Garante e GDPR: i punti caldi per le imprese

Il Provvedimento

Come noto in sede di Deliberazione del 16 febbraio scorso, il Garante per la protezione dei dati personali ha avuto occasione di pianificare in maniera puntuale l’attività ispettiva per il primo semestre 2017, definendo nello specifico i settori di intervento prioritari, sia per quanto attiene l’iniziativa dello stesso Garante, in coordinamento con la Guardia di Finanza, sia nelle ipotesi di impulso da parte di soggetti interessati.

In particolare, i punti su si sta già impegnando riguardano:

• i trattamenti di dati personali effettuati da soggetti di carattere pubblico, quali i Consolati Italiani, l’ISTAT, il Sistema Pubblico di Identità Digitale (SPID) (Punto 1, lettera a);
• i trattamenti effettuati da soggetti privati nell’ambito del recupero crediti e del telemarketing, con focus, per questa seconda ipotesi, sulla delocalizzazione in territorio albanese (Punto 1, lettera a);
• gli ambiti più generali ed ampi, quali il rispetto delle misure di sicurezza da parte di soggetti pubblici e privati e la corretta applicazione della normativa di settore, specie in tema di raccolta del consenso, informativa e conservazione dei dati personali (Punto 1, lettere b e c).

Le novità del GDPR

Con l’appuntamento di maggio 2018 ormai alle porte, quando entrerà a pieno regime il nuovo Regolamento europeo sulla data protection (GDPR), è opportuno ed utile iniziare a muoversi in una prospettiva transitoria. Per questo, può risultare di sicuro interesse un esame delle misure ispettive precedentemente descritte svolto sotto la lente d’ingrandimento dei contenuti della nuova normativa.

Guardando al Regolamento e ai principi che hanno ispirato il legislatore europeo, non può sfuggire il marcato accento posto sulla questione della sempre crescente accountability richiesta ai soggetti che pongono in essere il trattamento dei dati. Maggiore responsabilità che passa attraverso maggiori adempimenti a cui vincolare la propria attività, ma anche, conseguentemente, maggiori margini di intervento per i soggetti preposti alle attività di vigilanza e controllo.

A ciò si somma la prospettiva che vede gli istituti previsti dalla GDPR andare nella direzione di un crescente dialogo e scambio di informazioni tra le parti in gioco, coloro che effettuano i trattamenti e le Autorità Garanti.

Uno degli esempi più interessanti, oltre che uno degli gli strumenti più innovativi del Regolamento, è quello del Privacy Impact Assessment, ovvero la Valutazione d’impatto sulla protezione dei dati – prevista dagli articoli 35 e 36 della GDPR e obbligatoria nei casi che previsti dall’Autorità nazionale in apposito elenco – da effettuare preliminarmente, prendendo in considerazione le modalità, finalità e contesto in cui si esplica il trattamento e mettendoli in relazione ai possibili rischi. Ai sensi dell’art. 35, la valutazione è richiesta:

• in caso di trattamenti automatizzati, compresa la profilazione;
• in caso di il trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali;
• in caso di sorveglianza sistematica su larga scala di zone accessibili al pubblico

Qualora i rischi in questione non siano attenuabili attraverso la tecnologia a disposizione o siano eccessivamente alti i costi di attuazione, spetta ai titolari del trattamento consultare l’Autorità di controllo, affinché questo si esprima e dia un parere circa le corrette modalità di esecuzione.

Altra novità rilevante introdotta dalla GDPR è sicuramente quella dell’estensione, a tutti i titolari del trattamento, dell’obbligo di comunicazione di un’eventuale violazione dei dati personali. Ciò significa che il titolare che venga a conoscenza di una violazione dei dati personali da lui trattati, deve effettuare tempestiva notificazione – “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza” – nei confronti del Garante. La comunicazione deve contenere alcuni dati essenziali circa l’avvenuto data breach, tra cui:

• natura della violazione dei dati personali compresi;
• dati di contatto del responsabile;
• descrizione delle conseguenze della violazione dei dati personali;
• le misure adottate o si prospetta l’adozione da parte del titolare per porre rimedio alla violazione dei dati personali e per attenuarne le conseguenze negative

Come detto, si tratta di un’estensione, in quanto, ad oggi, la normativa nazionale prevede l’obbligo di comunicazione di eventi lesivi della sicurezza dei dati solo in specifici casi, riguardanti società telefoniche ed internet providers, amministrazioni pubbliche, dati in relazione all’ambio della biometria e del dossier sanitario elettronico.

Ancora poi, di estrema importanza risulta la figura del DPO, Data Protection Officer, o, per dirla all’italiana, RPD – Responsabile della Protezione dei Dati. Secondo quanto sancito dall’art. 37 del Regolamento, il DPO sarà obbligatorio in determinati contesti:

• il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
• in base alle caratteristiche del trattamento, è richiesto il monitoraggio regolare e sistematico di interessati su larga scala;
• il trattamento dei dati ha ad oggetto particolari categorie di dati personali o di dati relativi a condanne penali

Il DPO dovrà sovrintendere a tutto ciò che riguarda il trattamento dei dati, svolgendo sia attività di consulenza che di supervisione circa il rispetto delle linee tracciate dalla nuova normativa europea. Inoltre, il DPO fungerà da anello di congiunzione tra azienda e soggetti interessati dal trattamento, oltre che cooperare e raccordarsi col Garante per la protezione dei dati personali.

L’art. 30 del Regolamento inserisce ulteriori, importanti tasselli a quella che è la fase di controllo: si aggiungono infatti anche quelli dei Registri delle attività di trattamento, previsti sia in relazione al titolare che al responsabile. Queste “scatole nere” di tutto ciò che riguarda il trattamento dei dati, dovranno essere messe a disposizione, ove ne venga fatta richiesta, dell’Autorità numerose informazioni relative al trattamento medesimo, quali:

• i dati di contatto del titolare del trattamento, del contitolare del trattamento, ove previsto, del rappresentante del titolare del trattamento e del DPO;
• le finalità del trattamento;
• le categorie di interessati e di dati personali;
• i destinatari della comunicazione dei dati personali;
• i termini di cancellazione dei dati;
• una descrizione circa le misure di sicurezza;
• nel caso del registro del responsabile del trattamento, le indicazioni relative ai trattamenti effettuati per conto di ogni titolare del trattamento.

A corroborare, infine, il sistema delineato dal Regolamento UE 2016/679 interviene un apparato sanzionatorio potenziato, soprattutto dal lato delle sanzioni amministrative pecuniarie: per queste, infatti, si prevedono soglie molto alte, con possibilità di quantificazioni fino a 20 milioni di Euro o fino al 4% del fatturato globale mondiale annuo di gruppo.

Cui prodest?

La generale panoramica effettuata sulle disposizioni della GDPR rappresenta un complesso di soluzioni dal sicuro potenziale, se guardato dal punto di vista degli organi deputati alle operazioni di verifica. Il Garante, nelle sue attività ispettive, potrà contare su un apparato strumentale di non poco conto – Valutazione preliminare dell’impatto privacy, Registri del trattamento, notifica del “data breach” –, oltre che ad una figura di grande rilievo come quella del DPO. Una netta virata nell’ottica della trasparenza, attraverso un sistema informativo più ampio e, in linea di principio, sempre accessibile da parte dell’Autorità.

Dal punto di vista delle imprese, invece, il recepimento della normativa europea di armonizzazione comporterà senza dubbio oneri, anche economici, aggiuntivi rispetto alla situazione attuale, ma anche possibilità di gestione più strutturate e, soprattutto, una maggiore e più tempestiva capacità di risposta di fronte a eventuali situazioni di criticità.