GDPR e azienda proattiva. Di Maria Bonifacio

La rubrica ha come topic la responsabilità sociale d’impresa, dato acquisito che incide in misura significativa sulle strategie competitive dell’impresa stessa.

Fatta questa doverosa premessa, vedremo  come si possono ridurre i rischi indagando preliminarmente la normativa in materia di Privacy alla luce del Nuovo Regolamento europeo, per poi misurare – nel successivo articolo – la ricaduta che la stessa ha avuto sul modello 231, così da verificare come un obbligo possa tradursi in opportunità.

Considerato infine che il cosiddetto sviluppo sostenibile debba includere una qualità di vita che possa essere mantenuta per diverse generazioni, lo snodo degli ultimi due articoli si focalizzerà sulla sostenibilità come concetto integrale di riferimento, in cui lo sviluppo economico, l’equità sociale e la tutela dell’ambiente sono obiettivi indissolubilmente connessi.

Iniziamo con lo stato dell’arte sulla questione sicurezza dei dati. Lo scorso 14 aprile 2017, infatti, il Parlamento Europeo ha approvato il c.d. “pacchetto protezione dati”, il quale si compone di due diversi strumenti:

un Nuovo Regolamento concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, volto a disciplinare i trattamenti di dati personali, sia nel settore privato, sia nel settore pubblico, e destinato ad abrogare la Direttiva 95/46/CE2 (“Direttiva 95/46”) che ha portato in Italia, all’adozione del vigente D.lgs. 30 giugno 2003 n. 196 (“Codice Privacy”);
una Nuova Direttiva indirizzata alla “regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali”, che sostituirà (e integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia.

La pubblicazione del Nuovo Regolamento sulla Gazzetta UE è avvenuta in data 4 maggio 2017 e diventerà definitivamente applicabile in tutto il territorio UE a partire dal 25 maggio 2018.

Il GDPR è direttamente attuativo per 28 Paesi senza bisogno di alcun recepimento. Condividi il Tweet

Fatta la debita e consueta premessa, ne deriva che il Legislatore europeo abbia inteso eliminare la frammentazione applicativa della normativa in materia di protezione dei dati personali nel territorio dell’UE, dovuta alle diverse leggi di recepimento della Direttiva 95/46.
Il GDPR si presenta, dunque, quale testo normativo generale, direttamente attuativo per tutti i 28 Paesi senza bisogno di alcun recepimento.

Per quel che concerne la Nuova Direttiva, gli Stati membri hanno avuto due anni per recepire con apposite norme le sue disposizioni all’interno dell’ordinamento nazionale, termine che spirerà il 25 maggio 2018.

In buona sostanza, il nuovo “pacchetto protezione dati” mira ad adeguare la data protection rispetto all’evoluzione tecnologica che ha determinato un aumento dei flussi transfrontalieri e, quindi, dei dati scambiati tra attori pubblici e privati.

Notiamo come la definizione data protection sostituisca il termine privacy tout court, ponendo l’accento su un vero e proprio cambio di prospettiva, mediante una tutela più ampia dei diritti dell’interessato, poiché il problema non è semplicemente essere in possesso di dati sensibili, quanto piuttosto saperli gestire in modo corretto.

E’ intuitivo che essendo aumentata la necessità di una più libera circolazione di dati all’interno dell’UE si renda indispensabile un più elevato livello di protezione. Urge, dunque, cercare di fare chiarezza sui punti focali del GDPR con riferimento alle aziende.

Il ruolo proattivo dell’Azienda

Il Regolamento pone l’accento sull’accountability ovvero la responsabilizzazione di titolari e responsabili, affinchè adottino comportamenti tali da dimostrare la concreta adozione di misure volte ad assicurare l’applicazione del regolamento de quo.

Si tratta di una grande autonomia riconosciuta ai titolari in punto di modalità, garanzie e limiti del trattamento dei dati personali nel rispetto della normativa e alla luce di specifici criteri dettati dal regolamento.

I criteri anzidetti sono:

progettazione by design, ovvero analisi del trattamento per tutto il ciclo di vita dei dati mediante l’adozione di misure di carattere tecnico e organizzativo quali la minimizzazione e la pseudonimizzazione;

progettazione by default, cioè partire da configurazioni cd. chiuse dei sistemi informatici, affinchè i dati personali non siano resi accessibili a un numero indefinito di persone senza l’intervento umano, salvo chiaramente valutare l’impatto di eventuali aperture.

Onde evitare che, in caso di violazione del trattamento dati di cui è Titolare l’azienda, la stessa possa essere sottoposta ad una sanzione sino al 4% del fatturato annuo globale mondiale, è essenziale, pertanto, che ogni azienda in qualità di Titolare del trattamento, effettui un’analisi attenta di quelli che saranno gli effetti che il Regolamento produrrà sulla propria gestione interna dei dati detenuti in formato elettronico.

Il primo step consiste nella verifica dei ruoli aziendali rispetto al trattamento dei dati. Laddove per dati si intendono tutti quei dati atti ad identificare una persona fisica, sia che questa presti la propria attività in qualità di professionista che di fornitore, sia in qualità di dipendente che di cliente.

Essenziale è che ogni azienda effettui un’analisi degli effetti che il Regolamento produrrà Condividi il Tweet

Va da sè che qualsiasi azienda sia obbligata a rispettare la normativa in materia di protezione dei dati personali, individuando, prima di tutto, quali siano le persone che all’interno della propria struttura aziendale trattano i dati; tali soggetti, già nominati e incaricati al trattamento in forza della legge 196 dovranno veder integrate le proprie nomine sulla base delle disposizioni del Regolamento con indicazione di apposite istruzioni in merito alle specifiche operazioni di gestione dei dati.

A titolo esemplificativo, occorrerà che l’azienda individui delle regole specifiche sul trattamento dati effettuato rispetto ai dipendenti, ai richiedenti impiego o ai soggetti sui quali vengono effettuate attività di marketing. In che modo?

Preliminarmente, effettuando un’analisi delle tipologie di trattamento sussistente all’interno dell’azienda, una mappatura dei ruoli dei soggetti che intervengono nel trattamento sia attraverso l’inserimento di dati che in consultazione, e stilando un organigramma sotto il profilo privacy.

E poi, organizzando un sistema di gestione dati attraverso la ricostruzione del flusso relativo ai dati sulla base dell’organizzazione aziendale, catalogando i relativi trattamenti.

In caso di violazione, nel Regolamento viene evidenziato come le policy relative alla tutela dei dati personali debbano essere proporzionate alla tipologia di trattamento.

Potrà quindi verificarsi un minor impatto a livello privacy su tipologie aziendali il cui core business sia basato su attività esclusivamente produttive per conto terzi, mentre potrà essere particolarmente elevata l’attenzione da dover prestare da parte di quei soggetti che hanno rapporti con i consumatori finali, che effettuano attività di marketing anche B2B, che si occupano di dati sanitari o di servizi di consulenza.

 

I vari punti previsti nel dettaglio

 

Il rapporto tra il Titolare del trattamento e i propri fornitori

Il Titolare del trattamento dei dati potrà ricorrere esclusivamente a fornitori che assicurino misure tecniche organizzative idonee a soddisfare il rispetto del Regolamento.

Quindi, nel caso in cui vi sia una esternalizzazione di un trattamento – come la gestione delle buste paga, piuttosto che dell’amministrazione, o in cloud come nel caso del back-up su server di un fornitore terzo – il Regolamento prevede che l’esecuzione del trattamento su commissione debba contemplare la durata del trattamento, la natura, le finalità e le tipologie di dati, specificando, altresì, tutte le misure di sicurezza e la ripartizione delle responsabilità in merito alla protezione dei dati tra il Titolare del trattamento ed il fornitore.

Sistema di Data retention

Altro aspetto essenziale sarà quello che l’azienda adotti un sistema di data retention, cioè stabilire i termini di conservazione per ogni tipologia di trattamento, contemperando l’obbligo di conservazione previsto dalla legge per taluni documenti e taluni dati rispetto all’obbligo di cancellazione che il Regolamento renderà ancor più coercitivo rispetto alla vecchia 196.

Difatti, laddove non venga effettuata la cancellazione di un trattamento come previsto per legge, le responsabilità del Titolare potranno essere sia di natura sanzionatoria che penale.

Privacy Impact Assessment

In alcuni casi sarà obbligatorio per le aziende redigere anche il cosiddetto PIA, ovvero un documento che contenga tutti gli aspetti relativi all’impatto dal punto di vista della sicurezza della gestione dei dati che il trattamento posto in essere potrà avere sui medesimi e tale analisi dovrà essere condotta sia da un punto di vista di verifica del flusso rispetto ai dati che da un punto di vista delle misure di sicurezza adottate per gestirli.

Ad esempio:

quando il trattamento dei dati potrà rappresentare un rischio per i diritti e le libertà fondamentali dell’interessato; nell’ipotesi di profilazione;

quando riguardi categorie particolari di dati come ad esempio la raccolta di dati di natura biometrica;

nel caso di sorveglianza di zone accessibili al pubblico;

nel caso di trattamenti effettuati tramite nuove tecnologie.

Data breach

In caso di violazione di un trattamento dati personali effettuato tramite un attacco hacker piuttosto che direttamente dall’interno della propria azienda, dovranno essere effettuate comunicazioni sia all’Autorità competente sia all’interessato nel caso in cui la violazione possa comportare un rischio elevato per i diritti e le libertà dell’interessato.

Questo passaggio appare particolarmente importante sull’organizzazione aziendale con riferimento al profilo del monitoraggio degli attacchi e quindi della protezione, nonché sotto il profilo organizzativo.

Trasferimento dei dati al di fuori dell’UE

Sarà vietato il trasferimento laddove non siano garantite le misure previste dal Regolamento, rispetto al Paese destinazione dei dati stessi.

L’Azienda che comunichi dati a società collegate o controllate, o di cui sia controllata se dislocate fuori dai confini europei piuttosto che a clienti e fornitori con i quali collabora sempre oltre Europa, dovrà effettuare un’analisi della tipologia di trattamento e adottare conseguenti misure di natura contrattuale affinché il trasferimento sia lecito.

Gli imprenditori pertanto dovranno prendere atto che la gestione della privacy non è più solo una questione di adeguamento documentale, ma deve essere concepita come un sistema di gestione dei dati da integrare nei propri processi e sul quale effettuare sensibilizzazione presso i propri operatori.

 

Conclusioni

La considerazione che emerge prima facie è che il Nuovo Regolamento, così come è formulato, ponga obblighi di compliance particolarmente stringenti nei confronti degli operatori che trattano dati personali.

Tuttavia, da una lettura più attenta si evince come l’adozione di uno strumento normativo quale il Regolamento – comportante l’applicazione di un’unica disciplina in tutta l’UE ed eliminando quell’incertezza giuridica derivante da normative diverse per ogni Stato e i costi e la burocrazia a esse connesse – agevoli l’esercizio del business di un’impresa.

Una rinnovata attenzione alla sicurezza dei dati è un'opportunità di riorganizzazione dei flussi informativi. Condividi il Tweet

Prova ne è anche la particolare attenzione che viene data alle piccole e medie imprese, esonerandole da alcuni obblighi, circostanza che si configura come nota di merito in quanto faciliterà notevolmente il loro ingresso e affermazione sul mercato.

Se ne deduce che un approccio ragionato e preventivo da parte dell’azienda non solo consentirà di ridurre i rischi legati alle conseguenze di natura sanzionatoria, ma potrà agevolare una riorganizzazione dei flussi informativi, aumentando le capacità concorrenziali dell’azienda in un’ottica anche di tutela della propria immagine sul mercato interno ed internazionale.

Maria Bonifacio
Avvocato Cassazionista • Comunicatore pubblico • Membro Mirme Network • Componente del Comitato di Redazione Lex Familiae. Collegati su Linkedin

Se vuoi seguire i tag di 6MEMES

iscriviti alla nostra NewsLetter!