Privacy e trattamento dati: la revisione della direttiva
Volendo essere precisi, siamo già in ritardo di un anno per parlarne, perchè il nuovo regolamento europeo in tema di protezione dei dati personali è in vigore dal 24 maggio 2016, anche se si applicherà dal 25 maggio 2018 (2 anni dopo la sua pubblicazione).
Le sanzioni saranno clamorose: vanno fino a 10 o 20 milioni di euro e il 2% o 4% di fatturato mondiale annuo sull’esercizio precedente di un gruppo aziendale… che?! parliamone, si tratta di sanzioni pazzesche!
Disciplina di organizzazione privacy: non più la semplice produzione di un documento di informativa, ma la creazione e la gestione di un modello organizzativo, con un approccio basato sulla valutazione del rischio.
Si cambia regime, ed è bene cambiare con un buon margine di anticipo sulla scadenza di applicazione di questa normativa. Infatti idealmente il processo necessità di qualche mese di lavoro, per essere pronti con il modello organizzativo, e non di poche ore.
Un nuovo modello organizzativo per la privacy
1. Principio di Accountability: responsabilizzazione.
Ogni transazione e trattamento di dati personali e quindi ogni accettazione delle policy privacy deve essere registrata. Va registrato il tipo di informativa che è stata data, se online, quando è stata pubbicata/modificata e con che versioni, e che consensi sono stati dati (con tracciamento tramite log, con garanzia che non siano modificabili).
2. Data protection by design & by default.
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita. Principio per cui ogni tipo di trattamento privacy deve passare un vaglio di allineamento di programmazione e design: ogni operazione e ogni accettazione che trattano dati personali deve essere contenuta in un flusso che garantisca la privacy del trattamento dei dati e che possa dare traccia di questo dall’inizio alla fine.
3. Data protection impact assessment.
E’ il principio metodologico di valutazione sull’impatto sulla protezione dei dati, da fare in modo specifico solo nei casi previsti come obbligatori, anche se metodologicamente questa valutazione andrebbe sempre fatta, per comprendere il tipo di dati trattati ed i rischi sulla protezione di tali dati.
4. Informazioni all’interessato
Si tratta del ciclo attivo della privacy, le informazioni all’interessato, ossia il momento in cui vengono redatte le informative e il momento in cui vengono condivise/pubblicate le policy privacy.
5. Presupposti di leicità del trattamento
Verranno stabiliti i presupposti di leicità del trattamento, per garantirne l’adeguatezza alla normativa.
6. Diritti dell’interessato
Garantisce che il processo sia a pieno titolo coerente con i diritti dell’interessato, i cui dati vengono raccolti e trattati secondo la normativa vigente.
Questo ciclo, questo modello organizzativo che va dal punto al punto 6 per poi ripartire dal punto 1, va fatto per l’adeguamento, ma va poi mantenuto sempre attivo ed in revisione, mano a mano che verranno implementate funzioni nel sito o particolari specifiche nel trattamento dei dati dei soggetti che compilano un modulo, mandano una mail, ecc.
Solo mantenendo sempre attivo questo modello organizzativo per il trattamento dei dati personali si può garantire una piena coerenza con le nuove norme.
Vediamo la nuova normativa per il trattamento dei dati: tra le cose più incisive, in pratica, cosa ci dice?
ART. 5 Principi applicabili al trattamento dei dati personali
Tra le novità, vediamo che nell’informativa andrà specificato per quanto tempo vengono mantenuti i dati (“limitazione della conservazione”). Questo periodo di conservazione potrebbe essere di non facile gestione: spesso servono riunione e incontri su incontri per definire questa sorta di scadenza che si può applicare in modo diverso da raccolta a raccolta, ed è quindi bene prepararsi con anticipo ad essere in linea con le novità presentate.
ART. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
Il titolare del trattamento deve dare prova in ogni momento del rispetto alla normativa per qualsiasi dato esso raccolga o tratti, con misure tecniche e organizzative che diano tale garanzia.
ART. 35 Valutazione d’impatto sulla protezione dei dati
L’azienda deve avere la capacità, o richiedere ad un’azienda che si occupa di tali adempienze, di redarre un documento sui rischi di trattamento dei dati (un po’ come si fa con i rischi per la sicurezza)… ecco perchè si parla di privacy basata sui rischi.
Una volta valutato il rischio, andranno previsti appositi processi che comprendano i presupposti per l’allineamento a questa nuova normativa di tutti i sistemi di raccolta e trattamento di dati personali.
In questo contesto, il data protection impact assessment è un esercizio metodologico, necessario per i trattamenti a rischio elevato (dati sensibili o aspetti personali come le profilazioni o di sorveglianza personale su larga scala), ma consigliato per qualsiasi trattamento.
Verranno pubblicati degli elenchi con tipologie o fonti di trattamenti definiti in “black list” da parte dei garanti europei, in modo da comprendere se e quando si rientra in casi di rischio elevato.
ART. 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
In pratica sancisce che l’informativa deve essere concisa, trasparente, intellegibile e accessibile, con un linguaggio semplice e chiaro: in questo modo chiunque potrà leggere le informative, sintetiche e possibilmente stratificate. Si sfrutteranno delle icone, standardizzate dai garanti europei, per rendere più semplice la lettura.
ART. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
Oltre i dati già abitualmente inseriti nelle policy, andrà precisato l’eventuale trasferimento dei dati a terze parti o a organizzazioni internazionali, verso l’estero, fornendone garanzie e dettagli.
ART. 6 Liceità del trattamento
Conferma quali siano le condizioni che devono esserci per definire lecito il trattamento dei dati: dall’espressione del consenso, alla necessità di perseguire un legittimo interesse.
ART. 17 Diritto alla cancellazione (“diritto all’oblio”)
In Italia c’è da molto, già attivo e già contemplato nelle normative in uso.
ART. 18 Diritto di limitazione di trattamento
Il diritto di limitazione di trattamento consente all’interessato di limitare l’uso dei suoi dati in vari casi: per la verifica di correttezza dei dati, per uso illecito o in opposizione alla possibilità di cancellazione, per l’esercizio o la difesa di un diritto in sede giudiziaria, per opposizione al trattamento.
Il regolatore europeo invece di far cancellare i dati, fa sì con questo articolo che i dati vengano messi in un “limbo”: solo così non si rischia di perdere informazioni importanti e di si permette di eseguire tutti gli accertamenti del caso… con impatti non banali sulla società.
ART. 20 Diritto alla portabilità dei dati
Una novità è la portabilità dei dati: il soggetto i cui dati sono raccolti può richiedere di riceverli in un formato strutturato e di uso comune, o comunque leggibili da dispositivi automatici, per poterli portare ad un altro titolare del trattamento (o tenerli per sè).
Questo è un diritto del soggetto, ma comporta un lavoro da parte del titolare dei dati, che dovrà poter fornire queste informazioni, in qualsiasi momento e nei formati indicati.
DPO: il Responsabile della protezione dei dati
Potrà quindi servire una nuova figura professionale: il DPO (Responsabile della protezione dei dati), che si occuperà di tutto quello che abbiamo visto fin qui, in relazione alla nuova disciplina di organizzazione della privacy.
La scelta di avere un DPO è consigliato per le pubbliche amministrazioni o un organismo pubblico, o per un titolare che tratta dati su larga scala, magari con dati di categoria sensibile… ma anche le PMI non dovrebbero esimersi dall’avere un logo DPO, data la complessità del ciclo e della metodologia che sarà obbligatoria da maggio 2018.
ART. 38 Posizione del responsabile della protezione dei dati e ART. 39 Compiti del responsabile della protezione dei dati
Il DPO dovrà avere competenza legale giuridica, che gli consenta di leggere e comprendere le normative, oltre a competenze tecniche per la sicurezza dei sistemi, che gli consentano di analizzare i rischi e comprendere appieno i processi di trattamento… o dovrà avere a sua disposizione un team di professionisti che possa tutte queste informazioni.
La sua posizione deve essere indipendente: il DPO non può essere il responsabile della sicurezza, perché il controllato ed il controllante non possono essere la stessa persona. Chi può influenzare il processo di trattamento dei dati non è quindi indipendente e non potrà essere un DPO.
Il DPO deve essere garante della corretta applicazione della privacy all’interno di un’azienda e deve essere quindi reso in grado di poter dare garanzie di neutralità e competenza.
La revisione della direttiva sulla privacy e l’impatto sul web
Per le piccole o media imprese l’impatto in ambito web, ma non solo, sarà probabilmente forte.
Anche se, come si è visto, non conta tanto la dimensione di chi tratta i dati, quanto i livelli di rischio dei dati che vengono trattati, possiamo concludere affermando che la privacy è stata fino ad oggi curata poco, o in modo blando, da moltissime realtà. Il lavoro da fare potrebbe quindi essere davvero importante… e sarà bene cominciare prima possibile!
Allinearsi per tempo alla nuova normativa è un vantaggio!
Se noi allineiamo già oggi le nostre informative, non ci troveremo vicino al 25 maggio 2018 a dover propinare una nuova informativa privacy ai nostri utenti, per poter ricevere consensi validi al nuovo regolamento europeo.
Allineandoci con anticipo potremo avere più dati a disposizione (fin dal momento dell’allineamento, i dati raccolti saranno conformi), preservando così il nostro database.
Altra considerazione importante: le persone, con l’avvicinarsi della scadenza, verranno bombardati da richieste di adesione alle nuove policy privacy da parte di chi ha in archivio i loro dati… potrebbe essere una vera e propria mitragliata di mail, che potrebbero portare all’esasperazione e al rifiuto del trattamento… un po’ ci stanno, poi ci si stanca!
Iniziare fin da subito, significa poter cominciare a raccogliere consensi coerenti e allineati al nuovo regolamento europeo, andando gradualmente ad aggiornare i consensi già in nostro possesso.
INFOGRAFICA “Regolamento Europea in materia di trattamento dei dati personali”
PDF “Gazzetta Ufficiale dell’Unione Europea”
REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)