L’adeguamento della normativa italiana al GDPR
La protezione dei dati personali delle persone fisiche è tutelata dalla Carta dei diritti fondamentali dell’Unione Europea. L’emanazione del GDPR, Regolamento UE 2016/679, ha come obiettivo quello di garantire un livello elevato di protezione dei dati delle persone fisiche uniforme su tutto il territorio dell’Unione Europea, per favorire lo sviluppo del mercato digitale libero.
Il D.Lgs. n. 101/2018, entrato in vigore il 19 settembre 2018, ha modificato il Codice Privacy, D.Lgs. n. 196/2003, per adeguarlo alla normativa europea. Considerato il ritardo dell’adeguamento della normativa nazionale rispetto all’entrata in vigore del regolamento europeo, il Decreto prevede che il Garante della Privacy abbia un occhio di riguardo nei confronti delle imprese nell’applicazione delle sanzioni, nei limiti in cui ciò sia compatibile con il GDPR e limitatamente ai primi otto mesi dalla data di entrata in vigore del Decreto. Inoltre il Decreto di adeguamento ha previsto che il Garante possa adottare delle Linee di Indirizzo (modalità particolari di adempimento degli obblighi del titolare del Trattamento) per semplificare l’adempimento delle piccole medie imprese.
Ad oltre un mese dall’entrata in vigore del Decreto attuativo, le citate Linee di Indirizzo non hanno ancora visto la luce, lasciando le piccole medie imprese italiane nell’incertezza sulle modalità di adeguamento ad una normativa pensata per le aziende di dimensioni maggiori nell’era dei Big Data.
I concetti fondamentali introdotti dal GDPR nella realtà nazionale
Ad una prima analisi, le novità introdotte potrebbero sembrare puramente astratte, soprattutto considerando che il previgente Codice Privacy aveva posto delle misure minime di sicurezza (un’area di comfort in cui bastava avere delle precauzioni minime), che invece con il GDPR vengono eliminate.
Il GDPR prevede che ogni trattamento dei dati personali che avviene in azienda debba ispirarsi al principio di Privacy by Design e by Default (art. 25 del GDPR), ovvero debba essere progettato sin dall’inizio affinché sia garantito il grado di tutela minimo previsto dal GDPR: i dati trattati devono essere solo quelli strettamente necessari, e non possono essere trattenuti dal titolare per più tempo di quanto effettivamente gli occorra. La tutela dei dati personali deve essere l’obiettivo di ogni singolo trattamento dei dati che avviene in azienda, in modo che le violazioni possano essere individuate prima che il trattamento abbia luogo. La privacy diventa un processo aziendale, in grado di impattare su tutte le funzioni esistenti in azienda.
Per garantire la compliance, il Titolare del trattamento deve mettere in atto misure tecniche ed organizzative adeguate affinché i dati siano effettivamente al sicuro e vengano tutelati i diritti dell’interessato. Non è più sufficiente che ci sia un adeguamento formale, ma il Titolare deve essere in grado di dimostrare di aver fatto quanto necessario per tutelare i dati personali in suo possesso. I trattamenti di dati personali devono essere ispirati al principio di accountability (responsabilizzazione) del titolare, il quale deve essere in grado di dimostrare l’attuazione dei principi e degli obblighi imposti dal GDPR, ed in particolare l’adozione di comportamenti proattivi.
Cosa deve fare quindi un imprenditore per adeguarsi alla normativa europea del GDPR? Senza farsi prendere dallo sconforto, è possibile ricapitolare in alcuni semplici step le attività da porre in essere.
Il processo di adeguamento al GDPR
Analisi della situazione attuale
La parte più complicata del processo di adeguamento è sicuramente il cambio di cultura necessario affinché l’azienda possa iniziare a ragionare in “ottica GDPR”. Si può partire dalla mappatura dei trattamenti e delle misure di sicurezza adottate, per comprendere quanta strada c’è da fare prima che l’azienda possa considerarsi GDPR compliant. In questa fase può essere utile la redazione del registro dei trattamenti, la quale è obbligatoria per gran parte delle imprese che hanno a che fare con privati, es. esercizi commerciali anche di dimensioni ridotte. Di recente, il Garante della Privacy ha pubblicato sul proprio sito un modello di registro dei trattamenti, sia per le imprese che ne sono obbligate, sia per le PMI per le quali la redazione è solamente consigliata.
Altro passo importante è l’analisi delle informative a disposizione degli interessati e relativi consensi rilasciati. È necessario domandarsi: esistono informative relativamente a tutti i trattamenti di dati personali? Le informative contengono tutte le informazioni richieste dal GDPR? Le informative sono state messe a disposizione di tutti i soggetti interessati? Sono stati raccolti i consensi per tutti i trattamenti per i quali sono obbligatori, quali i trattamenti effettuati con finalità di marketing e i trattamenti di dati sanitari o di dati di natura giudiziaria?
Infine è necessario fare un elenco di tutte le figure in azienda che hanno accesso ai dati personali (dipendenti, collaboratori, etc.) e valutare se sono state adeguatamente informate affinché possano trattare i dati con la dovuta cautela.
Analisi dei rischi
Non tutte le realtà aziendali richiedono il medesimo procedimento di adeguamento al GDPR. Una volta identificati i trattamenti di dati che avvengono in azienda, è necessario stabilire il grado di rischio implicito in ogni trattamento effettuato, valutando la probabilità che avvengano delle violazioni della privacy, moltiplicata per la gravità della violazione. Solo così è possibile implementare delle misure di sicurezza che siano adeguate ma non eccessivamente onerose.
Implementazione delle misure di sicurezza
In questa fase è necessario che l’imprenditore preveda un budget di spesa adeguato al rischio individuato. Talvolta può essere opportuno rivolgersi ad un professionista del settore per supportare l’azienda nell’adeguamento. Di fondamentale importanza per l’adeguamento è l’aspetto Informatico/Tecnologico. Le infrastrutture informatiche devono essereaggiornate affinché possano effettivamente garantire un livello di protezione adeguato: la maggior parte dei trattamenti infatti avviene su strumenti elettronici, i quali devono essere adeguati alle esigenze aziendali e costantemente aggiornati. È necessario porre particolare attenzione al caso in cui vengano utilizzati servizi “cloud”, soprattutto se forniti da società che non hanno sede all’interno dell’Unione Europea, per valutare se i fornitori garantiscono il livello di sicurezza adeguato, in particolar modo nel caso di trattamento di dati particolari. Da considerare anche il caso in cui i dipendenti abbiano accesso da remoto alla rete aziendale e alle informazioni in essa contenute, tramite dispositivi personali o di proprietà dell’azienda.
Responsabilizzazione
In questa fase devono essere identificati i soggetti che trattano i dati personali per conto del titolare. Questi possono essere interni all’azienda oppure esterni. Nel caso di soggetti interni, a differenza di quanto previsto nel vecchio Codice Privacy, il GDPR non prevede la nomina di incaricati aziendali. Il GDPR prevede invece che siano nominati con apposito atto scritto i responsabili esterni, ovvero coloro che trattano i dati per conto del Titolare, ad esempio i fornitori di particolari servizi a cui siano comunicati i dati personali.
La responsabilità per i trattamenti effettuati dal responsabile restano in capo al titolare del trattamento, il quale deve essere in grado di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché garantire la tutela dei diritti dell’interessato.
Nel caso in cui l’attività principale dell’azienda consista nel trattamento regolare e sistematico di categorie particolari di dati personali o di dati relativi a condanne penali e a reati, il GDPR prevede l’obbligo di nomina del Responsabile della Protezione Dati (Data Protection Officer o DPO), il quale ha il compito di vigilare sull’osservanza del GDPR, collaborando con il titolare per il monitoraggio dei trattamenti effettuati e per la valutazione dei rischi derivanti dai trattamenti.
Gestione dei data breach
Il Titolare del trattamento deve essere in grado di riconoscere una violazione nel momento in cui avvenga.
Eventuali violazioni devono essere comunicate al Garante della Privacy immediatamente dopo che il Titolare ne sia venuto a conoscenza, e comunque non oltre 72 ore. Nel caso in cui la violazione comporti dei rischi per la persona fisica a cui i dati si riferiscono, quest’ultima ne deve essere informata.
Il Titolare inoltre deve tenere un registro dei Data breach, il quale consente di individuare e tenere sotto controllo i fattori di rischio ed aiuta a dimostrare la conformità delle misure adottate in caso di eventuale verifica da parte dell’Autorità.
Aggiornamento
Infine, le misure tecniche ed organizzative adeguate devono essere costantemente aggiornate, attraverso un assessment almeno annuale.
Conclusioni
Considerato il ruolo centrale che le autorità europee hanno riservato alla protezione dei dati personali, le aziende italiane dovranno essere in grado di comprendere che il processo di data protection può essere considerato un fattore competitivo, favorendo le aziende più propense al cambiamento. Per facilitare il processo di cambiamento, è necessario che il Garante della Privacy provveda a emanare le Linee di Indirizzo il prima possibile, affinché possano essere parte integrante del processo di cambiamento.
Riferimenti normativi:
Nuovo Codice Privacy: adempimenti delle PMI per l’adeguamento al GDPR
di Milena Daverio - AIDC Milano | 30 Novembre 2018
Il 19 settembre 2018 sono entrate in vigore in Italia le disposizioni che hanno modificato il Codice Privacy per adeguare la normativa vigente alle novità introdotte a livello europeo dal Regolamento UE 2016/679 (GDPR) in materia di protezione dei dati delle persone fisiche (di obbligatoria ed automatica applicabilità dal 25 maggio 2018). A seguito dell’entrata in vigore del D.Lgs. n. 101/2018, si analizzeranno, da un punto di vista pratico/operativo ed alla luce dei chiarimenti forniti dal Garante Privacy, i principali oneri del titolare del trattamento ai fini dell’adeguamento al GDPR. A titolo esemplificativo: analisi dei rischi e adeguate misure di sicurezza (principio di accountability), informativa adeguata e raccolta del consenso, registro dei trattamenti, adempimenti in caso di trasferimento dei dati a terzi.
L’adeguamento della normativa italiana al GDPR
La protezione dei dati personali delle persone fisiche è tutelata dalla Carta dei diritti fondamentali dell’Unione Europea. L’emanazione del GDPR, Regolamento UE 2016/679, ha come obiettivo quello di garantire un livello elevato di protezione dei dati delle persone fisiche uniforme su tutto il territorio dell’Unione Europea, per favorire lo sviluppo del mercato digitale libero.
Il D.Lgs. n. 101/2018, entrato in vigore il 19 settembre 2018, ha modificato il Codice Privacy, D.Lgs. n. 196/2003, per adeguarlo alla normativa europea. Considerato il ritardo dell’adeguamento della normativa nazionale rispetto all’entrata in vigore del regolamento europeo, il Decreto prevede che il Garante della Privacy abbia un occhio di riguardo nei confronti delle imprese nell’applicazione delle sanzioni, nei limiti in cui ciò sia compatibile con il GDPR e limitatamente ai primi otto mesi dalla data di entrata in vigore del Decreto. Inoltre il Decreto di adeguamento ha previsto che il Garante possa adottare delle Linee di Indirizzo (modalità particolari di adempimento degli obblighi del titolare del Trattamento) per semplificare l’adempimento delle piccole medie imprese.
Ad oltre un mese dall’entrata in vigore del Decreto attuativo, le citate Linee di Indirizzo non hanno ancora visto la luce, lasciando le piccole medie imprese italiane nell’incertezza sulle modalità di adeguamento ad una normativa pensata per le aziende di dimensioni maggiori nell’era dei Big Data.
I concetti fondamentali introdotti dal GDPR nella realtà nazionale
Ad una prima analisi, le novità introdotte potrebbero sembrare puramente astratte, soprattutto considerando che il previgente Codice Privacy aveva posto delle misure minime di sicurezza (un’area di comfort in cui bastava avere delle precauzioni minime), che invece con il GDPR vengono eliminate.
Il GDPR prevede che ogni trattamento dei dati personali che avviene in azienda debba ispirarsi al principio di Privacy by Design e by Default (art. 25 del GDPR), ovvero debba essere progettato sin dall’inizio affinché sia garantito il grado di tutela minimo previsto dal GDPR: i dati trattati devono essere solo quelli strettamente necessari, e non possono essere trattenuti dal titolare per più tempo di quanto effettivamente gli occorra. La tutela dei dati personali deve essere l’obiettivo di ogni singolo trattamento dei dati che avviene in azienda, in modo che le violazioni possano essere individuate prima che il trattamento abbia luogo. La privacy diventa un processo aziendale, in grado di impattare su tutte le funzioni esistenti in azienda.
Per garantire la compliance, il Titolare del trattamento deve mettere in atto misure tecniche ed organizzative adeguate affinché i dati siano effettivamente al sicuro e vengano tutelati i diritti dell’interessato. Non è più sufficiente che ci sia un adeguamento formale, ma il Titolare deve essere in grado di dimostrare di aver fatto quanto necessario per tutelare i dati personali in suo possesso. I trattamenti di dati personali devono essere ispirati al principio di accountability (responsabilizzazione) del titolare, il quale deve essere in grado di dimostrare l’attuazione dei principi e degli obblighi imposti dal GDPR, ed in particolare l’adozione di comportamenti proattivi.
Cosa deve fare quindi un imprenditore per adeguarsi alla normativa europea del GDPR? Senza farsi prendere dallo sconforto, è possibile ricapitolare in alcuni semplici step le attività da porre in essere.
Il processo di adeguamento al GDPR
Analisi della situazione attuale
La parte più complicata del processo di adeguamento è sicuramente il cambio di cultura necessario affinché l’azienda possa iniziare a ragionare in “ottica GDPR”. Si può partire dalla mappatura dei trattamenti e delle misure di sicurezza adottate, per comprendere quanta strada c’è da fare prima che l’azienda possa considerarsi GDPR compliant. In questa fase può essere utile la redazione del registro dei trattamenti, la quale è obbligatoria per gran parte delle imprese che hanno a che fare con privati, es. esercizi commerciali anche di dimensioni ridotte. Di recente, il Garante della Privacy ha pubblicato sul proprio sito un modello di registro dei trattamenti, sia per le imprese che ne sono obbligate, sia per le PMI per le quali la redazione è solamente consigliata.
Altro passo importante è l’analisi delle informative a disposizione degli interessati e relativi consensi rilasciati. È necessario domandarsi: esistono informative relativamente a tutti i trattamenti di dati personali? Le informative contengono tutte le informazioni richieste dal GDPR? Le informative sono state messe a disposizione di tutti i soggetti interessati? Sono stati raccolti i consensi per tutti i trattamenti per i quali sono obbligatori, quali i trattamenti effettuati con finalità di marketing e i trattamenti di dati sanitari o di dati di natura giudiziaria?
Infine è necessario fare un elenco di tutte le figure in azienda che hanno accesso ai dati personali (dipendenti, collaboratori, etc.) e valutare se sono state adeguatamente informate affinché possano trattare i dati con la dovuta cautela.
Analisi dei rischi
Non tutte le realtà aziendali richiedono il medesimo procedimento di adeguamento al GDPR. Una volta identificati i trattamenti di dati che avvengono in azienda, è necessario stabilire il grado di rischio implicito in ogni trattamento effettuato, valutando la probabilità che avvengano delle violazioni della privacy, moltiplicata per la gravità della violazione. Solo così è possibile implementare delle misure di sicurezza che siano adeguate ma non eccessivamente onerose.
Implementazione delle misure di sicurezza
In questa fase è necessario che l’imprenditore preveda un budget di spesa adeguato al rischio individuato. Talvolta può essere opportuno rivolgersi ad un professionista del settore per supportare l’azienda nell’adeguamento. Di fondamentale importanza per l’adeguamento è l’aspetto Informatico/Tecnologico. Le infrastrutture informatiche devono essereaggiornate affinché possano effettivamente garantire un livello di protezione adeguato: la maggior parte dei trattamenti infatti avviene su strumenti elettronici, i quali devono essere adeguati alle esigenze aziendali e costantemente aggiornati. È necessario porre particolare attenzione al caso in cui vengano utilizzati servizi “cloud”, soprattutto se forniti da società che non hanno sede all’interno dell’Unione Europea, per valutare se i fornitori garantiscono il livello di sicurezza adeguato, in particolar modo nel caso di trattamento di dati particolari. Da considerare anche il caso in cui i dipendenti abbiano accesso da remoto alla rete aziendale e alle informazioni in essa contenute, tramite dispositivi personali o di proprietà dell’azienda.
Responsabilizzazione
In questa fase devono essere identificati i soggetti che trattano i dati personali per conto del titolare. Questi possono essere interni all’azienda oppure esterni. Nel caso di soggetti interni, a differenza di quanto previsto nel vecchio Codice Privacy, il GDPR non prevede la nomina di incaricati aziendali. Il GDPR prevede invece che siano nominati con apposito atto scritto i responsabili esterni, ovvero coloro che trattano i dati per conto del Titolare, ad esempio i fornitori di particolari servizi a cui siano comunicati i dati personali.
La responsabilità per i trattamenti effettuati dal responsabile restano in capo al titolare del trattamento, il quale deve essere in grado di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché garantire la tutela dei diritti dell’interessato.
Nel caso in cui l’attività principale dell’azienda consista nel trattamento regolare e sistematico di categorie particolari di dati personali o di dati relativi a condanne penali e a reati, il GDPR prevede l’obbligo di nomina del Responsabile della Protezione Dati (Data Protection Officer o DPO), il quale ha il compito di vigilare sull’osservanza del GDPR, collaborando con il titolare per il monitoraggio dei trattamenti effettuati e per la valutazione dei rischi derivanti dai trattamenti.
Gestione dei data breach
Il Titolare del trattamento deve essere in grado di riconoscere una violazione nel momento in cui avvenga.
Eventuali violazioni devono essere comunicate al Garante della Privacy immediatamente dopo che il Titolare ne sia venuto a conoscenza, e comunque non oltre 72 ore. Nel caso in cui la violazione comporti dei rischi per la persona fisica a cui i dati si riferiscono, quest’ultima ne deve essere informata.
Il Titolare inoltre deve tenere un registro dei Data breach, il quale consente di individuare e tenere sotto controllo i fattori di rischio ed aiuta a dimostrare la conformità delle misure adottate in caso di eventuale verifica da parte dell’Autorità.
Aggiornamento
Infine, le misure tecniche ed organizzative adeguate devono essere costantemente aggiornate, attraverso un assessment almeno annuale.
Conclusioni
Considerato il ruolo centrale che le autorità europee hanno riservato alla protezione dei dati personali, le aziende italiane dovranno essere in grado di comprendere che il processo di data protection può essere considerato un fattore competitivo, favorendo le aziende più propense al cambiamento. Per facilitare il processo di cambiamento, è necessario che il Garante della Privacy provveda a emanare le Linee di Indirizzo il prima possibile, affinché possano essere parte integrante del processo di cambiamento.
Riferimenti normativi:
Sullo stesso argomento:Trattamento dei dati personali