Il Regolamento UE 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali – sarà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.
Nasce dall’esigenza di certezza giuridica, armonizzazione e semplificazione delle norme riguardanti il trasferimento di dati personali dalla UE verso il resto del mondo, nonché della necessità di fornire una risposta adeguata alle problematiche poste dallo sviluppo tecnologico-informatico.
Tuttavia, diverse imprese ed enti pubblici sono ad oggi impreparati ad accogliere le novità introdotte dal nuovo regolamento. Le aziende dovranno dunque affrontare, in tempi rapidi, il tema della compliance privacy in una prospettiva nazionale ed internazionale, esponendosi altrimenti al rischio di sanzioni molto elevate.
Sanzioni: criteri applicabili
In riferimento al nuovo quadro sanzionatorio previsto dal regolamento europeo, si ricorda che, come previsto dall’art. 84 del regolamento europeo, la materia penale rientra nella competenza di ciascuno Stato Membro, mentre le sanzioni amministrative pecuniarie sono armonizzate e devono osservare i criteri di effettività, proporzionalità e deterrenza.
L’art. 83, richiamando i tre criteri sopra menzionati, specifica che le sanzioni devono essere applicate in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi come il carattere doloso o colposo della violazione.
In termini molto generali, sebbene le sanzioni previste nel regolamento siano di importi molto elevati fino a 20 milioni di euro o il 4% del fatturato mondiale annuale, il principio generale è che una violazione del regolamento dovrà comportare un regime sanzionatorio equivalente in tutti gli Stati membri, che, in casi irrisori e in assenza di rischi significativi per gli interessati, potrà anche corrispondere a una mera diffida amministrativa in alternativa alla sanzione pecuniaria ma dall’altra parte, tenendo conto delle circostanze specifiche, una violazione dei dati astrattamente sanzionabile con una condanna fino a 10 milioni di euro, potrebbe anche comportare una sanzione pecuniaria superiore, se dovessero ricorrere delle circostanze di maggiore gravità ed inosservanza delle prescrizioni previste.
Audit pre-GDPR
Entro il 25 maggio 2018, dunque, le aziende dovranno svolgere un’analisi completa e dettagliata del contesto aziendale in merito allo stato di applicazione della normativa, primaria e secondaria, in materia di protezione dei dati personali (compresi anche i temi relativi agli amministratori di sistema ed alla videosorveglianza);
- un’analisi della normativa interna con particolare riguardo alle innovazioni di recente introduzione;
- un’analisi del rischio e realizzazione di adeguate procedure di controllo e implementazione delle misure di sicurezza nell’ottica del principio di accountability introdotto dal GDPR;
- una revisione completa e stesura delle procedure e dei documenti richiesti per la compliance al GDPR (es. registro dei trattamenti, DPIA – Data Protection Impact Assessment – nuove informative/consensi, clausole contrattuali, policy e procedure interne, etc.).
In fase di analisi, l’azienda dovrà in primo luogo valutare la propria adeguatezza rispetto agli obblighi imposti dalla nuova regolamentazione, ad esempio in relazione a:
- verifica sulle politiche di trattamento dei c.d. dati sensibili;
- fornitura di informative ai soggetti interessati;
- raccolta dei relativi consensi al trattamento;
- individuazione di responsabili al trattamento dei dati interni ed esterni;
- verifica delle prescrizioni in materia di trasferimento dei dati all’estero;
- individuazione degli amministratori di sistema; predisposizione delle istruzioni agli incaricati del trattamento;
- verifica della presenza di un sistema di videosorveglianza ed analisi della conformità alle disposizioni vigenti in materia;
- adozione delle idonee misure di sicurezza.
In seconda battuta, l’azienda dovrà vagliare la conformità della disciplina interna aziendale alle normative di più recente introduzione all’interno dell’Unione Europea, considerando che, nel nuovo Regolamento UE 679/2016 in materia di protezione dei dati personali, la definizione data protection ha preso il posto della parola privacy. La scelta terminologica non è casuale e pone l’accento su un cambio di prospettiva: il problema di fondo non è semplicemente essere in possesso di dati sensibili, ma saperli gestire nel modo corretto.
=> GDPR: la Guida del Garante Privacy
Novità da introdurre
Alla luce di quanto detto, rispetto alle previsioni del D.Lgs. n. 196/03, l’attività di analisi in questa fase dovrà tener conto di alcuni elementi di novità, quali:
- l’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei comportamenti di cittadini UE;
- l’obbligo di trattare i dati e, di conseguenza, di tutelare i diritti dell’interessato nell’attività di trattamento, fin dalla fase della progettazione e per l’intera gestione del ciclo di vita dei dati, ponendo in essere misure di carattere tecnico ed organizzativo quali la minimizzazione e la pseudonimizzazione;
- l’obbligo di trattare i dati partendo da configurazioni “chiuse” dei sistemi informatici, per poi gradualmente ampliarle solo dopo avere valutato l’impatto di eventuali aperture, adottando in via predefinita le impostazioni che garantiscono il maggior rispetto della privacy, affinché i dati personali non siano resi accessibili ad un numero indefinito di persone senza l’intervento umano;
- l’individuazione del Data Protection Officer (DPO), la cui figura sarà obbligatoria nelle aziende private che processano dati a rischio (ad es.: il trattamento su larga scala di speciali categorie di dati quali quelli sensibili);
- l’obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti ad alto rischio (ad es. il monitoraggio sistematico e su larga scala); l’obbligo di rispettare il data breach, cioè la segnalazione al Garante e all’interessato di eventuali fughe o compromissioni di dati;
- la redazione del Registro delle attività di trattamento, nel quale saranno conservate numerose informazioni sul trattamento;
- l’adozione da parte del Titolare del trattamento di politiche e misure adeguate al fine di poter dimostrare che il trattamento dei dati personali effettuato è conforme (fin dalla fase embrionale) a tutte le disposizioni del Regolamento.
Consenso al trattamento dati
Tutti i moduli e procedure relativi all’acquisizione e gestione del consenso devono essere oggetto di revisione, e se necessario di nuova stesura, alla luce dei criteri vigenti, in relazione ai dati sensibili (si veda art. 9 regolamento) per i quali il consenso deve essere esplicito come per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22).
Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2) – per esempio all’interno di una modulistica prestampata – e prestare attenzione alla formula utilizzata per chiedere il consenso (la formula deve essere comprensibile, semplice, chiara – art. 7.2).
Codice Privacy e compatibilità
Non va trascurato che sempre in ambito di data protection, è attualmente vigente nel nostro Paese il Codice della Privacy (D.Lgs n. 196/2003) con cui il legislatore italiano ha voluto raccogliere in un testo unico la maggior parte delle disposizioni inerenti alla privacy e al trattamento dei dati.
Nonostante il GDPR prevalga sulla legge nazionale interna, la sola esistenza ed applicazione del GDPR non comporta, provenendo questo da un ordinamento (quello europeo) diverso da quello nazionale, l’abrogazione automatica della legge statale regolante la medesima materia. Sebbene formalmente ancora vigenti, tutte quelle disposizioni della legge interna in contrasto con le nuove previsioni normative europee dovranno essere in ogni caso disapplicate, in favore della nuova disciplina. A tali conclusioni si giunge anche tenendo in considerazione che il legislatore europeo, se avesse voluto abrogare tutte le legislazioni interne degli Stati membri in materia di protezione dati, avrebbe avuto il potere di farlo, prevedendo in modo espresso la sostituzione in toto della normativa nazionale.
Al contrario, il GDPR sancisce che:
per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento.
E ancora:
…il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali.
Il D.lgs. 196/2003 mantiene pertanto la sua forza normativa, subendo tuttavia una sorta di rilettura orientata in chiave GDPR. Ciò comporta che, dove non vi sia compatibilità tra quanto disposto dal Codice della Privacy e quanto previsto dal GDPR, il Codice Privacy lascia il passo alle nuove disposizioni europee: la legge statale deve essere disapplicata in favore del GDPR. Dove invece vi sia compatibilità tra le due norme, il D.Lgs. n. 196/2003 rimane applicabile continuando a dettare legge, in alcuni casi anche in maniera più specifica rispetto al GDPR.
Rierdino normativo
Questa metodologia, tuttavia, genera non poche incertezze sul piano pratico; le imprese e i tecnici del diritto sono tuttora in attesa di una interpretazione nazionale ufficiale e incontrovertibile su cosa rimanga in vigore e cosa venga abrogato del Codice Privacy e dei provvedimenti del Garante.
Il fatto che lo stesso regolamento europeo stabilisca che sono destinate a rimanere in vigore tutte le norme non espressamente in contraddizione con il GDPR, in assenza di una pronuncia chiara del Legislatore e del Garante, crea una grande confusione.
Non a caso molti altri Paesi UE, come la Germania, hanno emanato una nuova legge privacy in attuazione del GDPR o, comunque hanno creato un raccordo tra la vecchia e la nuova normativa.
In Italia, lo scorso 17 ottobre, la Camera dei Deputatati ha approvato, in via definitiva, la Legge di delegazione europea 2016-2017, che rappresenta uno degli strumenti legislativi volti ad assicurare il periodico adeguamento dell’ordinamento nazionale a quello dell’Unione Europea: in particolare lo scopo della legge è garantire il recepimento delle Direttive europee e l’attuazione di altri Atti dell’Unione.
Tra le deleghe assegnate al Governo, è prevista l’adozione di uno o più Decreti Legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del GDPR sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, rinnovando in maniera significativa il sistema della disciplina in materia di privacy.
Sono stati confermati, inoltre, i princìpi e criteri direttivi specifici che il Governo dovrà seguire nell’esercizio della delega parlamentare. In particolare, spetta ora al Governo:
- abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al D.Lgs. n. 196/2003, incompatibili con le disposizioni contenute nel GDPR;
- modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente ad attuare le disposizioni non direttamente applicabili contenute nel GDPR;
- coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal GDPR;
- ricorrere, ove opportuno, a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal GDPR.
Alcune preoccupazioni sulla moltiplicazione di fonti normative sono inevitabili.
Il piano di riordino previsto dal Parlamento dovrà essere portato a compimento entro sei mesi dalla data di entrata in vigore della Legge. Sotto il profilo della complessità della materia e l’eterogeneità delle fonti da armonizzare, la tempistica appare anche sin troppo stringente; d’altra parte, se si considerano gli interessi dei titolari del trattamento (aziende e soggetti pubblici) di avere quanto prima chiarimenti su vecchia e nuova normativa, questo lasso di tempo sembra di difficile gestione. Una cosa è certa: il Codice Privacy e il GDPR continueranno a coesistere e, dal 25 maggio 2018, saranno entrambi applicabili.
Compliance
I soggetti interessati dovranno valutare attentamente ogni motivo di conflitto tra disposizioni nazionali ed europee, sottoponendo le problematiche riscontrate a noi tecnici del diritto che saremo chiamati a fornire la nostra interpretazione sia nella fase preparatoria all’avvento della nuova disciplina (verifica della modulistica, dei contratti, formazione dei responsabili etc.), sia soprattutto nella fase attuativa del GDPR quando dovremo giustificare criticamente, se del caso, la scelta di adottare un criterio di prevalenza rispetto ad un altro, anche in considerazione della specificità della normativa applicabile al settore merceologico dell’Azienda cliente.
_____
A cura dell’Avvocato Corinne Ciriello, socia fondatrice dello Studio Legale Associato Ciriello-Cozzi di Milano (www.ciriello-cozzi.it), si occupa prevalentemente della responsabilità civile, della contrattualistica, del diritto del lavoro e del diritto tributario.