Tutto sulla protezione dei dati personali
prima e dopo il Regolamento europeo
Negli ultimi anni l’attenzione ai temi del trattamento dei dati personali e della loro sicurezza è quanto mai cresciuta. Il motivo va ricercato nello sviluppo tecnologico, che ha portato all’attenzione del mercato, e quindi delle Autorità, la sempre maggiore interconnessione dei sistemi, la potenza di analisi e di calcolo e la penetrazione e invasività che l’informatica ha nella vita quotidiana. Temi quali Big Data, Internet of Things, Mobile, Geolocalizzazione, Social e servizi Cloud, portano con sé innumerevoli opportunità per il sistema economico, ma anche diverse implicazioni e controversie in materia di Privacy e Data Protection.
È in questo contesto di febbrile trasformazione che ha trovato piena concretizzazione il General Data Protection Regulation (n. 2016/679), vale a dire il nuovo Regolamento europeo sulla privacy, noto ai più con la sigla GDPR.
Perché un Regolamento europeo sulla protezione dei dati personali
Il GDPR è il frutto di un lungo percorso legislativo, iniziato il 4 novembre 2010, quando la Commissione europea ha elaborato una proposta di riforma della normativa in materia di protezione dei dati personali. Il Regolamento Generale è entrato in vigore il 24 maggio 2016 ed è diventato applicabile a partire dal 25 maggio 2018, dopo un periodo di transizione di due anni, che ha permesso ai soggetti destinatari di implementare quanto necessario per mettersi in regola.
Il GDPR persegue due obiettivi fondamentali: da un lato, adeguare la normativa, ormai risalente al 1995, alle nuove tecnologie, dall’altro armonizzare ed uniformare la normativa stessa a livello europeo, creando un quadro normativo comune. L’avvento del nuovo Regolamento europeo sulla Protezione dei Dati Personali ha letteralmente sconvolto il mercato digitale nel corso dell’ultimo anno. In questa guida cercheremo di capire cosa è cambiato in ambito Data Protection dopo l'introduzione del Regolamento e quali sono le azioni che stanno mettendo in atto le aziende italiane per adeguarsi alla normativa e quali le relative difficoltà incontrate durante il percorso.
Il GDPR rende infatti necessario l’introduzione di nuove competenze e strumenti per la gestione del patrimonio informativo aziendale. Spicca ad esempio il Data Protection Officer (DPO), figura che approfondiremo nel corso della guida. Diverse novità, come vedremo, anche in materia di “responsabilità”, certificazione dei trattamenti, valutazione d’impatto e molto altro. A più di un anno dall'introduzione del GDPR, le aziende italiane sono pronte?
Lo scopo di questa guida è quello di indagare a fondo nel mondo della tutela dei dati personali. Impossibile non partire dal GDPR, l'evento che, più di tutti, ha dirottato gli investimenti e le progettualità delle aziende degli ultimi anni. È bene domandarsi quali siano le novità principali introdotte dal Regolamento, nonché sul relativo stato di adeguamento delle imprese italiane. Merita di essere approfondito, inoltre, anche il rapporto tra Data Protection e i principali trend di Innovazione Digitale, quali Big Data, IoT, Smart Working, Internet Advertising, Fintech e molto altro. In particolare approfondiremo:
- Gestione Privacy: cosa cambia con il GDPR?
- Le principali novità del GDPR in 8 punti
- Il Data Protection Officer - Il GDPR in Italia: il decreto di adeguamento 101/2018
- Come adeguarsi in 9 passi
- Lo stato di adeguamento delle aziende italiane - Data Protection e Innovazione Digitale
- La tutela dei dati personali nei Big Data Analytics
- L'impatto del GDPR sui media digitali
- Internet of Things e Privacy
- Smart Working e Privacy
Il GDPR ha abrogato la precedente normativa in materia, ossia la Direttiva 95/46/CE del 24 ottobre 1995 e, conseguentemente, anche le normative nazionali emanate in applicazione della stessa, come il nostro Codice Privacy (decreto 196/2003), perlomeno nelle parti di diretta trasposizione della Direttiva.
Rispetto al Codice Privacy, le definizioni e i principi generali previsti nel nuovo Regolamento rimangono sostanzialmente invariati. Ciò che cambia radicalmente è invece la filosofia della norma. Si passa, infatti, da un sistema normativo di tipo formalistico (basato sulla previsione di regole formali e su un elenco di adempimenti e misure minime di sicurezza da adottare), ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale («accountability») del Data Controller.
A quest'ultimo è richiesto in particolar modo un approccio proattivo, volto a prevenire (e non solo correggere) gli errori, nonché a dimostrare la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni. Viene inoltre introdotto un nuovo approccio metodologico completamente risk-based. La tutela dei dati personali non può più essere considerata come una seccatura o al più come un adempimento ancillare al business. Al contrario deve essere un presupposto da considerare già nella fase di progettazione dei processi di trattamento degli stessi, dei servizi e dei prodotti, e la tematica deve essere calata all’interno dei processi e dell’organizzazione aziendale (la cosiddetta privacy by design). Oltre a questo sostanziale rovesciamento di prospettiva, il GDPR ha introdotto almeno 8 novità rilevanti...
REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO [art.30 del GDPR]
Sia i Titolari che i Responsabili dovranno tenere un registro dei trattamenti, con la sola esclusione delle società e degli enti con meno di 250 dipendenti. Tale deroga viene meno in alcuni casi specifici come per esempio lo svolgimento di un trattamento di dati personali a rischio per i diritti e le libertà dell’interessato e che risulti non occasionale o che includa categorie particolari di dati personali o dati relativi a condanne penali e a reati. Il registro dei trattamenti rappresenta uno strumento fondamentale non soltanto ai fini dell'eventuale verifica da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda, indispensabile per ogni valutazione e analisi del rischio.
VALUTAZIONE D'IMPATTO [artt.35-36 del GDPR]
Qualora un trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare è chiamato ad effettuare, prima di procedere al trattamento dei dati, una valutazione d’impatto sui trattamenti che intende porre in essere. Per rischio si intende il rischio di impatti negativi sulle libertà e sui diritti degli interessati. La valutazione d’impatto è richiesta in particolare qualora s’intenda effettuare una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato oppure quando si tratti di un trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali e a reati (es. sorveglianza sistematica ad ampio raggio di una zona accessibile al pubblico).
MISURE TECNICHE ORGANIZZATIVE ADEGUATE [art.32]
Non sono più previste misure "minime" di sicurezza (ex art. 33 Codice), ma è prescritto, in capo al Titolare ed ai Responsabili, l’obbligo di adottare misure tecniche ed organizzative “adeguate al rischio" (a titolo esemplificativo e non esaustivo indichiamo pseudonimizzazione; cifratura; capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali). La valutazione sarà rimessa, caso per caso, al Titolare e al Responsabile in rapporto ai rischi specificamente individuati e tenuto conto non solo della natura, ambito, contesto e finalità del trattamento, ma anche dello stato dell’arte (evoluzione tecnologica) e dei costi di attuazione.
ANALISI DEI RISCHI [art.32 del GDPR]
Nel valutare l’adeguato livello di sicurezza, il Titolare ed il Responsabile devono effettuare un’analisi dei rischi derivanti dal tipo di trattamento che intendono porre in essere, quali quelli di distruzione, perdita, modifica, divulgazione non autorizzata e accesso, in modo accidentale o illegale, ai dati personali trasmessi/conservati o comunque trattati.
RESPONSABILE DELLA PROTEZIONE DEI DATI - DPO [artt.37-39]
Il Data Protection Officer si tratta di una figura con compiti eterogenei, alcuni di natura ispettiva interna (sorvegliare), altri consulenziali (dare pareri), alcuni interni all’organizzazione del Titolare, altri esterni (rapporto con gli interessati e con l’autorità di controllo). La sua figura è di fondamentale importanza in quanto è volta a facilitare il rispetto, da parte delle singole organizzazioni, delle disposizioni dettate dalla nuova disciplina.
CERTIFICAZIONE DEI TRATTAMENTI [artt.42-43]
Il GDPR promuove l'istituzione di meccanismi di certificazione della protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai Titolari e dai Responsabili. La certificazione è volontaria ed accessibile tramite una procedura trasparente che dovrà essere basata su criteri previamente approvati dalle Autorità di controllo competenti. L’ottenimento della certificazione non riduce le responsabilità in capo al Titolare e al Responsabile del trattamento ma offre una mera presunzione relativa di conformità che sia il Garante sia l'autorità giudiziaria sono libere di valutare. Infatti rimangono impregiudicati i compiti e i poteri delle autorità di controllo competenti.
ENTITÀ DELLE SANZIONI [artt.83-84]
Il GDPR prevede la possibilità per le Autorità nazionali di irrogare sanzioni fino a 20.000.000 euro o, in caso di imprese, al 4% del fatturato globale annuo, a seconda di quale risulti la sanzione più elevata. Le sanzioni più alte si applicano nel caso di: violazioni dei principi del trattamento, incluse le condizioni per il consenso; violazione dei diritti degli interessati; inosservanza delle norme in tema di trasferimento internazionale dei dati; violazione di obblighi previsti dalle legislazioni degli Stati membri; inosservanza di un ordine, di una limitazione provvisoria, o definitiva di trattamento o di un ordine di sospensione dei flussi dei dati dell’autorità di controllo, o il negato accesso.
MAGGIORE RESPONSABILITÀ DEI "RESPONSABILI" [art.82]
Il GDPR sancisce una maggiore responsabilità del cosiddetto Data Processor che può ricevere direttamente richieste da parte dell’Autorità Garante; è direttamente passibile di sanzioni amministrative; può rispondere direttamente per il danno causato dal trattamento non solo se non ha rispettato le istruzioni del Titolare, ma anche se non ha adempiuto agli obblighi del GDPR specificamente diretti ai Responsabili.
Gli impatti che il GDPR sta avendo su processi, organizzazione e budget delle imprese sono più che evidenti. È tuttavia necessario precisare come l’intera tematica della protezione dei dati personali non sia disciplinata solamente a livello europeo.
In particolare, nel nostro Paese, è entrato in vigore il decreto legislativo 101/2018 di adeguamento della normativa italiana al GDPR. Diverse le novità introdotte da tale decreto in materia di Data Protection, specieper in ambito diritti degli interessati, esercizio dei diritti riguardanti le persone decedute, consensi del minore e sanzioni amministrative.
In sintesi, il provvedimento, in vigore dal 19 settembre 2018 (quindi tre mesi dopo l'attuazione del GDPR) ha lo scopo ultimo di integrare e modificare, nei limiti e all’interno del quadro precisamente stabilito a livello europeo, il “Codice Privacy” che per tutti questi anni ha rappresentato la normativa di riferimento in Italia in materia di protezione dei dati. È importante tuttavia specificare come il Codice Privacy non venga interamente abrogato. Scopri di più sul decreto 101/2018 >>
Dalla teoria, passiamo alla pratica. Il General Data Protection Regulation richiede la definizione di una roadmap di adeguamento nelle imprese italiane. Lo scopo di un progetto in tal senso è quello di assicurare un'applicazione coerente e omogenea della norme e di valutare le implicazioni sui processi già esistenti. In tal senso, È possibile suddividere il percorso di adeguamento al nuovo Regolamento Europeo in 9 step: valutazione della compliance, individuazione dei responsabili del trattamento, nomina del DPO, creazione del registro dei trattamenti, valutazione d'impatto, processo di data breach e non solo. Scopri i 9 passi di adeguamento al GDPR >>
A poco due anni dall'entrata in vigore del GDPR, in Italia si registrano progressi significativi in tema di adeguamento alla normativa, con aumenti nel budget a disposizione delle organizzazioni e nel grado di maturità, in termini di concretezza dei progetti e di cambiamenti organizzativi mirati. Grazie a una Ricerca condotta dall’Osservatorio Cyber Security & Data Protection è possibile esplorare i cambiamenti in corso nelle imprese italiane relativi alla protezione dei dati personali e le azioni effettivamente messe in campo per adempire alle diverse fasi del modello di adeguamento.
Scopri di più sullo stato di adeguamento al GDPR in Italia >>
Il tema della tutela e della protezione dei dati personali in azienda va oltre l’applicazione del GDPR. I trend propri della trasformazione digitale quali Big data, Cloud, Internet of Things, Mobile e Social, richiedono nuove tecnologie, modelli organizzativi, competenze e regole per garantire insieme l’innovazione e la protezione degli asset informativi aziendali. Nel proseguo della guida approfondiremo quindi qual è il rapporto tra Innovazione Digitale e tutela dei dati personali, attraverso diversi focus dedicati ai trend innovativi. Prima però, una domanda preliminare: cosa sono questi dati personali così importanti da tutelare?
Ebbene, per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (da qui in poi, «interessato»). Tali dati possono essere poi essere distinti in Provided Data (forniti consapevolmente e volontariamente), Observed Data (raccolti automaticamente ad esempio tramite cookie), Derived Data (prodotti da altri dati in modo relativamente semplice e diretto) e Inferred Data (prodotti utilizzando un metodo analitico complesso).
Considerando la crescita esponenziale del mondo Big Data, sorge spontaneo un quesito: come raccogliere i dati degli utenti e, allo stesso tempo, rispettare la loro privacy? È proprio questo il problema a cui vuole far fronte il GDPR. Infatti, puntando sulla responsabilizzazione del Titolare del trattamento, l’obiettivo della normativa è garantire un livello di sicurezza dei dati conforme al loro grado di rischio. Dopo la sua entrata in vigore, alcune aziende ancora considerano il GDPR come un ostacolo, ma imparare a gestire i Big Data con consapevolezza può sicuramente apportare numerosi benefici per il futuro. Scopri di più su Privacy e Big Data >>
Il GPDR viene incontro all’esigenza delle aziende di utilizzare tecnologie per la raccolta e al trattamento di un sempre maggior numero di informazioni, utili per diverse attività, fra cui il marketing e la clusterizzazione. L'impatto sul mondo dei media è quindi rilevante e tocca temi fondamentali quali la profilazione a scopo di marketing e la gestione dei cookies. Alle disposizioni del GDPR si aggiunge anche il Regolamento ePrivacy, ancora in corso di approvazione, nel quale verranno disciplinate attività di marketing, eCommerce, call center e pubblicità online con effetti più che rilevanti sui media europei e mondiali. Scopri di più su Privacy e Media >>
Con la crescente diffusione dei dispositivi IoT, aumentano anche i rischi per la privacy degli utenti. Infatti, come dimostrano i numerosi attacchi hacker subiti da imprese e privati, gli oggetti connessi – proprio perché collegati alla rete - presentano un’elevata vulnerabilità informatica, se non adeguatamente protetti. Per conciliare la crescita del mercato IoT con la protezione della privacy, il GDPR regolamenta la raccolta dei dati provenienti da questi dispositivi, facendo sì che la sicurezza di tali dati sia una priorità non solo in fase di vendita di tali prodotti ma già durante la loro progettazione (il principio della cosiddetta "Privacy by design").
Se applicato adeguatamente, il GDPR non dovrebbe comportare particolari difficoltà nel mondo dello Smart Working, ma i rischi di una violazione sono sempre dietro l’angolo. Infatti, le informazioni aziendali in possesso di un dipendente che lavora da casa sono altamente sensibili e le occasioni per violarne la privacy non mancano: accedendo al database aziendale, contattando i clienti o comunicando su Skype. Ma come aiutare gli smart worker a non infrangere le regole in materia di Data Protection? La chiave sta in una formazione adeguata, in modo che i lavoratori possano cogliere fino in fondo la sensibilità dei dati in loro possesso.
