Dopo una lunga gestazione, iniziata con la pubblicazione della prima bozza della proposta della Commissione europea nel gennaio del 2012, il Regolamento generale per la protezione dei dati personali (General Data Protection Regulation o GDPR, qui il testo in italiano) è entrato in vigore il 24 maggio del 2016, e sarà applicabile dal 25 maggio del 2018.

Il Regolamento (n. 2016/679) non necessita di alcuna legge di recepimento da parte degli Stati dell’Unione europea, ma è direttamente applicabile. Ovviamente è possibile che alcuni Stati (come l’Italia) abbiano necessità di modificare la legislazione attuale per adeguare l’ordinamento, ad esempio per quanto riguarda i poteri delle Autorità di controllo (il Garante per la privacy).

Questo è il primo aspetto da tenere in considerazione, cioè il suo scopo primario è la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all'interno del territorio dell’Unione.

Autodeterminazione informativa

Il Regolamento proclama il diritto alla protezione dei dati personali come diritto fondamentale delle persone fisiche, in maniera più esplicita della precedente Direttiva. In particolare tale diritto si incardina sul principio dell’autodeterminazione informativa, concetto espresso chiaramente dalla Corte Costituzionale tedesca nel 1983 (considerando tale principio essenziale per lo sviluppo della personalità di un individuo) e poi trasfuso anche nella nostra Carta dei Diritti di Internet.

Con "autodeterminazione informativa" si intende il principio in base al quale è il singolo a decidere se e entro quali limiti rendere noti i fatti legati alla propria vita personale. Ovviamente tale diritto non è assoluto, ma va contemperato con altri diritti, e in particolare con le esigenze della società a conoscere i fatti rilevanti per il pubblico (diritto di informazione, pietra miliare di ogni ordinamento democratico, come asserito anche dalla Corte Costituzionale italiana nel momento in cui ha ricordato che solo un cittadino correttamente informato può esercitare la sovranità popolare), nonché le esigenze alla protezione dei diritti altrui e alla prevenzione e repressione dei reati. Si tratta di una serie di diritti confliggenti, che sono, però, tutti meritevoli di tutela, e quindi vanno bilanciati tra loro. In tal senso anche le esigenze di prevenzione e repressione dei reati devono essere attuate senza sconfinare in inammissibili forme generalizzate di sorveglianza dei cittadini.

Leggi anche >> La Corte europea dice che la sorveglianza di massa è illegittima. Di nuovo

In questa prospettiva, il Regolamento europeo prevede un più facile accesso, da parte dei cittadini, alle informazioni riguardanti i loro dati, ma soprattutto un più stringente obbligo di informazione da parte di coloro che trattano i dati (titolari e responsabili del trattamento). Il cittadino (interessato del trattamento) avrà, quindi, il diritto a ricevere una corretta informazione (tramite l’informativa privacy) con l’indicazione di quali dati sono effettivamente trattati, con quali finalità, su quali basi giuridiche, e quali sono i diritti che la legge gli attribuisce per la sua tutela, nonché le modalità per esercitarli. Lo scopo, quindi, dell’informativa, è di informare compiutamente l’interessato, in modo che possa rendere un consenso che sia libero da influenze e pressioni e sia realmente informato. Se l'informazione non è completa, il consenso non è considerato valido.

Il richiamo alla finalità è fondamentale, perché gli scopi del trattamento diventano la cartina tornasole della legittimità dello stesso. Nel senso che i dati trattati devono sempre essere strettamente pertinenti, e mai eccedenti, rispetto alla finalità. Ad esempio, se scarico sullo smartphone una App che si limita a fare fotografie, non ha alcun senso che chieda l’accesso ai contatti e ai messaggi, nel qual caso il trattamento potrebbe essere illecito. Un altro esempio può essere la classica newsletter. Se si subordina l’accesso alla newsletter all’accettazione della profilazione dell’utente (invece che al solo trattamento dei dati per invio della newsletter), il consenso non è affatto libero, e quindi il trattamento diventa illecito. Occorre, invece, separare i due consensi consentendo all’utente di scegliere liberamente se essere anche profilato.

Nuovi diritti

Il cittadino guadagna anche ulteriori diritti, come ad esempio il diritto alla portabilità dei dati, che consente agli interessati di ricevere copia dei dati forniti a un titolare in modo da poterli trasmettere ad altro titolare. Lo scopo è di consentire il passaggio indolore tra un servizio online e un altro, con ciò garantendo una maggiore concorrenza tra servizi e quindi alimentando l’innovazione e lo sviluppo. È un diritto che, però, va garantito solo nel momento in cui il trattamento è basato sul consenso o su base contrattuale (che è una forma qualificata di consenso). Un esempio classico può essere la lista delle canzoni acquistate da un servizio online (non le canzoni stesse, che non sono realmente acquistate, ma generalmente fornite in licenza).

Il Regolamento europeo prevede anche il diritto alla cancellazione, che è un’evoluzione del diritto all’oblio già da noi conosciuto, e applicato, a seguito delle pronunce della Corte di Giustizia europea (qui il link alla pagina di Google per esercitare il diritto). L’interessato ha, così, il diritto a ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, quando non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati, quando revoca il consenso o si oppone al trattamento e non vi sono più legittimi motivi per continuare il trattamento, quando i dati sono stati trattati illecitamente oppure sono stati raccolti relativamente all’offerta di servizi della società dell’informazione ai minori.

In realtà, tale diritto non è propriamente “nuovo”, visto che già adesso si può chiedere ai titolari del trattamento la cancellazione dei dati personali che soddisfino i criteri indicati, appunto sulla base della sentenza della Corte europea. Con buona pace delle innumerevoli proposte di legge presentate che inglobano, inutilmente, obblighi in tal senso.

Giurisdizione e sportello unico

Il Regolamento europeo si applica a tutti i trattamenti che abbiano ad oggetto dati personali e a tutti i titolari e responsabili del trattamento stabiliti nel territorio dell’Unione. Il principio di stabilimento, previsto dal Trattato costitutivo dell’Unione, e che prevede che un’azienda sia soggetta alla legislazione del paese di stabilimento (dove per stabilimento si intende un’organizzazione che svolge un’attività economica a tempo indeterminato – è lo stesso principio applicato dall’Agenzia delle Entrate italiana –), trova il suo limite con riguardo alle aziende stabilite al di fuori dell’Unione, che però trattano dati di cittadini residenti nel territorio europeo. In passato era solito sentirsi dire dalle multinazionali che il trattamento era in realtà effettuato negli Usa, ad esempio, e quindi non erano soggette alle norme europee.

La “linea di difesa” delle multinazionali ha cominciato a cedere nel 2010, con un parere (n. 8) del Gruppo Articolo 29, e poi con la sentenza Google Spain della Corte di Giustizia europea. Ma è la sentenza Weltimmo (C-230/14) che ha sancito definitivamente che per decidere sulla giurisdizione non è rilevante il solo “stabilimento”, ma devono essere considerati anche altri fattori. Ad esempio, il contesto nel quale viene esercitata l’attività, come la lingua del sito, l’utenza alla quale si rivolge, ecc…

Il Regolamento europeo, pur mantenendo il principio di stabilimento, guarda anche ai soggetti destinatari dei servizi e beni offerti, stabilendo che anche società che si trovano al di fuori dell’Unione, ma che tuttavia elaborano dati dei residenti nell’UE, sono soggetti alla legislazione europea.

Un correttivo è dato dal principio dello sportello unico (one stop shop), che mira a semplificare gli adempimenti delle aziende, le quali avranno a che fare con la sola autorità di vigilanza (il Garante) del paese dove hanno la sede principale, piuttosto che con le autorità di tutti e 28 gli Stati. Ciò dovrebbe portare alla semplificazione delle procedure e a una maggiore coerenza delle decisioni. Di contro, comporta difficoltà per i cittadini, che potrebbero incontrare problemi di ordine linguistico e relativi alla distanza, alimentando l’idea di un’Europa burocratica e lontana dai cittadini.

In tal senso il principio è stato temperato, stabilendo che si applica solo se l’azienda ha più sedi nell’Unione, o se il trattamento incide su individui presenti in più Stati. L’autorità di controllo del paese della sede principale funge, quindi, da “capofila” (leading authority), rispetto alle altre autorità interessate. Se invece il trattamento incide solo su interessi locali, il principio del one stop shop non si applica e la competenza rimane dell’autorità del paese del trattamento.

Responsabilizzazione

Un pilastro della nuova normativa in materia di protezione dati è la accountability. Accountability viene tradotto in italiano con “responsabilizzazione”, ma la traduzione non rende l’idea, poiché accountability vuol dire “dover rendere conto del proprio operato”.

L’accountability del titolare e dei responsabili del trattamento si deve concretizzare nell'adozione di comportamenti proattivi tesi a dimostrare l’adozione e il rispetto del regolamento in senso sostanziale, non meramente formale. Ciò vuol dire che la mera conformità alle norme potrebbe non essere sufficiente se nel concreto i dati personali non risultano tutelati.

L’approccio del nuovo regolamento, focalizzato più sulla protezione dei dati che sull’utente medesimo, pone al centro la valutazione del rischio (risk based), rischio inteso come l’impatto negativo sui diritti degli individui.

Quindi, il regolamento europeo impone al titolare, in autonomia, una analisi preventiva del rischio del trattamento, in modo da valutare se occorre adottare delle specifiche misure per ridurre il “rischio”. La Data Protectioni Impact Assessment (DPIA) ha il compito di assicurare trasparenza e protezione nelle operazioni di trattamento dei dati personali, ed è un documento che va redatto ogni qual volta il trattamento presenta elevati rischi, come per il trattamento di dati sensibili o giudiziari su larga scala, o la profilazione degli individui.

Il regolamento, però, non individua le misure atte a attenuare il rischio eventuale di un trattamento, evidenziando appunto la necessità che sia il titolare stesso a decidere, in autonomia, tali misure. Poi eventualmente le autorità di controllo potranno intervenire ex post, individuano ulteriori misure o vietando il trattamento.

Qui si vede la differenza rispetto al passato. Un trattamento risk based, ma in generale l’intero impianto del regolamento europeo, prevede ampia autonomia per le aziende nelle decisioni, senza necessità di notifiche o autorizzazioni preventive delle autorità di controllo. Di contro si impone, però, un rispetto che non sia, appunto, solo formale, ma sostanziale, nel senso che l’azienda non deve limitarsi alla mera conformità alla legge ma adottare misure che portino ad una effettiva tutela dei dati.

L’approccio risk based ha l’evidente vantaggio di essere più flessibile, considerato che le tecnologie moderne sono in continua a costante evoluzione, ma di contro demanda ai titolari di decidere in autonomia le modalità e i limiti del trattamento dei dati personali, quindi delega alle aziende la valutazione dei rischi rendendo più difficili le contestazioni.

In tal senso, per una corretta implementazione delle norme non si può fare a meno di tenere in considerazione i pareri del Gruppo di lavoro Articolo 29 (Working Party Article 29), formato da rappresentanti dei Garanti nazionali. Il WP29 si occupa di fornire pareri con lo scopo di adeguare la normativa e linee guida e documenti di indirizzo per una corretta attuazione delle norme (qui l'elenco dei documenti pubblicati).

Inoltre, tale approccio risulta meno burocratico, nel senso che il rischio va sempre commisurato all’organizzazione dell’azienda stessa, per cui le aziende di minori dimensioni avranno minori obblighi rispetto a quelle più grandi. Come del resto considera il trattamento dei dati dei minori più rischioso rispetto a quelli di un adulto, come se i diritti dell’adulto fossero meno fondamentali del minore. Viene posta infine una maggiore attenzione ai trattamenti di grandi quantità di dati, laddove anche il trattamento di pochi dati può comportare un danno per le persone. Si tratta, evidentemente, di un approccio che tiene particolarmente in considerazione le esigenze delle aziende.

Privacy by design

Tra le misure tecniche e organizzative per tutelare i dati personali possiamo annoverare anche il principio della privacy by design e by default, introdotto dal nuovo Regolamento europeo. Si tratta di un concetto risalente al 2010, e progressivamente adottato da molti paesi.

Fondamentalmente privacy by design e by default vuol dire che occorre prevenire piuttosto che correggere, e che la privacy, la tutela dei dati personali, va incorporata fin dall'inizio (by default) nei trattamenti. I problemi, il rischio del trattamento, vanno, quindi, valutati già in fase di progettazione, e occorre prevedere prima dell’avvio del trattamento tutti gli strumenti e le misure adeguate per la tutela dei dati personali. Questo principio, ovviamente, vale per ogni trattamento, quindi anche quelli incorporati in prodotti e servizi (pensiamo ad uno smartphone).

In tale prospettiva, sostenere che un prodotto non può essere aggiornato perché tale funzionalità non è prevista (come per alcune lampadine gestibili via router dallo smartphone), e quindi eventuali problemi con ricaduta sulla privacy non possono essere risolti, finisce per essere una evidente violazione delle norme, nonché dello spirito del nuovo regolamento.

Leggi anche >> Miliardi di oggetti connessi: la sfida dell’Internet delle cose fra innovazione e pericoli

Il Data protection officer

Sempre nell’ottica di una maggiore responsabilizzazione, il nuovo regolamento istituzionalizza la figura del Responsabile per la protezione dei dati (Data Protection Officer o DPO). Questa designazione, infatti, punta a facilitare l’attuazione del regolamento.

Il DPO è designato dal titolare o dal responsabile del trattamento, in base ad un contratto e opera alle loro dipendenze. In realtà il DPO ha lo scopo di tutelare i dati, non certo il titolare del trattamento, per cui deve essere fornito di risorse e autonomia sufficiente per adempiere correttamente i suoi compiti. In particolare il DPO informa e consiglia il titolare e i dipendenti, sugli obblighi previsti dalle norme, ne verifica la corretta implementazione, e funge da punto di contatto con le autorità di controllo. Se i trattamenti riguardano dati sensibili, oppure l’attività principale consiste in un controllo sistematico degli interessati, nonché per la amministrazioni pubbliche, la designazione del DPO è obbligatoria.

È da precisare che non è obbligatorio che il DPO sia qualcuno che ha partecipato a corsi di formazione o abbia specifica attestati, quello che occorre è soltanto che abbia una approfondita conoscenza della normativa e delle prassi in materia.

Data breach

Infine, in un’ottica di trasparenza, altro pilastro della normativa in materia di protezione dei dati personali, il regolamento prescrive specifici adempimenti in caso di violazioni dei dati personali. È da premettere che per violazione (data breach) non si intende solo l’attacco informatico, ma in genere la divulgazione, la distruzione, la perdita, la modifica o l’accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni. Quindi, anche la perdita di una chiavetta usb, oppure la sottrazione di documenti con dati personali deve ritenersi un data breach.

Col nuovo regolamento in caso di violazione dei dati occorrerà notificare l’evento all’autorità di controllo (il Garante; qui il modello per la notifica), ma solo se il titolare ritiene probabile che dalla violazione possano derivare danni per i diritti e le libertà degli interessati. La notifica dovrà avvenire entro 72 ore e comunque senza ritardo. Ovviamente le violazioni, come del resto tutti i trattamenti e gli eventi collegati, dovranno essere comunque documentate in modo che l’autorità di controllo possa accertare la corretta implementazione delle norme.

In caso di rischio elevato, il titolare dovrà comunicare l’avvenuta violazione anche a tutti gli interessati, a meno che la comunicazione richieda sforzi eccessivi in relazione all’organizzazione aziendale, nel qual caso si procede con comunicazione pubblica. Anche qui notiamo che gli adempimenti burocratici sono commisurati all’azienda stessa, in un’ottica di semplificazione e minor burocratizzazione.

Prepararsi al GDPR

Per non farsi trovare impreparati, e rischiare multe elevate, ogni azienda dovrà riconsiderare il proprio approccio ai dati personali.

Si suggeriscono di seguito i passi essenziali:

• • Aggiornamento delle regole interne e verifica della preparazione del personale, eventuale adeguamento.
  • Controllo dei dati trattati, verifica della finalità del trattamento e delle basi giuridiche.
  • Redazione del registro dei trattamenti e valutazioni dei rischi.
  • Aggiornamento dell’informativa, con specificazione dei dati trattati (anche per categorie), della finalità, della base giuridica e dei diritti degli interessati.
  • Verifica delle modalità di ottenimento del consenso.
  • Instaurazione di una procedura per la verifica dell’età degli interessati.
  • Verifica e adeguamento delle procedure per l’esercizio dei diritti degli interessati.
  • Eventuale designazione di un Data Protection Officer.
  • Instaurazione di una procedura per le violazioni dei dati.

Guida del Garante italiano

L'autorità di controllo italiana (il Garante Privacy) ha pubblicato una guida all’applicazione del regolamento europeo, che offre una panoramica delle principali novità e raccomandazioni specifiche oltre che suggerimenti pratici.

Immagine in anteprima via vszucchetti.it