General Data Protection Regulation (GDPR) - In breve

Il 14 aprile 2016, il Parlamento europeo ha approvato definitivamente il nuovo General Data Protection Regulation (EU GDPR). L'approvazione è giunta a conclusione dopo quattro anni di dibattito sulle disposizioni. Le riforme andranno a sostituire la direttiva sulla protezione dei dati del 1995, concepita prima che internet si diffondesse su vasta scala. 

Come qualunque documento UE, si tratta di un documento di dimensioni formidabili. Abbiamo consultato i nostri esperti di protezione di dati per tradurre queste disposizioni in un linguaggio più comprensibile. 

La domanda è: che effetto avranno le nuove disposizioni sulle imprese?

Nuove sanzioni

Il primo dato chiave del nuovo regolamento è che sono previste sanzioni elevate in caso di violazioni. Le categorie di sanzioni sono due:

Categoria 1 - Fino a EUR 10 milioni o fino al 2% del fatturato mondiale totale annuo, se superiore. 

Questa categoria di sanzione verrà applicata in caso di violazioni delle disposizioni dove, per esempio, non vi è alcun contratto scritto tra il titolare del trattamento e il responsabile del trattamento. È ora responsabilità delle organizzazioni in possesso dei dati personali e sensibili di un soggetto e titolari del trattamento accertarsi che sia in vigore un contratto scritto sintetico nel caso di cessione a un terzo (responsabile del trattamento).

Non hai un contratto? In arrivo una sanzione. 

Categoria 2 - Fino a EUR 20 milioni o fino al 4% del fatturato mondiale totale annuo, se superiore.

Questa categoria si applica per esempio laddove un'impresa non ottenga l'esplicito consenso da parte di un interessato per il trattamento di dati personali sensibili. 

Notifica obbligatoria di violazione dei dati

Si tratta di un aspetto particolarmente delicato, soprattutto per le organizzazioni di grandi dimensioni. Secondo le disposizioni il titolare del trattamento è tenuto a dare notifica al Garante per la protezione dei dati personali entro 72 ore dal momento in cui viene a conoscenza di una violazione. 

È importante sottolineare che la notifica di una violazione all'interessato non è obbligatoria.

Il Garante per la protezione dei dati personali avrà tuttavia facoltà di dare notifica all'interessato in base al regolamento e l'interessato dovrà essere informato laddove vi possa essere "un rischio elevato per i diritti e le libertà" dell'interessato. 

Tradotto nella pratica:

  1. Un'impresa (il titolare del trattamento) riceve dei dati personali (per esempio un numero di carta di credito) da un consumatore (l'interessato).
  2. Il titolare del trattamento fornisce questa informazione a un terzo (in questo esempio, una banca) su esplicita autorizzazione dell'interessato al momento dell'invio dei dati.
  3. A questo punto il titolare o il responsabile del trattamento viene a conoscenza di una violazione.
  4. Il titolare del trattamento dovrà quindi inoltrare una notifica di violazione al Garante per la protezione dei dati personali entro 72 ore dal momento in cui è venuto a conoscenza della violazione. Un rapporto dettagliato indicherà chi, cosa, dove, perché e come della violazione.
  5. Il Garante per la protezione dei dati personali avrà quindi facoltà di dare notifica all'interessato in base al regolamento laddove vi possa essere "un rischio elevato per i diritti e le libertà" del soggetto. 

È giunto il momento che le organizzazioni inizino a riflettere su come intendono affrontare tali disposizioni se/quando avviene una violazione. 

Portabilità dei dati

Dal momento che il fine ultimo di tali disposizioni è quello di garantire maggiore controllo e sicurezza agli interessati, la portabilità dei dati deve avvenire in modo rapido e semplice dal punto di vista dell'interessato. 

Le disposizioni suggeriscono di introdurre un diritto che consentirebbe agli interessati di trasferire i propri dati personali in un formato elettronico di uso comune da un titolare del trattamento a un altro senza impedimenti da parte del titolare originario. Lo scopo è ovviamente quello di semplificare il processo di trasferimento da un fornitore di servizi a un altro. 

Da un punto di vista pratico, le disposizioni scoraggeranno le organizzazioni dall'intralciare il trasferimento dei dati personali e imporranno ai sistemi di controllo delle organizzazioni di essere in grado di estrarre in un formato accettabile e compatibile.

Qualora il tuo cliente richieda il trasferimento dei propri dati personali a un concorrente, "è troppo complicato" o "il nostro sistema non interagisce" non sono più motivazioni sufficienti a trattenere le informazioni. 

Diritto alla cancellazione

Il "diritto all'oblio" si chiama oggi "diritto alla cancellazione", e assegna al titolare del trattamento l'onere di dimostrare la necessità di conservare i dati di un individuo, e non all'individuo di dimostrare che il titolare non ne ha necessità. 

Ciò significa che le imprese dovranno condurre  un serio esame dei dati in loro possesso sui loro interessati e porsi il quesito: "Ho necessità di questi dati"? 

Un dato rilevante è che, nei casi in cui una particolare tecnologia di archiviazione non consenta la cancellazione, l'interessato avrà diritto a rendere "limitato" il trattamento dei propri dati in luogo della cancellazione.

Privacy by Design - Il principio

Quello di Privacy by Design (protezione dei dati fin dalla progettazione) è uno dei concetti fondamentali delle nuove disposizioni il cui scopo è quello di modificare a monte il modo di vedere e di gestire la protezione dei dati all'interno delle stesse organizzazioni. 

L'Articolo 23 dispone che la protezione dei dati debba essere integrata nella progettazione dei processi aziendali. Questo incoraggia le organizzazioni a rendere la privacy parte integrante dei processi quotidiani invece di inserirla come postilla alle operazioni aziendali.

Per aggiornarsi, le organizzazioni devono iniziare a rivedere completamente la Protezione dei dati e ridefinire tutte le politiche e le procedure. 

Come funzionerà la Privacy by Design?

La privacy dovrà essere impostata su un livello elevato per default. 

Le disposizioni imporranno alle organizzazioni di applicare il livello massimo di privacy come livello predefinito in qualunque contratto o interazione e qualunque deviazione dal livello massimo dovrà essere approvata esplicitamente dall'interessato.  

L'Articolo 33 dispone che nei progetti in cui si presenti uno specifico rischio ai diritti e alle libertà di un interessato debba essere svolta una Valutazione d’impatto sulla protezione dei dati. 

Responsabili della protezione dei dati

Alcune organizzazioni saranno inoltre tenute a nominare un Data Protection Officer (DPO).

L'applicazione di questa disposizione sarà problematica per molte organizzazione in quanto il DPO dovrà avere qualifiche idonee e dovrà inoltre essere indipendente dall'organizzazione. Il DPO sarà inoltre monitorato dall'autorità di regolamentazione e non dal consiglio di amministrazione. Molte organizzazioni scelgono di esternalizzare questo ruolo laddove possibile.