Breve guida al GDPR (General Data Protection Regulation)

Breve guida al GDPR (General Data Protection Regulation)
Tempo di lettura 18 min
  •  
  •  
  •  
  •  
  •  
  •  

 

Sempre più vicini alla fatidica data del 25 maggio 2018, giorno a partire dal quale le sue norme diventeranno definitivamente applicabili in tutti gli Stati membri dell’Unione europea, anche per le start up incombe il dovere di conformarsi alle previsioni del nuovo Regolamento Privacy europeo: il GDPR.

 

Dalla direttiva al regolamento europeo

La precedente normativa (ancora in vigore, almeno fino al 25 maggio), faceva riferimento alla direttiva europea 95/46/CE.

Prima di tutto questo atto normativo, datato 1995,  era stato adottato prima della macroscopica diffusione di Internet, prima della nascita dei social network, prima dell’era della raccolta di dati su larga scala e della digital economy. Prima, quindi, che si sviluppasse questa concezione “invasiva” della tecnologia, diventata caratteristica peculiare dell’era digitale.

In secondo luogo, la natura stessa della direttiva la rende vincolante solo per quegli Stati dell’Unione europea che hanno previsto un atto di recepimento, presupponendo quindi l’adozione, da parte di ciascuna nazione interessata, di leggi interne che consentano di conformarsi alle misure e agli obiettivi previsti dalla direttiva stessa. Di fatto, questo può comportare la presenza, all’interno dell’Unione, di tante diverse interpretazioni quanti sono gli Stati che hanno recepito la direttiva: il risultato è un panorama perlopiù caotico e ostile per le realtà di business, dal momento che ogni impresa deve soffermarsi a valutare cosa può o non può fare in ciascuno degli Stati membri.

È per questo che l’intento principale del legislatore europeo, in fase di approvazione del GDPR è stato quello di prevedere delle regole che fossero unitarie e business-friendly, idonee a incentivare l’integrazione di quello che viene chiamato Digital Single Market. Le caratteristiche del regolamento infatti, a differenza di quelle della direttiva, ne consentono l’applicazione diretta in tutti gli Stati membri dell’Unione (senza rendere necessaria alcuna legislazione di attuazione) permettendo così la creazione di un unico regime di protezione dei dati, comune a tutto il territorio dell’UE.

Un altro significativo vantaggio portato dall’introduzione del nuovo regolamento è l’applicabilità nei confronti di tutti i soggetti che svolgono affari sul suolo europeo, anche di quelli che hanno ufficialmente sede fuori dall’Unione. Questo pone ufficialmente fine alla “discriminazione” fino ad ora sofferta dalle imprese basate nel territorio dell’UE, che non subiranno più lo svantaggio (dovuto proprio alla vecchia direttiva) di dover seguire regole relative alla protezione dei dati che invece non interessavano le concorrenti extra-europee.

 

Oltre l’ambito di applicazione

Una delle novità, rilevante soprattutto quando si parla di nuove imprese innovative, è il fatto che il GDPR favorisce la creazione di un rapporto di fiducia tra realtà tecnologiche e imprenditoriali e consumatori. L’introduzione di regole nuove e decisamente più restrittive delle precedenti implica l’attribuzione di ruolo di “custode” a quelle realtà che si occupano di raccolta dei dati relativi agli utenti,  arricchendo così un rapporto che prima veniva creato sulla base del mero interesse economico e allontanando l’aura di sospetto e ambiguità che troppo spesso caratterizza le relazioni B2C (Business to Consumer).

Si tratta quindi di regole che, se da un lato comportano senz’altro uno sforzo per assicurare la totale conformità del proprio modello di business e delle sue implicazioni pratiche, dall’altro rappresentano certamente un importante incentivo e un valore aggiunto per le aziende che dimostrano di “essere in regola”. Per loro, il GDPR può diventare la chiave per il successo.

Ma in cosa  consiste, nella pratica, lo sforzo che deve compiere un’impresa innovativa per assicurarsi la totale compliance, e quali sono le principali norme che interessano le start up?

Al considerando n. 7, proprio nella prima parte del testo del nuovo Regolamento, si legge “è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”. Sono forse le parole che più di tutte rappresentano il “nocciolo duro” del GDPR, ma quale tipo di comportamento deve discendere da questi principi?

 

Conoscere il proprio business

Quali dati si raccolgono? Quali sono le loro caratteristiche e in quali contesti vengono conservati e utilizzati? Gran parte della rivoluzione del GDPR consiste in una forte responsabilizzazione del titolare del trattamento (vedi successivamente, “Accountability”), che deve operare la raccolta in modo lecito, corretto e soprattutto trasparente.

Uno strumento utile ad incentivare il rispetto delle finalità e dei parametri del regolamento è sicuramente quello  del registro delle attività di trattamento. Si tratta di un documento in cui il titolare deve tenere traccia dettagliata delle attività compiute con dati relativi a dipendenti, fornitori, partner e soprattutto clienti (indicando in particolare le finalità del trattamento, le categorie dei dati e degli interessati, gli eventuali trasferimenti verso paesi terzi dei dati raccolti e le misure di sicurezza adottate).

Quello della tenuta del registro è un obbligo che non si applica alle imprese e organizzazioni con meno di 250 dipendenti, a meno che il trattamento non sia occasionale o ad alto rischio, o includa particolari categorie di dati (ad esempio i dati sensibili). Tuttavia, esso può rappresentare anche per le piccole realtà una risorsa per consentire una gestione più efficace e ordinata della sicurezza dei dati e dell’organizzazione.

 

Informativa

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO(Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).

Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.

Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (e non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).

Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee.

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Il regolamento ammette, soprattutto, l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12,  paragrafo  7); queste icone dovranno essere identiche in tutta l’Ue e saranno definite prossimamente dalla Commissione europea.

Sono inoltre parzialmente diversi i requisiti che il regolamento fissa per l’esonero dall’informativa (si veda art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto dall’articolo 23, paragrafo 1, di quest’ultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato – a differenza di quanto prevede l’art. 13, comma 5, lettera c) del Codice.

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – art. 13 del regolamento). Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

 

Accountability

Il regolamento pone con forza l’accento sulla  “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso“, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati; tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi. All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.

Dunque, l’intervento delle autorità di controllo sarà principalmente ex post, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia. Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” : il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.

 

Titolare, responsabile, incaricato del trattamento

Su tale figura il regolamento disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.

Il regolamento, inoltre, fissa più dettagliatamente (rispetto all’art. 29 del Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento. Viene consentita, in aggiunta, la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).

Infine, vengono previsti obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare,  la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO (si segnalano, al riguardo, le linee-guida in materia di responsabili della protezione dei dati: www.garanteprivacy.it/rpd), nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). Si ricorda, inoltre, che anche il responsabile non stabilito nell’Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all’art. 27, paragrafo 3, del regolamento – diversamente da quanto prevede oggi l’art. 5, comma 2, del Codice.

 

La valutazione d’impatto

Il DPIA (Data Protection Impact Assessment) è forse l’operazione più importante da effettuare per rispondere al principio di accountability. La valutazione del rischio conseguente a un ipotetico data breach rappresenta un elemento fondamentale per la corretta gestione di tutto il ciclo del trattamento, fin dalla predisposizione dei mezzi utili al trattamento stesso.

Per questo, in particolari casi quali la sorveglianza sistematica su larga scala, il trattamento di particolari tipologie di dati o nel caso di profilazione ad alto rischio, il Regolamento prescrive una valutazione preventiva e sistematica delle finalità e della necessità del trattamento. In relazione a questa vanno indicate tutte le misure e le garanzie previste per una adeguata protezione dei dati personali trattati.

Qual è la natura dei dati che potrebbero essere violati? I dati erano cifrati? Con quanta facilità potrebbero essere identificati gli interessati? Quanto gravi potrebbero essere i danni fisici, materiali o immateriali causati agli individui a cui i dati violati si riferivano?

 

In caso di data breach

Se l’esame delle possibili fonti di rischio non è stato sufficiente ad evitare il verificarsi di una violazione dei dati personali, il titolare del trattamento ha il dovere di comunicare la violazione all’autorità di controllo (il Garante della privacy nazionale) entro 72 ore dal momento in cui ne è venuto a conoscenza.

Nel caso in cui la stessa violazione costituisca un pericolo per le libertà e i diritti degli interessati, anche ad essi dovrà essere fornita adeguata comunicazione.

 

Bilanciamento degli interessi: le insidie per il direct marketing

Nell’era della digitalizzazione e dell’Internet of Things i dati significano risorse e profitti. Ancora di più per le start up ad alto contenuto tecnologico, per le quali possono rappresentare non solo una moneta di scambio, ma soprattutto una fonte di potere contrattuale.

Con queste premesse potrebbe essere facile cadere nella tentazione di abusare di questo incredibile vantaggio: monitoraggio e profilazione forniscono una maggiore conoscenza della propria clientela, favoriscono un targeting più efficace e una migliore pianificazione del proprio business.

Il GDPR ha fatto un ulteriore passo avanti in favore delle aziende, stabilendo una volta per tutte che l’interesse legittimo del titolare (anche quello per finalità di marketing diretto) può costituire una base giuridica sufficiente per consentire il trattamento. Ciò significa che una prevalenza del legittimo interesse del titolare, che tra l’altro potrà essere valutata autonomamente dal titolare stesso, sarà in grado di escludere la necessità di richiedere un esplicito consenso all’interessato.

Tuttavia, non soltanto il Regolamento compensa questo vantaggio con una serie di limitazioni (in particolare il principio di minimizzazione) che di fatto obbligano il titolare ad utilizzare la minor quantità di dati e il minor periodo di tempo possibili per le finalità del trattamento, ma amplia anche il ventaglio di diritti dell’interessato.

Il GDPR mette qualunque persona fisica nella condizione di compiere un consapevole esercizio dei poteri di controllo sui propri dati, garantendogli il diritto all’informazione, il diritto all’accesso, alla rettifica e alla cancellazione dei dati che lo riguardano, il diritto alla limitazione del trattamento e il diritto di opposizione.

Una novità assoluta è poi rappresentata dal diritto alla portabilità dei dati, che consente all’interessato di richiedere al titolare i propri dati in formato strutturato e leggibile da un elaboratore automatico, così da poterli trasferire da un servizio ad un altro.

Anche qui si tratterà quindi di effettuare una valutazione caso per caso, basata sul prudente bilanciamento degli interessi del titolare e dell’interessato. È ragionevole prevedere che nella maggior parte dei casi si dovrà ricorrere ad un consenso aggiornato e conforme a quanto previsto dalla nuova normativa, e dunque inequivocabile (esplicito solo nel caso di dati sensibili), libero, specifico, informato, verificabile e revocabile.

Lo scenario può risultare più complesso e le sanzioni per chi non si adegua saranno senz’altro pesanti (fino a 20 milioni o al 4% del fatturato mondiale annuo, se superiore), ma è tutto finalizzato a incentivare il vantaggio competitivo delle aziende e la creazione di un mercato digitale europeo uniforme.

 

Trasferimento di dati verso paesi terzi e organismi internazionali

In primo luogo, viene meno il requisito dell’autorizzazione nazionale. Ciò significa che il trasferimento verso un Paese terzo “adeguato” ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di norme vincolanti d’impresa approvate attraverso la specifica procedura di cui all’art. 47 del regolamento, potrà avere inizio senza attendere l’autorizzazione nazionale del Garante –  a differenza di quanto attualmente previsto dall’art. 44 del Codice.
Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento.

Il regolamento consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le “garanzie adeguate” previste dall’art. 46. Ciò significa che i titolari o i responsabili del trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l’adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti. Tuttavia, tali titolari dovranno assumere un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati.

Il regolamento, inoltre, vieta trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell’esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati. Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche di cui all’art. 49. A tale riguardo, si deve ricordare che il regolamento chiarisce come sia lecito trasferire dati personali verso un Paese terzo non adeguato “per importanti motivi di interesse pubblico”, in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Ue  – e dunque non può essere fatto valere l’interesse pubblico dello Stato terzo ricevente.

Il regolamento fissa i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbligatori di tali norme. L’elenco indicato al riguardo nel paragrafo 2 dell’art. 47 non è esaustivo e, pertanto, potranno essere previsti dalle autorità competenti, a seconda dei casi, requisiti ulteriori. Ad ogni modo, l’approvazione delle norme vincolanti d’impresa dovrà avvenire esclusivamente attraverso il meccanismo di coerenza di cui agli artt. 63-65 del regolamento – ossia, è previsto in ogni caso l’intervento del Comitato europeo per la protezione dei dati (si veda art. 64, paragrafo 1, lettera d) ).

Il regolamento ha poi confermato l’approccio attualmente vigente in base alla direttiva 95/46 e al Codice italiano per quanto riguarda i flussi di dati al di fuori dell’Unione europea e dello spazio economico europeo, prevedendo che tali flussi sono vietati, in linea di principio, a meno che intervengano specifiche garanzie che il regolamento elenca in ordine gerarchico:

1) adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea (si veda art. 44, comma 1, lettera b), del Codice);

2) in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d’impresa – BCR, e clausole contrattuali modello) (si veda Art. 44, comma 1, lettera a) del Codice);

3) in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni (corrispondenti in parte alle disposizioni dell’art. 43, comma 1, del Codice).

Le decisioni di adeguatezza sinora adottate dalla Commissione (livello di protezione dati in Paesi terzi, a partire dal Privacy Shield, e clausole contrattuali tipo per titolari e responsabili) e gli accordi internazionali in materia di trasferimento dati stipulati prima del 24 maggio 2016 dagli Stati membri restano in vigore fino a loro eventuale revisione o modifica (si vedano art. 45, paragrafo 9, e art. 96). Restano valide, conseguentemente, le autorizzazioni nazionali sinora emesse dal Garante successivamente a tali decisioni di adeguatezza della Commissione. Restano valide, inoltre, le autorizzazioni nazionali che il Garante ha rilasciato in questi anni per specifici casi (si veda art. 46, paragrafo 5), sino a loro eventuale modifica.