatta la tutela del dato, erogato da un fornitore, deve essere ‘conformabile’ agli obblighi del Regolamento; nel secondo caso il servizio è contestualizzato rispetto al processo in cui si inserisce. I due concetti non sono dicotomici, possono completarsi l’uno l’altro. Servono per minimizzare il trattamento e per definire contrattualmente i rapporti tra fornitore e Controller.”.
Gli aspetti contrattuali diverranno particolarmente significativi, non domani, ma oggi. Se infatti le imprese hanno già accordi per forniture pluriennali, o stanno per definirli, sarebbe contrario al buonsenso non tenere conto delle linee generali già chiare nella bozza di Regolamento.
Si pensi, ad esempio, al DPS che riacquista dignità di strumento organizzativo per verificare i sistemi di gestione rispetto alla gestione e tutela delle informazioni aziendali, e che sarà esteso – come obbligo per imprese sopra i 250 dipendenti o al di sotto di tale quota in base a criteri di natura qualitativa e quantitativa rispetto ai trattamenti effettuati – anche a fornitori e sub fornitori. Il Controller può ricorrere solo a Processors che assicurino misure tecniche ed organizzative idonee a soddisfare il rispetto del Regolamento.
L’Avv. Valentina Frediani ha richiamato i partecipanti a considerare in quanti casi l’attenzione agli aspetti contrattuali sarà fondamentale per rispettare i dettami del Regolamento: dalla fornitura di prodotti tecnologici, ai servizi digitali, dal Cloud all’outsourcing. La maggiore attenzione rispetto ai contratti offre un punto di vista in ottica positiva: “Le clausole che i fornitori devono e dovranno rispettare rappresenteranno, chiaramente, un discrimine commerciale nella scelta del fornitore stesso. Quest’ultimo non potrà esimersi dall’essere compliant rispetto alla normativa, anche qualora operi al di fuori dei confini europei o collochi i dati in paesi extra-UE”.
Anche rispetto al PIA (Privacy Impact Assessment), sentito il DPO, il Controller deve tener conto degli impatti del trattamento sui diritti dell’interessato in un’ottica di adempimento agli obblighi del Regolamento anche relativamente all’operato dei fornitori e dei sub-fornitori.
Obbligatorio per determinate attività, il Privacy Impact Assessment, deve anch’esso essere visto come documento organizzativo che vada a disciplina in che modo sto operando rispetto ai trattamenti effettuati, le misure di sicurezza adottate (in capo a Controller e Processor si citano pseudonimizzazione, Data recovery ed esecuzione di audit di verifica sicurezza) oltre alla reattività prevista in caso di problemi.
Qualora si verifichi un Data breach vi è infatti sempre l’obbligo di notifica all’Autorità Competente, non solo in caso di furto del dato, ma anche in caso di accesso non autorizzato o copia. Solo in alcuni casi è previsto tuttavia l’obbligo di notifica all’interessato, al fine di tutelare l’immagine dell’azienda.
DPO e EDPB per concludere
Nella parte conclusiva dell’incontro l’attenzione si è concentrata su DPO e EDPB (European Data Protection Board).
Il Data Protection Officer, di cui si è discusso ampiamente negli ultimi mesi, dispone ora di un iniziale identikit che ne definisce competenze, compiti e responsabilità, oltre che i rapporti con Controller e Processor. Fatta salva la sua autonomia, confermata anche dalla previsione di un budget da esso gestito, potrà essere esterno o interno all’azienda e non necessariamente una singola risorsa. E’ opportuno tuttavia attendere il testo definitivo prima di analizzarne nel dettaglio l’impatto sull’organizzazione aziendale.
L’European Data Protection Board verrà costituito quale organo dell’Unione Europea e assorbirà, probabilmente, le funzioni del WP Art. 29. Sarà indipendente, dotato di personalità giuridica e composto dal responsabile di un’unità di controllo di ciascuno Stato membro o da un suo rappresentante e dal Garante europeo della protezione dei dati.
I temi trattati in questo primo incontro dedicato al Regolamento Europeo sono stati necessariamente numerosi e di ampio respiro. Focus su aree aziendali e contenuti specifici saranno occasione di ulteriore confronto nei prossimi Colin Focus Day, a partire da quello in programma il 2 marzo 2016.