Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Luigi Foglia
General Data Protection Regulation UE 2016/679 · UE 2016/679 Il nuovo Regolamento Europeo per la...
Transcript of General Data Protection Regulation UE 2016/679 · UE 2016/679 Il nuovo Regolamento Europeo per la...
General Data Protection
Regulation UE 2016/679
Il nuovo Regolamento Europeo per la protezione e la libera
circolazione dei dati personali
Un procedimento, non un prodotto
Attenzione ai sedicenti esperti. Chi parla di “privacy” non ha ancora compreso il
contenuto della disciplina della riservatezza dei dati. Il concetto di privacy deriva dal
diritto anglosassone e riguarda il diritto di essere lasciati soli, non quello di tenere
sotto controllo le informazioni riferibili alla persona. In Italia la vera privacy è
disciplinata, ad esempio, dall’art. 615 bis del Codice Penale, che tutela le persone
dalle interferenze illecite nella loro vita privata. Il diritto alla tutela dei dati personali, invece, riguarda il
trattamento operato da terzi e l’impatto negativo che potrebbe avere sulla vita professionale e di relazione.
Giusto prestare attenzione ai pericoli. Nel mondo
digitale, il rischio di perdere il controllo dei dati, anche
per chi li gestisce con le migliori intenzioni, è molto
elevato. L’interesse a sfruttare un archivio
contenente informazioni dettagliate di un rilevante
numero di individui è molto elevato, soprattutto se contiene informazioni delle quali l’interessato non
consentirebbe a chiunque il trattamento (preferenze di consumo, politiche, religiose, sessuali, ecc.).
Sbagliato considerare il controllo dei dati personali un elemento negativo per le aziende. Una corretta
analisi del trattamento, dei flussi documentali, dei sistemi informativi, degli
archivi, consente di effettuare una valutazione del funzionamento
dell’azienda e di porre in essere le azioni correttive necessarie a rispettare la
normativa ma, soprattutto, le azioni di miglioramento dalle quali gli affari
potrebbero trarre giovamento. Da costo a risorsa è l’approccio giusto.
Centrale la formazione. La tutela della riservatezza non è un “pacchetto”
ma un “processo” di miglioramento continuo, che ha come elemento
cardine la formazione del personale. Qualsiasi sistema di sicurezza o di
gestione ha il suo punto debole nel personale non idoneo alle mansioni
affidate.
Sistema di gestione del trattamento dei dati. Occorre adottare una procedura
analoga ai sistemi di gestione della qualità e della sicurezza sul lavoro. Il nuovo
regolamento europeo, non a caso, fa espresso riferimento a sistemi di certificazione
del trattamento e ai codici etici.
Le novità, in sintesi
La nuova disciplina del consenso al trattamento riguarda l’obbligo di
formulazione espressa e non preconfezionata o basata sul silenzio assenso.
Le informative dovranno esser più dettagliate e redatte in linguaggio
comprensibile a persone comuni. Potrà essere utilizzato un sistema di
acquisizione della scelta dell’interessato tramite selezione di una casella in un
sito web, ma sono vietate la preselezioni. L’interessato deve operare una scelta, non subirla.
Quando gli effetti del trattamento possono comportare rischi rilevanti per
l’interessato, per la natura o la quantità dei dati gestiti dal titolare, dovrà
procedersi ad una valutazione d’impatto analoga a quella utilizzata nel
settore ambientale, basata, cioè, sull’analisi dei rischi connessi al
trattamento, sulla valutazione delle conseguenze di un incidente e
sull’indicazione delle misure di contenimento di detti rischi.
Il registro dei trattamenti che ogni titolare dovrà istituire in azienda, costituirà la base da cui partire per
l’analisi dei rischi e per la valutazione delle misure di sicurezza da adottare. Dovrà indicare le caratteristiche,
le modalità e le finalità dei trattamenti, anche per consentire alle autorità di eseguire i controlli.
Data Protection by design. Sistemi informatici e applicativi dovranno
essere progettati (e se già esistenti, aggiornati) per minimizzare il
rischio di sottrazione o perdita, anche accidentale, dei dati trattati,
rispettando il criterio dell’uso minimo ed indispensabile rispetto alle
finalità del trattamento. Dovranno essere altresì progettati per l’uso di
sistemi di anonimizzazione e pseudonimizzazione. Data protection by
default. Le misure di sicurezza logiche e organizzative dovranno
garantire la raccolta e l’uso dei soli dati necessari alla finalità dichiarata dal titolare. Non potranno essere
raccolti dati da utilizzare per finalità generiche, né potranno essere destinati ad altre finalità senza un
consenso esplicito.
La sicurezza dei dati dovrà essere ulteriormente curata sia sotto il profilo fisico che logico ed organizzativo.
Le misure di tutela dovranno essere adeguate ai rischi da prevenire. Sebbene non per tutti sia obbligatoria
la valutazione d’impatto del trattamento, è consigliabile comunque farvi ricorso e adottare sistemi di
certificazione e codici di condotta.
Data breach. La violazione degli archivi dovrà essere
immediatamente notificata all’interessato e all’Autorità Garante,
per consentire ad entrambi di intervenire e porre in essere, di
concerto con il Titolare del trattamento, le misure utili a
contenerne gli effetti.
Responsabile del trattamento e Responsabile della protezione dei dati. Sono le due figure (una
preesistente, l’altra di nuova introduzione) sulle quali è incentrata la gestione dei dati e l’adozione delle
misure di sicurezza. La prima ha compiti esecutivi e
viene delegata dal titolare all’espletamento di
determinati compiti connessi al trattamento. La
seconda – obbligatoria per le Pubbliche
Amministrazioni e necessaria per i privati che
effettuano trattamenti su larga scala o profilazione
degli utenti – svolge attività di consulenza (interna o
esterna) e deve caratterizzarsi come esperta ed
indipendente, per eseguire valutazioni periodiche (audit), individuare non conformità e possibili
miglioramenti, redigere relazioni in cui suggerire azioni correttive e possibili evoluzioni del sistema di
gestione del trattamento.
Tra i diritti dell’interessato di nuova codificazione spiccano quello alla
portabilità dei dati, su supporto informatico standard, ai fini del
conferimento ad altro operatore, il diritto all’oblio, cioè alla cancellazione
da siti web e motori di ricerca, il diritto a non subire profilazioni (ad
esempio per la rilevazione di gusti e preferenze) non autorizzate
espressamente dall’interessato.
Lo Sportello Unico per segnalare eventuali violazioni del trattamento consentirà di rivolgersi all’autorità
garante nazionale per ottenere la tutela dei dati dell’interessato in qualsiasi paese dell’Unione Europea. Le
autorità vigilano sul rispetto del Regolamento 679/2016 per garantirne la concreta applicazione, fornendo
consulenza alle istituzioni, rispondendo ai quesiti e rilasciando linee guida per la gestione dei trattamenti in
settori specifici o in situazioni particolari. Hanno poteri di indagine, per acquisire le informazioni necessarie
a svolgere i controlli, poteri correttivi per imporre il rispetto delle norme anche attraverso l’irrogazione di
sanzioni, e poteri autorizzativi e consultivi, per consentire lo svolgimento di trattamenti specifici che
richiedono maggiore attenzione o per suggerire soluzioni agli addetti ai lavori.
Le opportunità
Le nuove figure e i nuovi adempimenti richiesti dal Regolamento
Europeo determineranno la necessità di oltre 50.000 nuovi profili
professionali solo sul territorio italiano. Costituiranno quindi
un’ottima opportunità di crescita per molti professionisti e
dipendenti, di reinserimento nel mondo del lavoro per chi ne è
stato escluso e di inserimento per i giovani.
Le aziende, dal canto loro, avranno l’occasione di ridefinire mansioni e procedure, ottimizzando i sistemi di
gestione delle informazioni, e di sfruttare i nuovi mercati e le nuove occasioni di business che si
manifesteranno. Ad esempio, la scelta dei futuri mercati da aggredire
consentirà di sviluppare nuovi modelli di informative adatti a
raccogliere e gestire i dati necessari a profilare i nuovi utenti, per
comprenderne gusti e preferenze, ad ottimizzare le scorte sulla base
dei consumi, a potenziare e personalizzare la azioni di marketing, a
studiare le reazioni e gli eventi successivi all’acquisto, per orientare le
future offerte e, conseguentemente, le future scelte aziendali.
Dispensa a cura di
Vico del Riccio 14 64100 – Teramo
Tel. e fax 0861 244545 Cell. 347 1677527
www.pomante.com [email protected]