Il Nuovo regolamento Europeo per il Trattamento dei Dati
Lo scorso 14 aprile il Parlamento europeo ha approvato definitivamente il regolamento europeo sulla protezione dei dati personali.
Il regolamento è entrato in vigore il 24 maggio 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018. Le imprese e le pubbliche amministrazioni hanno pertanto due anni per adeguarsi alle nuove disposizioni.
Cosa Cambia
Tra le novità più rilevanti del nuovo Regolamento c’è l’introduzione dei concetti di privacy by design. Qualsiasi sistema di trattamento dei dati dovrà garantire la sicurezza e la riservatezza dei dati personali a partire dalla progettazione del sistema di trattamento sino e alla durata dell’intero ciclo di vita del dato
Nel nuovo regolamento, la definizione Data Protection ha preso il posto della parola privacy.
Vengono inoltre introdotti nuovi adempimenti quale l’obbligatorietà della valutazione d’impatto sulla protezione dei dati personali (Privacy Impact Assessment) e la notifica all’Autorità Garante e agli stessi utenti in determinati casi di violazione della sicurezza delle informazioni.
Dal DPS al GDPR (General Data Protection Regulation)
Le aziende e gli enti pubblici dovranno elaborare un sistema di gestione dei dati costituito essenzialmente da un regolamento contenente il registro dei trattamenti, regole di sicurezza, procedure per soddisfare i requisiti di conformità al Regolamento. Quello che era il documento programmatico della sicurezza che molte organizzazioni hanno abbandonato viene ripreso per diventare uno strumento dinamico di programmazione e gestione del sistema di trattamento delle informazioni.
Il Data Protection Officer: il responsabile per la protezione dei dati
Il Regolamento introduce una nuova figura professionale, già presente in alcune legislazioni europee da oltre 10 anni, il Data Protecion Officier (DPO).
Questa figura, che potrà essere un soggetto interno all’azienda oppure nominato all’esterno, dovrà avere competenze nell’analisi dei processi, nel risk management ed elevate conoscenze informatiche. Sarà pertanto obbligatorio nelle pubbliche amministrazione; in ambito privato sarà obbligatorio in alcune circostanze, quando l’organizzazione gestisce alcune tipologie di dati e in funzione della natura e delle finalità del trattamento
Alcuni dettagli delle Principali Novità:
Le principali novità introdotte dal regolamento della privacy investono essenzialmente tre aspetti:
· Adempimenti procedurali
· Aspetti Organizzativi
· Aspetti tecnologici
Aspetti procedurali
Viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini dell’Unione Europea o tali da comportare il monitoraggio dei comportamenti di cittadini UE.
Dal punto di vista del trattamento dei dati vengono introdotti due principi
· Trattamento “by design” che implica l’obbligo di tutelare i diritti dell’interessato nell’attività di gestione delle informazioni che lo riguardano fin dalla fase iniziale della progettazione ed attuazione delle modalità di trattamento e per l’intera gestione del ciclo di vita dei dati, ponendo in essere misure di carattere tecnico ed organizzativo quali la minimizzazione dei rischi)
· Gestione “by default”, cioè il partire da configurazioni “chiuse” dei sistemi informativi, per poi introdurre degli accorgimenti che consentono di ampliare l’accesso ai dati ad un maggior numero di utenti, previa una valutazione del livello di rischio introdotto da questa soluzione.
Le organizzazioni dovranno sviluppare il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio, mentre questo adempimento non investe le piccole organizzazioni salvo il caso in cui il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso il responsabile dovrà preventivamente consultare l’Autorità di controllo.
Le organizzazioni dovranno mettere in atto dei procedimenti nel caso si verifichi il “Data breach”, cioè la violazione o perdita di alcuni dati, la procedura prevede la comunicazione al Garante e all’interessato;
La nascita del Registro delle attività di trattamento nel quale vanno indicate le modalità di trattamento dei dati ed alcune informazioni inerenti le regole di gestione degli stessi. Si tratta di un estensione del DPS della privacy che viene ripreso ed ampliato nel nuovo regolamento, quale procedura tecnico organizzativa che descrive le regole di gestione dei dati da parte di un organizzazione;
Rispetto agli adempimenti previsti dalla legge sulla privacy, il nuovo regolamento si propone di innescare un circolo virtuoso e proattivo per l’organizzazione. Il Titolare del trattamento dovrà adottare politiche di sicurezza ed attuare misure adeguate per garantire una corretta gestione della banche dati, in ottemperanza a quanto indicato nel nuovo regolamento europeo.
La fase di analisi dei rischi diventa una fase importante, che include anche quelli informatici. La valutazione dei rischi serve per attuare e programmare delle attività di mitigazione degli stessi, ovvero la messa in atto di una serie di misure tecnologiche ed organizzative per proteggere i dati personali dalla distruzione accidentale, dall’uso non corretto ed illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento.
Il nuovo regolamento chiede di monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment) ovvero l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali, nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;
Il nuovo regolamento rimarca il ruolo centrale delle autorità nazionali Garante della privacy e chiede una stretta interazione con questa istituzione al fine di gestire eventuali perdite o diffusioni di dati ed il verificarsi di situazioni che possono minare la sicurezza delle informazioni;
Altri obblighi riguardano la necessità di informare gli utenti delle modalità di trattamento dei dati, di fare formazione, di provvedere alle nomine di alcune figure previste dal regolamento (aspetti in parte già previsti dal D. Lgs 196 del 2003)
Aspetti organizzativi
Viene introdotta la figura del Data Protection Officer (DPO), figura largamente diffusa in alcuni paesi dell’unione europea che sarà obbligatorio nella Pubblica Amministrazione e nelle aziende private che processano dati a rischio. Il DPO rimarrà in carica, come minimo, due anni, rinnovabili alla scadenza. L’incarico potrà essere affidato ad un soggetto terzo laddove, il precedente DPO, non detenga più le qualità richieste dalla norma.
I soggetti coinvolti nel nuovo modello organizzativo sul trattamento dei dati (regolamento europeo privacy UE 2016/679) sono:
· Data Controller che corrisponde al Responsabile del trattamento dei dati previsto dal D. Lgs 196/2003, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati.
· Il Responsabile esterno del Trattamento / Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento (ad esempio ad un fornitore di servizi di trattamento esterno die dati)
Aspetti tecnologici
Le misure tecnologiche inerenti la gestione della sicurezza dei dati devono essere adeguate alla tecnologia e alla complessità della struttura organizzativa
Il DPO dovrà verificare periodicamente l’efficacia di queste misure tecnologiche attraverso degli audit che dovranno essere formalizzati e pianificare delle azioni per migliorare la sicurezza dei dati che l’organizzazione gestisce.
Sanzioni
Rispetto al D. LGS 196 del 2003, le sanzioni amministrative sono molto più severe. Nel caso in cui l’organizzazione non si adegui alle nuove direttive sono previste sanzioni che possono arrivare anche al 4% del fatturato o del bilancio dell’organizzazione.
Mentre le sanzioni penali rimangono di competenza di ogni singolo Stato, le nuove sanzioni amministrative sono disciplinate dagli articoli 79 e 79b del Regolamento.
Ogni autorità di vigilanza (in Italia il Garante della privacy) deve garantire, in ogni singolo caso, che la sanzione sia effettiva, proporzionata e dissuasiva.
