L’avvocato Simona Gallo, partner di Jenny.Avvocati, mette a fuoco i punti salienti della normativa e gli aspetti cruciali che le aziende dovranno rispettare.
L’applicazione del GDPR a partire dal 25 maggio porta con sé numerosi cambiamenti che richiedono un adeguamento da parte di tutte le aziende. Nonostante molti dei suoi precetti giuridici di fatto confermino i contenuti della precedente Direttiva europea, così come interpretati dai Garanti europei e applicati dalla giurisprudenza sviluppatasi negli anni scorsi, nondimeno il GDPR rivoluziona l’approccio alla privacy.
Il processo di adeguamento delle aziende al GDPR è passato infatti da un audit interno – più o meno articolato a seconda delle dimensioni dell’azienda e dei trattamenti di dati svolti – e dalla analisi di eventuali gap dei processi aziendali pre-GDPR rispetto ai nuovi requisiti da soddisfare. Analogamente, l’autovalutazione da parte dei titolari dei trattamenti di dati svolti si è imposto come principio cardine del GDPR.
L’autovalutazione delle proprie attività e dell’impatto che i trattamenti dei dati ad esse inerenti possa avere in termini di rischio per le libertà dei soggetti interessati porta con sé dei vantaggi. Si pensi alle semplificazioni di carattere formale, date ad esempio dal venir meno della notificazione preventiva alle autorità sempre obbligatoria per alcuni trattamenti (ad es. profilazione o geolocalizzazione). Ma, soprattutto, consente quei trattamenti dei dati necessari al perseguimento di un legittimo interesse del titolare del trattamento o di terzi “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”, tale essendo una delle 6 basi giuridiche per i trattamenti leciti dei dati personali, senza necessità di alcuna preventiva approvazione da parte delle autorità di controllo (come invece avveniva sotto la vigenza del Codice Privacy).
L’autovalutazione è poi anche il primo step per l’applicazione del principio di privacy by design, che impone al titolare del trattamento “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso” di (progettare e) mettere in atto misure tecniche ed organizzative adeguate volte ad attuare in modo efficace i principi sanciti dal GDPR, e a rendere il trattamento conforme al GDPR.
Il principio non è di per sé una novità, essendo stato formalmente riconosciuto sin dal 2010, in occasione della 32ma Conferenza mondiale dei Garanti della privacy, dove venne adottata (anche dal Garante italiano) la Resolution on Privacy by design, fatta propria dal GDPR. Secondo la risoluzione del 2010, la Privacy by design si deve applicare ai sistemi IT, alla progettazione delle infrastrutture di rete, e alle pratiche commerciali corrette, e si fonda su alcuni principi cardine:
Proattivo non reattivo – prevenire non correggere
Privacy incorporata nella progettazione: la privacy va considerata come fattore per tutta la vita di un progetto.
Massima funzionalità − Valore positivo, non valore zero: nessun obiettivo prevale sugli altri
Sicurezza fino alla fine − Piena protezione del ciclo vitale
Visibilità e trasparenza − Mantenere la trasparenza.
Rispetto per la privacy dell’utente − Centralità dell’utente.
Privacy by default
Il GDPR ha espressamente fatto proprio anche il principio di privacy by default, imponendo ai titolari di trattare, per impostazione predefinita, solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Viene quindi richiesto di mettere in atto tutte le misure tecniche e organizzative atte a raggiungere tale scopo con riguardo alla quantità, alla portata del trattamento, al periodo di conservazione e all’accessibilità dei dati personali raccolti.
Questo significa che qualunque nuovo progetto o cambiamento, sia esso interno, e relativo a infrastrutture informatiche o strutture e processi organizzativi, sia esso rivolto verso l’esterno (in primis, attività di marketing digitale) non potrà prescindere dalla valutazione dell’impatto che esso può avere sugli interessati (dai dipendenti aziendali ai potenziali clienti).
Senza dimenticare che, in ossequio al principio dell’accountability, dovranno essere documentati gli obiettivi perseguiti con il progetto/cambiamento, le analisi svolte per effettuare le opportune scelte, e le relative implementazioni.
Questi obblighi, che ricordiamo il GDPR impone al titolare del trattamento, influenzano – ampliandolo – necessariamente anche il ruolo e i compiti dei consulenti e delle aziende che realizzano le infrastrutture informatiche.
Le aziende dovranno infatti essere rese consapevoli e poste in grado di poter documentare le modalità di trattamento dei dati ed i relativi processi informatici (dai backup alle procedure di cancellazione), e non potranno che contare sul supporto dei propri consulenti o fornitori, per essere informati e predisporre la documentazione di supporto.
Il fornitore che gestisca i sistemi informatici del cliente riveste poi un ruolo centrale anche in caso di violazione dei dati personali (cd. data breach). Stante l’obbligo del cliente/titolare di notificare all’autorità Garante un’eventuale violazione dei dati entro 72 ore dalla relativa scoperta, è essenziale che il fornitore, che con ogni probabilità è il primo a scoprire il data breach, agisca con prontezza ed efficienza, possibilmente nell’ambito di una procedura concordata con il cliente. Si evidenzia fra l’altro che il GDPR impone al responsabile del trattamento – ruolo rivestito dal fornitore che tratti i dati per conto del cliente/titolare – l’obbligo di informare il titolare “senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”.
È pertanto opportuno che le parti condividano una procedura di data breach che indichi come procedere e chi sono i responsabili, per poter informare tempestivamente il Garante sull’evento, ma altresì – come imposto dall’art. 33 del GDPR – sulle possibili conseguenze e sulle misure già adottate o previste per porre rimedio al data breach.
Non solo. Il cliente/titolare è anche tenuto a documentare il data breach, “comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.” Anche sotto questo profilo, il consulente, e ancor più il fornitore/responsabile del trattamento, fornirà un supporto-chiave.
A ciò si aggiunge l’aspetto, ben più rilevante in termini di rischio per il consulente/fornitore coinvolto nella realizzazione di infrastrutture informatiche, insito in eventuali obblighi contrattuali di realizzarle in maniera “conforme alla normativa”. In tal caso egli sarebbe chiamato a considerare non solo gli aspetti di sicurezza dei dati, ma altresì a progettarle nel rispetto dei precetti più squisitamente giuridici.
Si ricorda che le misure volte a tutelare la sicurezza dei dati vanno valutate caso per caso tenendo conto sia dello stato dell’arte, che del rischio derivante trattamenti effettuati (l’art. 32 del GDPR indica, fra le altre, la pseudonimizzazione e cifratura dei dati). Ma i princìpi cardine (in primis, la minimizzazione del trattamento) andranno sempre rispettati, e tenuti in debito conto anche dal fornitore in fase di progettazione.
Qualora poi il consulente/fornitore di servizi informatici si trovi a trattare dati per conto del cliente, egli dovrà essere nominato responsabile del trattamento, e come tale soggetto agli obblighi imposti dall’art. 28 del GDPR:
tenuta di un registro dei trattamenti dei dati: tale registro deve contenere i dati di contatto del responsabile, del suo DPO ove nominato, e del titolare per cui effettua il trattamento, e le informazioni relative ai trattamenti effettuati (finalità, categorie di dati e di interessati, destinatari dei dati). L’obbligo di tenere il registro è previsto per le imprese con più di 250 dipendenti oppure in casi particolari, ma il Garante privacy ha già consigliato a tutte le imprese di tenerlo, in quanto utile per verificare i trattamenti svolti e come prova in caso di verifica da parte delle autorità;
nomina del cd. DPO (data protection officer, o responsabile per la protezione dei dati). Si tratta di una figura che si occupa di vigilare sul rispetto delle norme sulla privacy, di mantenere i rapporti fra la società ed il Garante di prestare consulenza se necessario.