General Data Protection

Regulation UE 2016/679

Il nuovo Regolamento Europeo per la protezione e la libera

circolazione dei dati personali

Un procedimento, non un prodotto

Attenzione ai sedicenti esperti. Chi parla di “privacy” non ha ancora compreso il

contenuto della disciplina della riservatezza dei dati. Il concetto di privacy deriva dal

diritto anglosassone e riguarda il diritto di essere lasciati soli, non quello di tenere

sotto controllo le informazioni riferibili alla persona. In Italia la vera privacy è

disciplinata, ad esempio, dall’art. 615 bis del Codice Penale, che tutela le persone

dalle interferenze illecite nella loro vita privata. Il diritto alla tutela dei dati personali, invece, riguarda il

trattamento operato da terzi e l’impatto negativo che potrebbe avere sulla vita professionale e di relazione.

Giusto prestare attenzione ai pericoli. Nel mondo

digitale, il rischio di perdere il controllo dei dati, anche

per chi li gestisce con le migliori intenzioni, è molto

elevato. L’interesse a sfruttare un archivio

contenente informazioni dettagliate di un rilevante

numero di individui è molto elevato, soprattutto se contiene informazioni delle quali l’interessato non

consentirebbe a chiunque il trattamento (preferenze di consumo, politiche, religiose, sessuali, ecc.).

Sbagliato considerare il controllo dei dati personali un elemento negativo per le aziende. Una corretta

analisi del trattamento, dei flussi documentali, dei sistemi informativi, degli

archivi, consente di effettuare una valutazione del funzionamento

dell’azienda e di porre in essere le azioni correttive necessarie a rispettare la

normativa ma, soprattutto, le azioni di miglioramento dalle quali gli affari

potrebbero trarre giovamento. Da costo a risorsa è l’approccio giusto.

Centrale la formazione. La tutela della riservatezza non è un “pacchetto”

ma un “processo” di miglioramento continuo, che ha come elemento

cardine la formazione del personale. Qualsiasi sistema di sicurezza o di

gestione ha il suo punto debole nel personale non idoneo alle mansioni

affidate.

Sistema di gestione del trattamento dei dati. Occorre adottare una procedura

analoga ai sistemi di gestione della qualità e della sicurezza sul lavoro. Il nuovo

regolamento europeo, non a caso, fa espresso riferimento a sistemi di certificazione

del trattamento e ai codici etici.

Le novità, in sintesi

La nuova disciplina del consenso al trattamento riguarda l’obbligo di

formulazione espressa e non preconfezionata o basata sul silenzio assenso.

Le informative dovranno esser più dettagliate e redatte in linguaggio

comprensibile a persone comuni. Potrà essere utilizzato un sistema di

acquisizione della scelta dell’interessato tramite selezione di una casella in un

sito web, ma sono vietate la preselezioni. L’interessato deve operare una scelta, non subirla.

Quando gli effetti del trattamento possono comportare rischi rilevanti per

l’interessato, per la natura o la quantità dei dati gestiti dal titolare, dovrà

procedersi ad una valutazione d’impatto analoga a quella utilizzata nel

settore ambientale, basata, cioè, sull’analisi dei rischi connessi al

trattamento, sulla valutazione delle conseguenze di un incidente e

sull’indicazione delle misure di contenimento di detti rischi.

Il registro dei trattamenti che ogni titolare dovrà istituire in azienda, costituirà la base da cui partire per

l’analisi dei rischi e per la valutazione delle misure di sicurezza da adottare. Dovrà indicare le caratteristiche,

le modalità e le finalità dei trattamenti, anche per consentire alle autorità di eseguire i controlli.

Data Protection by design. Sistemi informatici e applicativi dovranno

essere progettati (e se già esistenti, aggiornati) per minimizzare il

rischio di sottrazione o perdita, anche accidentale, dei dati trattati,

rispettando il criterio dell’uso minimo ed indispensabile rispetto alle

finalità del trattamento. Dovranno essere altresì progettati per l’uso di

sistemi di anonimizzazione e pseudonimizzazione. Data protection by

default. Le misure di sicurezza logiche e organizzative dovranno

garantire la raccolta e l’uso dei soli dati necessari alla finalità dichiarata dal titolare. Non potranno essere

raccolti dati da utilizzare per finalità generiche, né potranno essere destinati ad altre finalità senza un

consenso esplicito.

La sicurezza dei dati dovrà essere ulteriormente curata sia sotto il profilo fisico che logico ed organizzativo.

Le misure di tutela dovranno essere adeguate ai rischi da prevenire. Sebbene non per tutti sia obbligatoria

la valutazione d’impatto del trattamento, è consigliabile comunque farvi ricorso e adottare sistemi di

certificazione e codici di condotta.

Data breach. La violazione degli archivi dovrà essere

immediatamente notificata all’interessato e all’Autorità Garante,

per consentire ad entrambi di intervenire e porre in essere, di

concerto con il Titolare del trattamento, le misure utili a

contenerne gli effetti.

Responsabile del trattamento e Responsabile della protezione dei dati. Sono le due figure (una

preesistente, l’altra di nuova introduzione) sulle quali è incentrata la gestione dei dati e l’adozione delle

misure di sicurezza. La prima ha compiti esecutivi e

viene delegata dal titolare all’espletamento di

determinati compiti connessi al trattamento. La

seconda – obbligatoria per le Pubbliche

Amministrazioni e necessaria per i privati che

effettuano trattamenti su larga scala o profilazione

degli utenti – svolge attività di consulenza (interna o

esterna) e deve caratterizzarsi come esperta ed

indipendente, per eseguire valutazioni periodiche (audit), individuare non conformità e possibili

miglioramenti, redigere relazioni in cui suggerire azioni correttive e possibili evoluzioni del sistema di

gestione del trattamento.

Tra i diritti dell’interessato di nuova codificazione spiccano quello alla

portabilità dei dati, su supporto informatico standard, ai fini del

conferimento ad altro operatore, il diritto all’oblio, cioè alla cancellazione

da siti web e motori di ricerca, il diritto a non subire profilazioni (ad

esempio per la rilevazione di gusti e preferenze) non autorizzate

espressamente dall’interessato.

Lo Sportello Unico per segnalare eventuali violazioni del trattamento consentirà di rivolgersi all’autorità

garante nazionale per ottenere la tutela dei dati dell’interessato in qualsiasi paese dell’Unione Europea. Le

autorità vigilano sul rispetto del Regolamento 679/2016 per garantirne la concreta applicazione, fornendo

consulenza alle istituzioni, rispondendo ai quesiti e rilasciando linee guida per la gestione dei trattamenti in

settori specifici o in situazioni particolari. Hanno poteri di indagine, per acquisire le informazioni necessarie

a svolgere i controlli, poteri correttivi per imporre il rispetto delle norme anche attraverso l’irrogazione di

sanzioni, e poteri autorizzativi e consultivi, per consentire lo svolgimento di trattamenti specifici che

richiedono maggiore attenzione o per suggerire soluzioni agli addetti ai lavori.

Le opportunità

Le nuove figure e i nuovi adempimenti richiesti dal Regolamento

Europeo determineranno la necessità di oltre 50.000 nuovi profili

professionali solo sul territorio italiano. Costituiranno quindi

un’ottima opportunità di crescita per molti professionisti e

dipendenti, di reinserimento nel mondo del lavoro per chi ne è

stato escluso e di inserimento per i giovani.

Le aziende, dal canto loro, avranno l’occasione di ridefinire mansioni e procedure, ottimizzando i sistemi di

gestione delle informazioni, e di sfruttare i nuovi mercati e le nuove occasioni di business che si

manifesteranno. Ad esempio, la scelta dei futuri mercati da aggredire

consentirà di sviluppare nuovi modelli di informative adatti a

raccogliere e gestire i dati necessari a profilare i nuovi utenti, per

comprenderne gusti e preferenze, ad ottimizzare le scorte sulla base

dei consumi, a potenziare e personalizzare la azioni di marketing, a

studiare le reazioni e gli eventi successivi all’acquisto, per orientare le

future offerte e, conseguentemente, le future scelte aziendali.

Dispensa a cura di

Vico del Riccio 14 64100 – Teramo

Tel. e fax 0861 244545 Cell. 347 1677527

www.pomante.com info@pomante.com