E’ in vigore il nuovo Regolamento per il trattamento dei dati personali (GDPR), dopo la pubblicazione in GUUE. Descrizione e schemi sono da tempo reperibili, ma saranno necessari costanti approfondimenti, a partire dall’impatto concreto della nuova normativa sulle imprese, entro due anni direttamente applicabile in Italia. Il Regolamento apporta modifiche e integrazioni al set di definizioni, di cui le imprese dovranno tener conto cambiando il proprio approccio all’interpretazione del norma. Basta richiamare ad esempio, la nuova definizione di “dato personale” che include esplicitamente elementi come identificatori online e i dati relativi alla ubicazione.
=> Verso il nuovo Regolamento Privacy
Trattamento dati
Di grande rilevanza è anche la nuova definizione di consenso che viene identificato in qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Questi cambiamenti nelle definizioni andranno a influenzare tanti aspetti del business (da quelli commerciali a quelli più strettamente connessi ai rapporti datore-dipendenti). A titolo di esempio si potrebbe ipotizzare che un semplice flag potrebbe non essere più sufficiente a considerare inequivocabile una manifestazione di consenso. Tanto più che il Regolamento ha innalzato maniera sensibile le sanzioni applicabili, sia in termini economici (multa massima. 20 milioni di euro o 4% del fatturato annuo) che penali e civili. Senza contare che sono stati attribuiti alle Autorità di Sorveglianza nuovi e più pervasivi poteri.
Informative
Già da quanto accennato appare evidente come anche la redazione delle informative dovrà essere in parte ripensata: concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (laddove tal tipo di precisa obbligo non è presente nell’attuale normativa). È probabile che le Autorità metteranno a disposizione anche modelli di riferimento.
Compliance
Le imprese dovranno riesaminare la conformità del proprio business alle nuova normativa; garantire con maggiore attenzione il tracciamento (documenti interni, policy, ecc.) delle attività di trattamento; quando necessario, identificare una persona idonea al ruolo di DPO garantendone risorse e indipendenza. Nell’ottica della rivisitazione dei processi e dei progetti aziendali, le imprese dovranno quindi tener conto dei principi di privacy by design e default, ragionando in termini di compliance privacy fin dall’inizio e per tutto il cicloi. Un aspetto così rilevante che, in determinati casi, sarà necessario procedere a una valutazione di impatto sui dati personali (DPIA) sviluppata in maniera più o meno approfondita a secondo del contesto aziendale di riferimento. Allo stesso modo si giustifica il favore che il Regolamento presta alle imprese che procederanno alla redazione di un Codice di condotta.
=> Impatto sulle aziende del nuovo Regolamento Privacy
Profilazione
Un’altra innovazione che inciderà in maniera trasversale sulle scelte delle imprese sarà la disciplina dettata in materia di profilazione. Marketing, sicurezza, monitoraggio dei clienti, analisi, controllo: presuppongono spesso un’attività di profilazione. Le imprese che se ne occupano, come core business o per processi aziendali, avranno l’obbligo di fornire comunicazioni particolarmente precise e chiare agli interessati.
Sicurezza
Il Regolamento innalza anche il livello della sicurezza, introducendo un generale obbligo di segnalare eventuali violazioni. Le imprese dovranno prevedere precisi processi, di difesa e di pronta comunicazione. Andranno per esempio individuati: ruoli specifici e responsabilità, formazione dipendenti e modelli di preparazione. Anche per i responsabili del trattamento, il Regolamento impone nuovi e rilevanti obblighi di conformità, doveri e responsabilità. La nuova disciplina coinvolgerà direttamente quelle aziende che lavorano come responsabili (i.e. gli outsorcers), ma può anche interessare qualsiasi attività commerciale che impegna un responsabile interno. Responsabili e titolari dovranno quindi rivedere gli esistenti contratti affinché risultino conformi ai dettami del Regolamento.
Trasferimento dati
Per le PMI che hanno sviluppato il proprio business anche al di fuori dei confini italiani va tenuta in debito conto la disciplina sul trasferimento dei dati. Per le imprese che rimangono in Europa varrà il principio del One Stop Shop: tutte le questioni relative al trattamento dei dati personali potranno far riferimento ad un’unica Autorità di Sorveglianza e cioè quella dove hanno il proprio stabilimento. Il trasferimento verso Stati fuori dell’UE, come anche previsto dalla normativa previgente, è permesso soltanto nel caso in cui lo Stato terzo garantisca un’adeguata protezione, ovvero nel caso in cui venga sottoscritto un accordo internazionale (quale il Privacy Shield con gli USA). Diversamente le aziende dovranno tenere in debito conto i modelli di clausole predisposte dalla Commissione. Per i trasferimenti infragruppo, poi, trova maggior riscontro la necessità di predisporre opportune norme vincolanti d’impresa (BCR).
Va infine ricordato che, sebbene la normativa appena approvata intenda regolamentare tutti gli aspetti del trattamento dei dati personali, rimarranno comunque molti settori da armonizzare, anche in considerazione dei molteplici provvedimenti specifici emessi dall’Autorità Garante in questi anni.
Al fine di aiutare le imprese a entrare nei meccanismi del nuovo regolamento, si segnala la ancora attuale guida in dodici passi, pubblicata il 14 marzo dall’Autorità Garante Inglese per la protezione dei dati personali.
______________
*A cura dell’Avv. Emiliano Vitelli