Con l’introduzione di nuove figure e il maggior potere dei garanti, il regolamento europeo aumenta la responsabilità delle aziende nel trattamento dei dati degli utenti
Il regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), è entrato in vigore nell’Unione europea per tutti i cittadini, a partire dal 25 maggio 2018. Il regolamento, riguarda la protezione dei dati delle persone fisiche e introduce un maggior controllo degli utenti, sulle modalità con cui i propri dati personali sono raccolti, utilizzati e trasferiti; oltre ad avere una migliore protezione in caso di fuga d’informazioni.
Questo regolamento, oltre che ad introdurre nuovi diritti per gli utenti, ha portato alle aziende (Titolari del trattamento dei dati) nuove responsabilità e la necessità di dotarsi di nuove figure. Infine un completo cambio di modalità nel rapporto con le autorità garanti.
Il Garante per la protezione dei dati personali, lavorerà in sinergia con le altre Autorità interne di ciascuno Stato membro, il Garante potrà intervenire ogni qualvolta sospetti la presenza o riscontri delle concrete violazioni totali o parziali della normativa. A tal proposito, l’Autorità Garante è dotata, in forza del Regolamento, del potere di fare indagini e di quello di infliggere sanzioni, di tipo inibitorio, correttivo e pecuniario. Le sanzioni applicabili dai Garanti possono variare, da ammonimenti, a ordini di sospensione di flussi di dati, fino ad arrivare a sanzioni dal valore di 20.000.000 di euro o pari al 4% del fatturato globale dell’anno precedente.
Novità per le aziende, organizzazioni ed enti
Principio dello Sportello Unico (One Stop Shop) e Leading authority
Per una gestione semplice dei trattamenti e un approccio uniforme al regolamento, è stato introdotto lo sportello unico. Tale principio stabilisce che le imprese avranno a che fare con una sola Autorità di Vigilanza (Garante della Privacy). Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale, piuttosto che con le autorità di 28 Stati europei.
Questo principio, semplifica le procedure e garantisce una maggior coerenza, tuttavia, consente all’azienda di scegliersi l’Autorità di vigilanza con la quale avrà a che fare, potendo ovviamente decidere dove stabilire la sede nell’ambito del territorio dell’Unione.
Questo poteva comportare difficoltà per i cittadini, i cui reclami dovevano essere indirizzati all’Autorità del Paese dove ha sede l’azienda, che potrebbe anche essere differente dal Paese di residenza del cittadino che ritiene di aver subito un torto. Quindi i cittadini potrebbero incontrare difficoltà, dovute alla differenza di lingua, alla distanza, per far valere i propri diritti. Per questo motivo, questa possibilità (Art 56) si applica solo se un’azienda ha più sedi nel territorio dell’Unione, o se il trattamento incide su individui presenti in più di uno Stato membro. In questo caso l’Autorità di controllo del Paese dove è posta la sede principale fungerà da “autorità principale” (leading authority), cooperando con le altre autorità interessate, vincolando con le sue decisioni le altre autorità.
Il principio di “responsabilizzazione” (accountability)
Responsabilità del titolare del trattamento dei dati
Questo principio, è alla base del nuovo approccio del GDPR. Ciascun titolare è direttamente responsabile civilmente per i danni materiali e immateriali, causati agli interessati da un trattamento illecito, non idoneo o scorretto di dati personali.
Abbiamo i primi riferimenti a questo principio negli Art 24 e 28 del GDPR, che dispongono che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee, al fine di assicurare e dimostrare, che il trattamento dei dati personali è conforme al regolamento.
Sulla sicurezza del trattamento dei dati personali, l’articolo 32 descrive nello specifico, le misure che il titolare o il responsabile del trattamento dei dati potranno applicare concretamente.
Alcune di queste misure, come la pseudonimizzazione e la cifratura dei dati personali.
La pseudonimizzazione, è un particolare trattamento che consiste nel rendere i dati stessi non direttamente ed automaticamente riconducibili ad un soggetto/persona specifico. I dati possono essere ricondotti ad un soggetto solo attraverso l’uso di informazioni aggiuntive che dovranno essere conservate separatamente con l’impiego di precauzioni tecniche.
Mentre la cifratura dei dati, si realizza attraverso l’impiego di algoritmi di crittografia. Questi ultimi consentono in una prima fase di “nascondere” i dati, per poi renderli disponibili in un secondo momento. Quindi un meccanismo che permette di proteggere i dati conservati, attraverso modalità non sono superabili o aggirabili da malintenzionati.
Data breach Art 33-34
Consiste nella violazione di sicurezza che comporta in maniera accidentale o illecita la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Il titolare del trattamento, dovrà comunicare eventuali violazioni dei dati personali al Garante entro 72 ore, dal momento in cui si è venuto a conoscenza della violazione a meno che sia improbabile che la violazione dei dati personali, presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.
Nelle imprese con più di 250 dipendenti o nei casi stabiliti dall’Art 30, per fronteggiare le violazioni per prima cosa dovranno dotarsi del Registro dei trattamenti di dati personali. Se la violazione dei dati rappresenta una minaccia, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni. Potrà decidere di non informare gli interessati, se riterrà che la violazione non comporti un rischio elevato per i loro diritti, oppure se dimostrerà di avere già adottato misure di sicurezza. In ogni caso l’Autorità Garante potrà comunque imporre al titolare del trattamento, di informare gli interessati sulla base di una propria valutazione dei rischi.
La figura del DPO (Data Protection Officer) Art 37-39
Una nuova figura introdotta, ovvero il Responsabile della protezione dei dati, colui incaricato di assicurare una gestione corretta dei dati personali su larga scala nelle imprese e negli enti. Egli è individuato in funzione delle qualità, delle conoscenze professionali e specialistiche della normativa e della prassi in materia di protezione dati. Il DPO nell’azienda/ente, riferisce direttamente ai vertici è una figura indipendente nell’esecuzione delle sue funzioni, al quale gli vengono fornite le risorse sia economiche che umane adeguate per formare un team adatto all’obiettivo.
James Sekitoleko
Foto © James Sekitoleko
