GDPR: un cambio di mentalità nella tutela della privacy
A cura di Simone Meazza, avvocato e consulente per la Privacy.
“Affermare che non si è interessati al diritto alla
privacy perché non si ha nulla da nascondere è come
dire che non si è interessati alla libertà di parola
perché non si ha nulla da dire.” (Edward Snowden)
Nel corso degli ultimi mesi si è parlato molto di “privacy”, anche per via di alcune notizie di cronaca, come il caso riguardante la “Cambridge Analytica”, un’azienda di consulenza e di marketing online specializzata nel raccogliere dai social network un’enorme quantità di dati personali, per poi elaborarli creando “profili” molto precisi sui gusti e sulla personalità degli utenti. A tal proposito il Garante Europeo della Privacy ha più volte evidenziato gli elevati rischi di compromissione della riservatezza degli individui e la necessità di rafforzare le misure di tutela, in assenza delle quali i dati personali potrebbero essere inopportunamente usati per “manipolare” le scelte dei cittadini. Il Regolamento Europeo n. 2016/679 (più conosciuto con l’acronimo inglese “GDPR”), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e direttamente applicabile ed operativo in tutti i Paesi UE a partire dal 25 maggio 2018, è intervenuto al momento opportuno, nel mezzo di queste accese discussioni su una tematica certamente delicata.
I destinatari
Questo nuovo regolamento, nato con la finalità di assicurare un'applicazione omogenea delle norme in materia di privacy in tutta l'Unione Europea, ha come destinatario qualsiasi operatore, pubblico o privato, che, durante lo svolgimento della propria attività, si occupi del trattamento di dati personali, vale a dire di “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. E’ opportuno, inoltre, ricordare che, con il termine “trattamento”, il regolamento si riferisce a qualsiasi operazione che venga compiuta su un dato personale, dalla semplice raccolta o registrazione, fino alla cancellazione o distruzione.
Esempi pratici
Il GDPR costituisce, per certi aspetti, una vera e propria “rivoluzione copernicana” in materia di privacy, prevedendo modifiche strutturali e organizzative al modo in cui vengono raccolti e trattati i dati personali: un punto di svolta a cui sono chiamati tutti coloro che, nell’esercizio della propria attività imprenditoriale, hanno a che fare coi dati di clienti, utenti, fornitori o dipendenti. La nuova normativa si rivolge, infatti, a tutte le aziende che effettuino trattamenti di dati personali, nessuna esclusa. Ovviamente l’attività per adeguarsi alla nuova normativa sarà differente a seconda della dimensione dell’azienda e della quantità e qualità di dati trattati. Siete titolari di un piccolo negozio di alimentari, senza avere alcun dipendente? L’attività da compiersi sarà sicuramente limitata a pochi “interventi” di adeguamento. Vi servite, però, di un sito web per pubblicizzare la vostra impresa? Dovrete sicuramente preoccuparvi di modificare le informative per gli utenti pubblicate sul vostro sito. Avete, invece, una società che fornisce servizi informatici o una società di revisione contabile? L’attività di adeguamento alla normativa europea sarà, allora, davvero considerevole.
Le sanzioni
In ogni caso, tutti gli imprenditori sono, in varia misura, coinvolti da questo nuovo impegno nella protezione dei dati personali, nella consapevolezza che la mancata osservanza delle prescrizioni del GDPR potrà portare a sanzioni ben più pesanti rispetto al recente passato: nei casi più gravi addirittura sino a 20 milioni di Euro o al 4% del fatturato globale.
Parola d'ordine: responsabilizzazione
Ma quali sono le grandi novità di questo regolamento europeo? “Responsabilizzazione”: questa è la parola d’ordine e il fondamento su cui deve poggiare l’intera struttura di un’azienda per sviluppare correttamente la tutela della privacy. Il GDPR, infatti, impone un cambio di mentalità radicale e uno sforzo di maturità nell’approccio al trattamento dei dati personali, all’insegna del principio dell’accountability con il quale non si richiede semplicemente al titolare del trattamento di introdurre idonee misure tecniche ed organizzative conformi alla normativa sulla privacy, ma, soprattutto, si impone la garanzia di una continua attività di controllo e verifica delle attività di trattamento per dimostrare di essere “in regola”.
Una rivoluzione mentale e culturale
In altre parole, il titolare non potrà più limitarsi a svolgere un “compitino una tantum” (ad esempio, osservando le semplici prescrizioni in materia di misure minime di sicurezza che erano previste nel nostro “vecchio” Codice della Privacy) o un semplice adempimento di natura burocratica, ma dovrà costantemente fornire la prova della sua “sensibilità” e dell’attenzione verso la protezione dei dati, valutando regolarmente i possibili rischi collegati all’utilizzo delle informazioni in suo possesso. Si tratta di una rivoluzione mentale e culturale di notevole rilievo, con evidenti conseguenze nell'organizzazione aziendale.
La “regola SIMP”
Un imprenditore dovrà “esaminarsi” periodicamente per avere un’idea precisa della propria realtà aziendale (organizzazione, ruoli, soggetti interni ed esterni, procedimenti, documentazione, sistema informatico, etc.), comprendere come vengono gestiti i dati, identificare quindi i rischi e le soluzioni più adeguate per attenuarli. Questo “modus operandi” può essere riassunto nella cosiddetta “regola SIMP”: Sapere (cioè conoscere il contenuto del GDPR e la propria situazione aziendale); Intervenire (cioè porre in essere le azioni necessarie per ottemperare a quanto richiesto dalla normativa); Mantenere (cioè fare in modo che le procedure di tutela dei dati siano costantemente rispettate e, se necessario, aggiornate nel tempo); Provare (cioè documentare e fornire la prova di aver seguito le corrette regole nella gestione dei dati personali).
Le altre regole fondamentali
Alla “responsabilizzazione” il GDPR ricollega poi altri fondamentali princìpi che ispirano l’intera normativa e che devono guidare ogni “operatore di dati”, tra cui i seguenti:
- “principio di trasparenza”: i dati devono essere facilmente accessibili dagli interessati e le comunicazioni relative al trattamento devono essere chiare e comprensibili;
- “principio di limitazione”: la raccolta dei dati può avvenire soltanto per finalità determinate, esplicite e legittime e i dati devono essere conservati esclusivamente per il tempo necessario al raggiungimento delle suddette finalità;
- “principio di esattezza”: i dati raccolti devono essere esatti e, se necessario, aggiornati, con la conseguenza che le aziende devono adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
- -“principio di minimizzazione”: la richiesta dei dati deve essere adeguata, pertinente e limitata a quanto necessario per il perseguimento delle finalità del trattamento.
Maggiore sensibilizzazione sulla raccolta dei dati
In conclusione, con il GDPR il legislatore europeo vuole che la protezione dei dati personali divenga parte integrante della cultura imprenditoriale e che siano coinvolti, in quest’opera di “sensibilizzazione”, sia i livelli apicali di un’azienda (direttori, manager, amministratori delegati), sia i suoi dipendenti. Nei prossimi appuntamenti affronteremo, in maniera più specifica, i singoli passi che, in concreto, un’azienda ha l’obbligo di compiere per allinearsi alle prescrizioni del legislatore europeo (dall’adozione di nuove informative sulla privacy con la raccolta dei relativi consensi al trattamento, alla nomina e alla formazione dei soggetti incaricati al trattamento dei dati; dalla redazione del Registro delle attività di trattamento all’eventuale nomina del Responsabile della Protezione dei Dati), oltre ad analizzare i diritti previsti nel GDPR per ogni soggetto interessato al trattamento dei dati personali.
OPPURE