lunedì 18 giugno 2018

Recepito il GDPR: prime osservazioni sul Decreto Legislativo 51/2018


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy


È stato pubblicato sulla Gazzetta Ufficiale il 24 Maggio ed è entrato in vigore il successivo 8 Giugno il Decreto Legislativo 51 del 18 Maggio 2018, attuativo delle regole UE sul trattamento dei dati personali a fini penali e di sicurezza pubblica. L’Italia ha quindi totalmente recepito il nuovo Regolamento Europeo (GDPR), che sostituisce in gran parte la normativa nazionale in materia di trattamento dati personali, con questa prima disposizione attuativa - immediatamente esecutiva - e che non ha avuto bisogno di passare al vaglio del Parlamento.

Occorre, per prima cosa, una necessaria premessa di carattere generale e di natura definitoria. È improprio definire il GDPR (così come del resto la precedente normativa D.L 196/2003) una normativa sulla Privacy intesa nel senso stretto e letterale, oltre che giuridico, del termine. Pur essendo infatti la parola ormai entrata nel linguaggio quotidiano, fino al punto da essere inserita sul sito ufficiale dell’Organismo preposto alla vigilanza in materia, riguardo al GDPR è più corretto parlare di “trattamento dei dati personali”. Il concetto di privacy, è di origine anglosassone e trova le sue radici nel diritto di essere "lasciati in pace" o, per dirlo con i termini originali il "right to be let alone". In sintesi è il diritto di ogni persona a non subire interferenze o altra forma di intromissioni nella propria vita e nella sfera personale, familiare e domestica. Nasce dalla necessità di tutelare la propria vita dalle ingerenze altrui di ogni forma, che possono spaziare dallo spiare nell‘abitazione o altro luogo privato fino alla pubblicazione di fatti personali non di pubblico dominio o rilevanti a fini di cronaca. 

Il GDPR si occupa di ogni forma di trattamento dei dati personali: disciplina cioè le modalità di raccolta, trattamento e gestione dei dati sensibili di ogni individuo. Destinatari del GDPR sono sostanzialmente tutti coloro che, nell’ambito della loro attività lavorativa o meno, vengano in possesso di dati personali: questi possono spaziare da quelli generali anagrafici, codice fiscale, coordinate bancarie, indirizzi mail fino a tutte le altre informazioni, necessarie per lo svolgimento della propria attività, che possano identificare un singolo individuo. Quindi il GDPR riguarda non solo tutte le aziende di dimensioni importanti (i gestori telefonici, i fornitori di energia elettrica e acqua ecc...), ma anche ogni professionista o artigiano (dal commercialista al notaio, dall’elettricista al fornitore dell’impianto di allarme) cui debbano necessariamente essere messi a disposizione dati e informazioni per svolgere le proprie attività. Allo stesso modo dovranno adeguarsi, seppur con modalità ben diverse da quelle di aziende e professionisti, anche le sasociazioni private, sportive e tutte quelle attività che, in qualsiasi maniera, sono in possesso di dati di clienti, fornitori, iscritti, associati e così via, nonché coloro che hanno mailing list.

In estrema sintesi non è sbagliato sostenere che sul negoziante sotto casa e su Mark Zuckerberg gravano gli stessi obblighi.  

Tornando al D.Lgs. 51/2018, il suo scopo è l'adeguamento della normativa nazionale alla Direttiva UE 2016/680 relativa alla protezione delle persone fisiche anche riguardo al trattamento da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.

Dopo aver sostanzialmente recepito gli aspetti definitori e i principi base del Regolamento, viene sancito che i dati raccolti devono essere:
  • trattati in modo lecito e corretto;
  • raccolti per finalità determinate, espresse e legittime e trattati in modo compatibile con tali finalità;
  • adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati;
  • esatti e, se necessario, aggiornati su semplice richiesta dell’interessato;
  • conservati con modalità che consentano l'identificazione degli interessati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione, cancellati o anonimizzati una volta decorso tale termine;
  • trattati in modo da garantire un'adeguata sicurezza e protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale mediante l'adozione di misure tecniche e organizzative adeguate.

Vengono anche definite le figure che sono alla base della nuova disciplina, sempre in attesa che leggi o regolamenti provvedano a definire le caratteristiche e i requisiti del DPO, il Data Protection Officer: per DPO si intende la figura in effettivo carico, unitamente e in sintonia al titolare del trattamento, di tutte le operazioni di sicurezza e delle comunicazioni consequenziali, da quelle relative ai trattamenti fino alle informative al Garante in caso di perdita dati. 

In maniera decisamente esaustiva all’articolo 25 del Decreto Legislativo in questione viene stabilito che è compito del titolare del trattamento e del Data Protection Officer mettere in atto le misure tecniche e organizzative necessarie a garantire un livello di sicurezza adeguato al rischio di violazione dei dati. Considerato che statistiche affidabili riferiscono un numero minimo di diecimila attacchi al giorno da parte di hackers agli utenti informatici, è agevole capire i livelli di rischio che un’azienda deve fronteggiare. Per i DPO quindi non sono sufficienti solo competenze giuridiche, ma anche tecniche, informatiche e aziendali che saranno richieste unitamente ad un costante obbligo/dovere di aggiornamento alla luce di nuovi programmi informatici o soluzioni tecnologiche anche solo in via di perfezionamento. Effettivamente la figura del DPO pone non poche problematiche di carattere non solo definitorio, ma anche sostanziali. Non essendo state ancora normativamente definite la figura, le caratteristiche e i titoli, nonché le qualifiche, di chi potrà assumere la veste e qualifica di DPO, al momento troviamo avvocati, commercialisti e tecnici informatici che offrono questo servizio. Il rischio è che, al momento dell’entrata in vigore di un eventuale regolamento applicativo, questi possano non avere in realtà i necessari requisiti (forse anche con conseguenze sull’attività precedentemente svolta). 

In ogni caso è certo che la nomina del DPO debba essere necessariamente in forma scritta e debba essere eseguita tenendo in considerazione le qualità professionali e la conoscenza specialistica della normativa e della prassi in materia del nominato. Non solo, al momento della nomina vanno tenuti di conto inoltre la capacità di assolvere ai compiti di informazione e vigilanza, fornire pareri, fungere di concerto con il Garante della Privacy e di cura dei registri dei dati. Da qui discende non solo l’opportunità, ma l’obbligo di fatto che il DPO sia un soggetto esterno che possa portare non solo un contributo fattivo, ma abbia anche la possibilità di disporre di autonomia decisionale e operativa. È infatti espressamente previsto che il DPO non debba avere alcuna posizione di conflitto di interessi, anche solo potenziale, con l’azienda.

Non meno importante la parte in cui vengono ribadite le sanzioni, oltre quelle penali, per le violazioni. Altissime quelle amministrative, oltre precise fattispecie penali sempre salvo che il comportamento non configuri più gravi reati. Le pene sono decisamente elevate e potrebbero rivelarsi deleterie per aziende anche di medie e grosse dimensioni. Da qui la necessità di un’attenta cura ai registri di trattamento dati e ai sistemi di sicurezza applicati.

Nessun commento:

Posta un commento