Pubblicato su Ingenium n. 114, aprile-giugno 2018
Periodico di informazione dell’Ordine degli Ingegneri della provincia di Terni
(Rivista scientifica Cineca-MIUR n. E203872)
Il Regolamento UE 679/2016, meglio conosciuto come GDPR (General Data Protection Regulation), relativo alla protezione dei dati personali, è un tema di grande attualità. Il testo, infatti, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed ha efficacia a partire dal 25 maggio di quest’anno.
Sebbene sarà necessario attendere gli effetti della sua applicazione per verificarne l’efficacia, la GDPR è già vista come modello da imitare anche oltreoceano: durante le audizioni da parte del Congresso americano nell’aprile 2018 relative al caso Cambridge Analytica e a Facebook in generale, diversi senatori hanno chiesto a Mark Zuckerberg se intendesse estendere le protezioni della GDPR anche alle persone fisiche al di fuori della UE; d’altro canto negli appunti di Zuckerberg, fotografati da una giornalista, c’è un intero paragrafo con note sull’argomento dove, tra l’altro, è ben evidenziata la frase “Don’t say we already do what GDPR requires” (non dire che facciamo già quanto richiesto dalla GDPR).
Prima della GDPR la protezione dei dati personali nell’Unione europea era regolamentata dalla direttiva 95/46/CE, che tuttavia è stata soggetta ad un’applicazione assai divergente tra i vari Stati membri (in Italia è stata recepita con il D.Lgs 196/2003). La GDPR ha quindi lo scopo di rafforzare e rendere più omogenea la protezione dei dati personali.
Di seguito vengono descritti alcuni punti chiave della nuova normativa. Per approfondimenti consiglio di consultare direttamente la normativa stessa, che è molto ben scritta, e le F.A.Q. del Garante della privacy per chiarimenti sull’applicazione in Italia.
Ambito – La GDPR è relativa al trattamento ed alla libera circolazione dei dati personali dei cittadini e dei residenti nell’Unione europea, a prescindere da dove questi dati vengano effettivamente trattati; chiunque tratti dati personali deve quindi rispettare questo regolamento. È opportuno precisare che la GDPR riguarda esclusivamente i dati personali di persone fisiche, non giuridiche, e che disciplina sia il trattamento automatizzato dei dati personali che quello manuale (art. 4). La definizione di dato personale è stata notevolmente precisata e modernizzata, includendo riferimenti anche a dati genetici e biometrici (art. 4). I principi di protezione dei dati sono applicati ad una persona fisica identificata o identificabile. Nella considerazione n. 26 si auspica, inoltre, che i dati personali sottoposti a pseudonimizzazione (i quali potrebbero essere attribuiti ad una persona fisica mediante l’utilizzo di ulteriori informazioni), siano considerati informazioni relative ad una persona fisica identificabile; i principi di protezione non si applicano, invece ad informazioni anonime (ovvero non riconducibili ad una persona fisica identificata o identificabile) e a persone decedute (qui si rimanda alle normative specifiche degli stati membri).
Protezione fin dalla progettazione – L’articolo 25 introduce i concetti di “protezione dei dati fin dalla progettazione” e di “protezione per impostazione predefinita”. In altre parole, nella progettazione di sistemi ed attività in cui è richiesto il trattamento di dati personali, è necessario applicare fin da subito tutte le cautele per la gestione sicura dei dati personali ed è richiesto di limitare i dati personali trattati a quelli strettamente necessari. Nell’articolo 32 sono riportate alcune misure tecniche ed organizzative per implementare concretamente la protezione dei dati personali: pseudonimizzazione e cifratura, attenzione alla riservatezza, all’integrità ed alla disponibilità degli stessi, misure di disaster recovery per ripristinare tempestivamente l’accesso a questi dati, istituzione di procedure periodiche per la valutazione della sicurezza del trattamento.
Notifica di accessi non autorizzati e valutazioni preventive – Gli accessi non autorizzati ai dati personali devono essere comunicati “senza ingiustificato ritardo” (entro 72 ore, ove possibile) all’autorità di controllo (un’autorità pubblica indipendente designata da ogni Stato membro, come da art. 51). È altresì richiesta una comunicazione all’interessato, nella quale la violazione viene descritta con un linguaggio semplice e chiaro; tale comunicazione non è richiesta solo se i dati violati sono inaccessibili a chiunque non sia autorizzato (es. perché sono cifrati e chi li ha violati non ha i mezzi per decifrarli), se il titolare del trattamento “ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati” o se questa comunicazione, in forma diretta, richiede uno sforzo “sproporzionato” (in tal caso è comunque prevista una generica comunicazione pubblica). In alcuni casi è prevista una valutazione preventiva di impatto sulla protezione dei dati (art. 35), contenente descrizioni e finalità dei trattamenti previsti, valutazioni di necessità e proporzionalità, valutazioni dei rischi e misure per affrontarli.
Reclami e sanzioni – Gli interessati i cui dati personali siano trattati in violazione alla GDPR possono, fatto salvo ogni altro particolare ricorso amministrativo o giurisdizionale, proporre un reclamo direttamente all’autorità di controllo dello Stato di residenza, di lavoro o in cui è avvenuta la presunta violazione (art. 77); il reclamo può essere proposto anche mediante organizzazioni o associazioni senza scopo di lucro in rappresentanza degli interessati (art. 78). Qualora venga accertato che l’interessato ha subito un danno, materiale o immateriale, il titolare o il responsabile del trattamento sono tenuti ad un risarcimento (art. 82), che può arrivare fino a 10 000 000 € o al 2% del fatturato, se superiore.
Data protection officer – Oltre ai ruoli di titolare e responsabile del trattamento, già esistenti nel vecchio regolamento, nell’articolo 37 viene istituita la figura del “responsabile della protezione dei dati” (in inglese “data protection officer”), i cui compiti includono l’informazione e la consulenza al titolare ed al responsabile del trattamento (secondo l’articolo 38 il titolare ed il responsabile del trattamento devono coinvolgerlo tempestivamente ed adeguatamente in ogni questione concernente la protezione dei dati personali), la sorveglianza sull’applicazione della GDPR, la redazione della valutazione preventiva d’impatto sulla protezione dei dati, ove prevista, e la cooperazione con l’autorità di controllo. Sempre nell’articolo 37 è specificato che il responsabile della protezione dei dati può anche essere un dipendente del responsabile del trattamento, tuttavia nell’articolo 38 si precisa che il data protection officer non deve ricevere alcuna istruzione per lo svolgimento delle sue mansioni da parte del titolare e del responsabile del trattamento, e che non può essere penalizzato in alcun modo per lo svolgimento dei suoi compiti. Il responsabile della protezione dati è richiesto quando il trattamento dei dati viene effettuato da un’autorità pubblica. Per i privati, il data protection officer è obbligatorio qualora l’applicazione e la finalità del trattamento dei dati richiedano un monitoraggio regolare e sistematico degli interessati su larga scala oppure qualora siano coinvolti dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, l’orientamento religioso, l’appartenenza sindacale, dati biometrici (se intesi ad identificare univocamente una persona), o ancora qualora i dati personali siano relativi alla salute o alla vita sessuale (art. 9), a reati o a condanne penali (art. 10). Come chiarificato dal Garante della Privacy nelle F.A.Q. (Frequently Asked Questions) sul GDPR, per i liberi professionisti non c’è obbligo di nominare un data protection officer. Al responsabile della protezione dei dati non è richiesta alcuna attestazione formale o iscrizione ad albi; tuttavia deve possedere una conoscenza approfondita nell’ambito delle norme e delle pratiche relative alla privacy.