Ne parliamo con l’Avv. Marco Grotto, dello Studio Legale Furin Grotto di Vicenza, esperto in materia.
D. Cos’è il GDPR e quando entrerà in vigore?
R. Il prossimo 25 maggio 2018 diventerà direttamente efficace il Regolamento UE n. 2016/679 in materia di trattamento dei dati personali (altrimenti noto con l’acronimo GDPR – General Data Protection Regulation)
Le previsioni contenute in tale regolamento saranno direttamente applicabili in tutti gli stati dell’Unione, sicché – almeno negli intenti del legislatore europeo – chi svolge attività transfrontaliere all’interno dell’Unione non avrà più la necessità di confrontarsi con le diverse discipline nazionali – le quali, per effetto dell’entrata in vigore del Regolamento, saranno tutte uguali – ed i cittadini europei potranno godere di un livello uniforme di tutela. Allo stesso modo, tutti coloro che tratteranno dati all’interno dell’Unione, a prescindere dalla “nazionalità extra-UE”, saranno tenuti al rispetto delle regole europee, Facebook e Google compresi.
Tuttavia non è detto che l’obiettivo di uniformità sarà certamente raggiuto. Infatti, nulla impedisce che gli stati “sovrappongano” a quella comunitaria una normativa domestica più restrittiva ed anzi il Governo italiano ha già approvato uno schema di decreto legislativo in questa materia.
D. Quali sono le principali novità del GDPR?
R. Va innanzi tutto premesso che il GDPR interviene in un settore che già da molto tempo conosce regole e discipline sia comunitarie sia nazionali (per l’Italia, si vedano la L. n. 675/1996 ed il D. Lgs. n. 196/2003, quest’ultimo formalmente ancora in vigore).
Le previsioni più importanti del GDPR attengono all’obbligo di censire le attività che comportino un trattamento dei dati personali e di redigere, conseguentemente, il registro delle attività (nell’ambito di tale contesto particolare attenzione andrà posta ai casi in cui la società, oltre ad un sito internet, gestisca anche una piattaforma di e-commerce); nella necessità di operare – per esempio quando venga fatta un’attività di profilazione – una valutazione di impatto (che consiste in una descrizione dei trattamenti previsti; nella valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità per cui il trattamento viene svolto; nella valutazione dei rischi per i diritti e le libertà degli interessati e nell’individuazione delle misure per affrontare i rischi connessi al trattamento dei dati personali) e nell’implementazione di procedure di c.d. data breach: chi tratta dati personali deve essere in grado di accorgersi tempestivamente di eventuali accessi abusivi ai propri sistemi informatici (ad oggi non sono rari i casi in cui l’attaccato non si accorge o si accorge solo a distanza di tempo di aver subito un attacco) e deve gestire in modo prefissato la fase dell’emergenza.
Più in generale, il Regolamento è ispirato ad una logica di responsabilizzazione di chi tratta dati personali e di più consapevole gestione del rischio (accountability).
D. Menzionando il GDPR, si parla spesso anche di privacy by design. Che cosa significa?
R. Questa è un’altra grande novità del Regolamento europeo. Il punto di partenza del legislatore europeo è che oramai, nel mondo delle IoT (Internet of things), l’elenco degli oggetti il cui uso comporta un trattamento di dati personali (anche sensibili) è sterminato: smartphone, smart-tv, navigatori satellitari, RFID, sistemi di videosorveglianza accessibili da remoto, dispositivi medici che inviano automaticamente agli ospedali i dati del paziente… Quel che l’Europa vuole è che le questioni attinenti al trattamento dei dati personali siano prese in considerazione fin dalla progettazione di un bene o di un processo: la protezione dei dati personali diventa quindi una cosa seria, da considerare fin dall’ideazione del processo produttivo o organizzativo.
D. Quali sono i consigli operativi per le aziende?
R. Innanzi tutto c’è da dire che le aziende che hanno redatto e tenuto aggiornato il c.d. DPS (Documento Programmatico per la Sicurezza) si troveranno certamente avvantaggiate. Infatti, nel 2012 è stato eliminato l’obbligo di redigere tale documento, ma gli obblighi di trattare i dati personali in maniera sicura e coerente con il progresso tecnologico è rimasto tale e quale.
Ciò detto, al fine di rispettare la normativa comunitaria ogni azienda dovrà, quanto meno, mappare i ruoli e le funzioni del personale che si occupa di gestire il trattamento dei dati per comprendere quale sia la sua condizione di partenza (c.d. as is analysis); programmare le iniziative – sia organizzative, sia in termini di investimento hardware e software – che è necessario assumere per raggiungere la compliance normativa (c.d. gap analysis); prendere in considerazione l’opportunità di dotarsi, su base volontaria, di un DPO – Data Protection Officer; formalizzare gli incarichi con i fornitori esterni di servizi (uno per tutti, il fornitore di servizi in cloud) e valutare se stipulare una copertura assicurativa a copertura dei danni potenzialmente derivanti da un illecito trattamento. I più virtuosi potranno poi cimentarsi nell’ottenimento di apposite certificazioni, così come suggerito dallo stesso Regolamento.
In ogni caso, la scelta di un consulente preparato è certamente un ottimo inizio.