Con l’emanazione del Decreto legislativo 10 agosto 2018, n. 101, riguardante il nuovo codice della privacy italiano, il legislatore ha finalmente recepito il Regolamento UE 2016/679, meglio conosciuto con l’acronimo GDPR (General Data Protection Regulation), in vigore dal 25 maggio 2018. Pubblicato in Gazzetta Ufficiale il 4 settembre 2018, il provvedimento in parola è rubricato come “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. In vigore dal 19 settembre 2018, il suo obiettivo è di uniformare la normativa italiana a quella degli altri Stati europei in tema di trattamento e libera circolazione dei dati personali dei cittadini dell’Unione.
LA RATIO DELLE MODIFICHE AL CODICE DELLA PRIVACY
La scelta di procedere apportando modifiche ed integrazioni al preesistente codice della privacy (D. Lgs. 196/2003) ha sorpreso non poco gli esperti del settore. Con la novella europea, invero, si è di fatto profondamente modificato l’approccio alla tutela della privacy come intesa dal vecchio codice, grazie all’introduzione del fondamentale principio dell’accountability (o responsabilizzazione).
L’intento del legislatore appare chiaro: ha prevalso la logica della semplificazione, mediante la riunione in un unico corpo normativo della precedente regolamentazione (decreti legislativi, regolamenti e codici deontologici succedutisi negli anni). Una precisazione è d’obbligo: per un periodo transitorio continuano ad essere efficaci i provvedimenti del Garante e le autorizzazioni, oggetto di successivo riesame. Anche i Codici deontologici vigenti potranno essere modificati su iniziativa delle categorie interessate quali codici di settore.
Il principio di accountability
Il precedente codice della privacy era focalizzato sulla regolamentazione delle sanzioni e dei rimedi alle possibili violazioni, con un approccio più “reattivo” che “preventivo”. Il legislatore, nazionale ed europeo, ha ben compreso come tale impostazione fosse inadeguata. Ciò soprattutto alla luce della continua evoluzione della tecnologia ed al massiccio utilizzo di strumenti quali social network, cloud computing e analisi dei dati del traffico online. Pertanto, la nuova normativa è stata improntata alla responsabilizzazione dei soggetti che trattano, a qualunque titolo, i dati personali dei cittadini. In tal senso, non basta più l’adozione di misure minime di sicurezza, ma occorre che tali soggetti adottino comportamenti proattivi che prevengano efficacemente i possibili danni. Sarà pertanto necessario analizzare attentamente la propria situazione aziendale e prendere opportuni provvedimenti al fine di tutelare i dati personali trattati. Il codice parla adesso infatti di misure adeguate.
COME ADEGUARSI AL NUOVO CODICE DELLA PRIVACY 2018
La scelta migliore è quella di rivolgersi a professionisti del settore per un’analisi del grado di rischio insito nello svolgimento dell’attività, e per comprendere come adeguarsi alla nuova disciplina.
Il Garante ha reso disponibile sul proprio sito web istituzionale il testo coordinato del codice aggiornato, che tuttavia, bene precisarlo, non ha valenza di normativa ufficiale. Infatti, il Garante stesso, nelle note al documento, avverte che “Il presente testo coordinato è reso disponibile al solo scopo informativo e non ha valore ufficiale. Hanno valore ufficiale infatti solo i testi normativi pubblicati sulla Gazzetta Ufficiale della Repubblica Italiana“.
Gli aspetti innovativi più rilevanti del codice della privacy aggiornato dal decreto legislativo sono i seguenti:
- Registro dei trattamenti;
- Informativa e raccolta del consenso;
- Nomina del responsabile esterno;
- Videosorveglianza;
- Analisi dei rischi e adozione di adeguate misure di sicurezza;
- Nomina dell’RPD o DPO (Responsabile Protezione Dati o Data Protection Officer);
- Comunicazione di Data Breach.
REGISTRO DEI TRATTAMENTI
Si tratta dell’adempimento di primaria importanza previsto dal codice della privacy 2018. Per compilare correttamente il registro dei trattamenti si può fare riferimento alla bozza fornita dal Garante della Privacy sul proprio sito, nonché alle FAQ che forniscono chiarimenti ed indicazioni operative. La tenuta del registro è obbligatoria per i soggetti che trattano dati personali in situazioni considerate a rischio, o che trattano dati di natura sanitaria e/o giudiziaria. Ciò pur se dette attività siano di dimensioni ridotte, come ad esempio esercizi commerciali che trattano anche dati sanitari, studi medici, professionisti, ma anche fondazioni ed associazioni. Anche nei casi in cui non sia obbligatoria, la compilazione è comunque raccomandata, giacché consente di tracciare i trattamenti svolti e dimostra il recepimento del principio di accountability.
Quali dati inserire nel Registro dei trattamenti
Per ogni trattamento, devono essere individuati:
- le finalità e la base giuridica del trattamento;
- le categorie di interessati (es. clienti, fornitori, etc.) dal trattamento;
- le categorie di dati personali trattati;
- gli eventuali destinatari terzi dei dati personali oggetto di trattamento;
- la necessità, eventuale, di trasferire i dati verso paesi terzi;
- i termini ultimi previsti per la cancellazione dei dati personali;
- le misure di sicurezza adottate a tutela dei dati trattati.
INFORMATIVA E RACCOLTA DEL CONSENSO
Altro adempimento importantissimo previsto dal codice privacy aggiornato è la redazione dell’informativa sulla privacy. Questa deve essere messa a disposizione degli interessati dal trattamento dei dati personali sin dal momento della raccolta dei dati stessi. A tal fine, è opportuna la pubblicazione dell’informativa anche sul sito web istituzionale. Tale documento dovrà contenere anche le informazioni in merito all’utilizzo dei cd. cookies, e a tutti i modi in cui i dati vengono raccolti e trattati. Se, poi, il sito raccoglie dati personali tramite form di contatto, è necessario che l’utente prenda visione dell’informativa e, se del caso, presti apposito consenso al trattamento. Il modulo di richiesta di consenso è necessario in tutti i casi in cui debbano essere trattati dati sanitari o di natura giudiziaria, o per finalità di marketing. Quando, tuttavia, il trattamento dei dati è finalizzato all’adempimento contrattuale o informativo, il consenso non è necessario.
Quali dati inserire nell’informativa
Costantemente aggiornata, deve contenere alcuni requisiti minimi:
- dati del titolare del trattamento;
- finalità e base giuridica del trattamento;
- soggetti destinatari dei dati oggetto di trattamento, nel caso di trasferimento a terzi;
- periodo di conservazione dei dati;
- diritti dell’interessato relativamente ai propri dati oggetto di trattamento;
- natura obbligatoria o facoltativa del conferimento dei dati.
NOMINA DEL RESPONSABILE ESTERNO
Sovente può essere necessario trasferire a terzi i dati personali raccolti, perché richiesto dalla natura dell’attività. Ad esempio, il titolare di un e-commerce dovrà trasferire al corriere i dati relativi all’indirizzo di consegna. In tali casi, i terzi responsabili del trattamento per conto del Titolare dovranno garantire il medesimo grado di sicurezza e soddisfare i requisiti richiesti dal nuovo codice della privacy 2018. Pertanto, i sub-responsabili dovranno essere scelti accuratamente, dopo un’attenta analisi dei rischi e dei benefici derivanti dall’affidamento ai terzi dei dati di cui il Titolare è in possesso. È inoltre necessario nominare, mediante apposito atto scritto, i sub-responsabili e fornire istruzioni scritte in merito alle modalità di trattamento dei dati.
VIDEOSORVEGLIANZA
Il ricorso ad impianti di videosorveglianza è ammesso per specifiche finalità tutelate dall’ordinamento giuridico (es. protezione della proprietà e degli individui, prevenzione delle infrazioni, etc.). Di contro, gli interessati devono essere sempre informati qualora stiano per accedere ad una zona videosorvegliata. A tal fine, il codice della privacy 2018 ha previsto un’informativa minima, in forma di cartello sempre chiaramente visibile prima che l’interessato entri nell’area sottoposta a videosorveglianza. Il Garante, inoltre, consiglia la messa a disposizione di un’informativa completa, che contenga i contenuti minimi in materia di privacy. Essa può essere affissa in bacheca, pubblicata sul sito internet, ovvero esposta nei locali videosorvegliati. Importante ricordare che la videosorveglianza dei luoghi in cui i lavoratori svolgono le proprie mansioni deve essere autorizzata preventivamente dalla Direzione Territoriale del Lavoro competente.
ANALISI DEI RISCHI E ADOZIONE DI ADEGUATE MISURE DI SICUREZZA
Il nuovo codice della privacy 2018 richiede l’adozione di adeguate misure tecniche ed organizzative atte a garantire un livello di sicurezza commisurato al rischio. In particolare, è necessario valutare se ed in quale misura possano verificarsi i seguenti danni:
- distruzione, perdita e/o modifica dei dati;
- divulgazione non autorizzata;
- accesso in modo accidentale o illegale di terzi ai dati trattati o conservati.
In questa fase di valutazione ed adeguamento, è fondamentale l’ausilio dei consulenti IT. La maggior parte dei trattamenti di dati avviene, infatti, su strumenti elettronici, i quali devono essere adeguati alle esigenze aziendali e costantemente aggiornati. Occorre mappare l’utilizzo di servizi “cloud” stranieri (Gmail, DropBox, iCloud…), in alcuni casi inadeguati a garantire il livello di sicurezza desiderato.
Accesso da remoto dei dipendenti
Particolare attenzione viene posta dal nuovo codice della privacy 2018 al caso in cui sia fornito ai dipendenti l’accesso da remoto, tramite dispositivi personali o aziendali, ai dati trattati dall’azienda. In tal senso, è consigliabile predisporre un’apposita policy interna che informi i dipendenti degli obblighi vigenti in materia di protezione dei dati personali e degli oneri posti a loro carico. Tra questi, l’obbligo di riservatezza e segretezza, il divieto di spostare dai locali aziendali informazioni o documenti riservati, l’obbligo di comunicare con urgenza al Titolare eventuali violazioni di cui sia venuto a conoscenza, (ad esempio l’invio di e-mail a destinatari errati, etc.).
NOMINA DELL’RPD O DPO (RESPONSABILE PROTEZIONE DATI O DATA PROTECTION OFFICER)
La Nomina dell’RDP/DPO è obbligatoria quando l’attività principale dell’azienda consista nel trattamento sistematico di categorie particolari di dati personali o dati relativi a condanne penali e a reati. E’ parimenti obbligatoria laddove il trattamento regolare e sistematico avvenga su larga scala. In tutti gli altri casi, a norma del nuovo codice della privacy la nomina è facoltativa, e deve essere attentamente valutata l’opportunità di inserimento di tale figura.
A titolo esemplificativo, sono tenuti alla nomina dell’RPD/DPO:
- istituti di credito ed imprese assicurative;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria;
- società che forniscono servizi informatici.
COMUNICAZIONE DI DATA BREACH
Per “Data Breach” si intende ogni attività sui dati personali (consultazione, copiatura, trasmissione, furto o utilizzo in qualunque modo) compiuta da un soggetto non autorizzato. Qualora un’azienda subisca una di tali violazioni, è obbligata ad effettuare un’apposita comunicazione al Garante della Privacy, immediatamente dopo esserne venuta a conoscenza e comunque non oltre 72 ore. Istruzioni dettagliate in conformità al codice della privacy 2018 sono a disposizione sul sito del Garante. In caso di rischi per l’interessato (ovvero il soggetto cui si riferiscono i dati), quest’ultimo deve essere informato della violazione intervenuta. Deve essere tenuto un registro dei Data Breach, che assolve a due importantissime funzioni. Innanzitutto, consente di individuare e tenere sotto controllo i fattori di rischio del trattamento dei dati personali. Inoltre, aiuta a dimostrare la conformità delle misure adottate in caso di eventuale verifica da parte dell’Autorità.