Privacy, cambiano le regole

privacy

Ieri, durante i negoziati tra Commissione UE, Consiglio e Parlamento, è stato concluso l’accordo sul nuovo regolamento europeo per la tutela dei dati personali, che introdurrà una legislazione unica per tutti i 28 stati membri, mandando in pensione le attuali normative europee e nazionali.

La riforma, che ha avuto un iter di elaborazione abbastanza lungo (la prima proposta è stata presentata nel gennaio 2012), e il cui testo finale sarà adottato dal Parlamento a inizio 2016, farà perno su due strumenti: il regolamento generale sulla protezione dei dati e la direttiva sulla protezione dei dati per il settore giustizia penale e i sistemi di polizia.

Il primo mira a rafforzare il controllo effettivo del cittadino sull’uso che viene fatto dei suoi dati e a conferire alle imprese la possibilità di sfruttare, con regole certe e uniformi, le opportunità offerte dal nascente mercato unico digitale.

La seconda, orientata alla giustizia penale, mira a garantire un’adeguata protezione dei dati di vittime, testimoni e indagati nel contesto di indagini e azioni di contrasto alla criminalità e a favorire, grazie alla uniformità delle regole, la cooperazione transfrontaliera degli organi di giustizia e polizia per il contrasto alla criminalità e al terrorismo.

Se questi sono gli intenti, così come esplicitati dal comunicato stampa della Commissione (che si può trovare al link http://europa.eu/rapid/press-release_IP-15-6321_it.htm), all’atto pratico l’approccio delle imprese italiane al problema privacy  dovrà cambiare.

Non si tratta infatti di una semplice revisione della normativa, ma di una vera e propria riforma, che, per la realizzazione degli intenti dichiarati, comporterà il passaggio da un sistema di tipo formalistico ad uno di tipo sostanzialistico, in cui vengono ampliati i diritti dei privati (dei cui dati si tratta) da una parte e valorizzati il ruolo e la responsabilità dei Titolari del trattamento dall’altra.

Soffermando l’attenzione sul regolamento generale, vediamo di sintetizzare i principali elementi di innovazione.

Innanzitutto, val la pena di osservare che il regolamento (in quanto tale, secondo l’art 288 del TFUE) sarà direttamente ed immediatamente esecutivo e non necessiterà del recepimento da parte degli Stati membri (ai quali sarà comunque lasciata la possibilità di mantenere o adottare norme specifiche di settore) e la sua entrata in vigore sarà differita di due anni rispetto alla promulgazione, periodo durante il quale i Titolari dei trattamenti dovranno provvedere ad adeguarsi alle nuove disposizioni.

Dato che il testo normativo da applicare sarà quello del regolamento, sparirà finalmente l’insulsa differenza terminologica (che in queste righe continuo, per chiarezza, a utilizzare) che ha caratterizzato la nostra legislazione rispetto alla normativa europea: il nostro “Titolare” diverrà dunque il “Responsabile” e il nostro “Responsabile” l’”Incaricato”.

Riguardo al campo di applicazione, varrà il principio “european rules on european soil”: il diritto dell’Unione Europea in materia si applicherà anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti.

Il regolamento resterà applicabile al trattamento di dati di persone fisiche e si applicherà anche al trattamento di identificativi prodotti da dispositivi, applicazioni, strumenti e protocolli, quali gli indirizzi IP, i cookies e i tag di identificazione a radiofrequenza.

La nuova normativa sarà intesa a conferire al cittadino una tutela rafforzata rispetto al trattamento dei (propri) dati personali, in conformità con il principio, sancito dalla Carta dei diritti fondamentali dell’Unione europea, secondo cui ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano in tutti gli ambiti della propria esistenza.

Nel regolamento verranno dunque confermati ed ampliati i diritti “classici” relativi al trattamento dei dati personali e ne verranno sanciti (o meglio, consolidati) di nuovi, quali, in particolare, il diritto all’oblio e il diritto alla portabilità del dato.

Quanto agli “obblighi”, verrà introdotto il principio di rendicontazione (“accountability”), secondo cui il Titolare del trattamento deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità, indicando obbligatoriamente, per ognuno di essi, una serie cospicua di informazioni, tali da assicurare e comprovare la conformità di ciascuna operazione alle disposizioni normative (in pratica si richiederà la codifica della politica e della attività di trattamento).

Verrà ampliato e potenziato il principio di trasparenza e di informazione nei confronti dell’interessato: il Titolare del trattamento sarà tenuto ad adottare politiche concise, trasparenti, chiare e facilmente accessibili e a rendere informazioni e comunicazioni con un linguaggio semplice e chiaro (in particolare se le informazioni sono destinate ai minori). Verrà reso più stringente l’obbligo di informativa, il cui contenuto viene ampliato, e verrà reso più capillare l’obbligo di acquisizione dei consensi (che dovranno essere specifici).

Verrà valorizzato l’approccio orientato al rischio: in ogni caso, anziché imporre pesanti obblighi applicabili indistintamente, le norme adatteranno gli obblighi ai corrispondenti rischi. Questo comporta che, alla base della politica aziendale sul trattamento dei dati, dovrà essere posta una seria operazione di valutazione dei rischi indotti dall’attività specifica, mentre nei casi in cui il trattamento alla base dei processi aziendali, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati i Titolari dovranno effettuare una Valutazione degli impatti privacy (Data Protection Impact Analysis o DPIA) fin dal momento della progettazione del processo aziendale.

Verranno introdotti i principi di “Privacy by design” e “Protezione di default”: i processi e le attività aziendali dovranno essere progettati e strutturati per tutelare di per sé, strutturalmente e in automatico, i dati trattati, dall’acquisizione alla cancellazione.

Verrà prevista, per alcune categorie di Titolari, la designazione obbligatoria di un Data Protection Officer (il famoso Privacy Officer) o DPO, una vera e propria nuova figura professionale, che dovrà disporre di precise e specifiche competenze sia giuridiche che informatiche nell’ambito della protezione dei dati personali, a cui dovranno essere assicurate indipendenza e dotazione di mezzi e che dovrà svolgere funzioni sostanzialmente informative, consultive e di vigilanza sull’attuazione della normativa e della politica aziendale sul trattamento dei dati, e fungerà da “punto di contatto” tra l’azienda e l’autorità di controllo.

Quanto a quest’ultima, verrà introdotto il principio dello “sportello unico” (one-stop-shop): le imprese avranno a che fare con un’unica autorità di controllo.

Verrà inoltre prevista la notificazione di ogni eventuale violazione dei dati sia all’Autorità di controllo sia all’interessato.

Infine, verrà ristrutturato il sistema delle sanzioni, che verrà ampliato e sensibilmente inasprito.

Bisognerà attendere la promulgazione del regolamento per dire l’ultima parola sulla nuova fisionomia del diritto alla protezione dei dati e sulle soluzioni organizzative che i Titolari dovranno reperire per darvi piena attuazione.

Sicuramente in un sistema come il nostro, in cui la normativa sulla “privacy” è stata vissuta fino ad oggi dai Titolari, in larghissima misura, come un coacervo di obblighi puramente formali, dovrà determinarsi un cambio di prospettiva e di mentalità quasi rivoluzionario.

Nella mia esperienza ho avuto modo di osservare come nelle aziende italiane (e non mi riferisco solo alle private, ma anche e forse soprattutto alle pubbliche), nella maggior parte dei casi, non vi sia la minima percezione di cosa significhi davvero trattare dati personali e cosa questo comporti.

Nella maggior parte dei casi l’utilità di una politica seria sul trattamento dei dati e la necessità di adottare misure di protezione idonee secondo le circostanze, con adeguati meccanismi di controllo per l’individuazione delle falle, non vengono neppure prese in considerazione, mentre viene tributata un’importanza irrazionalmente sproporzionata al “documento in regola”, all’informativa ben scritta di cui si ignora il contenuto, alle notificazioni e alle richieste di autorizzazione, al Documento Programmatico sulla Sicurezza (almeno quando era obbligatorio il rinnovo annuale) pieno di tabelle ed elenchi generati da qualche software, che nessuno ha mai letto.

E’ chiaro come le cose debbano cambiare: il nuovo sistema richiede non solo che vi siano politiche interne e che esse siano ben strutturate, ben conosciute e ben attuate da parte di tutti gli operatori, ma che sulla base di esse venga strutturata tutta l’attività aziendale, con un cambio radicale di prospettiva rispetto a quanto avviene oggi.

Una risposta efficace ai nuovi obblighi impone la predisposizione e formalizzazione di un preciso codice etico, di un organigramma privacy interno che tracci i flussi dai dati, di un mansionario che vada a definire il “chi fa cosa” in termini di trattamento e responsabilità, coerentemente alle mansioni aziendali e, in caso di trattamenti esternalizzati, la determinazione, a livello contrattuale, di Service Level Agreement (SLA) o Privacy Level Agreement (PLA), il tutto coordinato e integrato con i protocolli organizzativi e produttivi aziendali e con il “Sistema 231” (responsabilità amministrativa delle persone giuridiche) per la protezione dell’organizzazione dalla commissione dei illeciti.

Insomma, dovrebbe andarsi verso il sistema di gestione integrato, di cui la privacy dovrebbe diventare uno dei pilastri.

Del resto, il cambiamento potrebbe essere meno traumatico di quanto si possa pensare, visto e considerato che quel che veramente si richiede è di ricomprendere la privacy all’interno di una visione “olistica” alla realtà aziendale, alla pari degli altri processi.

In ogni caso, due anni per organizzarsi sono più che sufficienti, l’importante è non perdere tempo.

16.12.2015

Fabio Squassoni