Si chiama GDPR (General Data Protection Regulation) e segna il prossimo importante adeguamento in termini di compliance per tutte le aziende europee, indipendentemente dalle loro dimensioni.
Il nuovo regolamento europeo rivoluziona il trattamento dei dati personali e la tutela della privacy in ambito professionale. Le aziende sono chiamate ad adottarne le direttive entro il 25 maggio 2018.
Questo significa, in tempi ormai davvero brevi, consolidare le misure per la tutela della privacy seguendo i dettami del GDPR, rispondendo al contempo ad un’esigenza di protezione e sicurezza dei dati sentita a livello globale e legata a doppio nodo all’emergere di minacce informatiche sempre più complesse.
Il nuovo Regolamento si propone di restituire ai cittadini europei il pieno controllo sui propri dati personali, un diritto spesso ostacolato da legislazioni nazionali differenti e da scenari tecnologici che a volte sfuggono all’attuale normativa. Per questo, adottare regole uniformi diventa l’unica strada percorribile. Ecco perché tutte le aziende sono chiamate ad adeguarsi, dimostrando di operare in conformità a quanto previsto dal GDPR.
L’obbligo di osservanza delle direttive è imposto anche alle imprese con sede legale al di fuori del territorio europeo ma che, nella loro attività, si trovano a gestire o trattare dati personali di chi risiede nello spazio UE.
Conformità al GDPR: cosa fare?
Innanzitutto, il regolamento prevede che ogni azienda nomini un Responsabile della Protezione dei Dati (RPD) – nel Regolamento indicato come Data Protection Officer (DPO) – adeguatamente formato per assolvere al compito nel migliore dei modi e a cui spetta l’incarico di fornire informazioni relative alla propria attività ai diretti interessati, siano essi i collaboratori della società, i fornitori oppure i clienti.
Il presupposto di base per un trattamento dei dati personali a norma di legge, infatti, è che l’azienda-titolare del trattamento ne abbia ottenuto il consenso libero, specifico ed informato. Ecco perché il GDPR detta specifiche linee guida al fine di garantire questo fondamentale passaggio, dettagliando quali tipologie di informazioni minime è necessario offrire al soggetto al fine di ottenere il suo consenso al trattamento.
Divise in sei categorie, si tratta di:
– identità del titolare;
– scopo delle operazioni di trattamento per le quali è richiesto il consenso;
– tipo di dati raccolti e trattati;
– esistenza del diritto di revoca del consenso;
– uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione);
– nel caso di trasferimento verso paesi terzi, possibili rischi in assenza di garanzie e scelte appropriate.
È poi necessario procedere alla tutela dei dati mediante impiego di crittografia, così da renderli non fruibili a soggetti non autorizzati. Bisogna inoltre garantire che, in seguito a un eventuale problema di natura fisica o tecnica, l’accesso alle informazioni venga ristabilito in modo tempestivo.
Per essere compliant, quindi, si devono rispettare procedure standard di protezione (pseudo- nimizzazione e cifratura dati) e prevedere assessment delle misure tecniche e organizzative adottate, che dimostrino la capacità di assicurare riservatezza, integrità, disponibilità, resilienza dei sistemi e dei servizi di trattamento, nonché ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente fisico o tecnico.
Il GDPR introduce infatti il principio di accountability per tutte le fasi del trattamento. Questo significa adottare soluzioni e strumenti che garantiscano non soltanto la protezione del dato ma anche il controllo, la verifica e l’analisi delle procedure.
Nel caso di una fuga di dati, che si può verificare tramite manomissione, attacco esterno o in modo accidentale, è poi obbligatorio darne avviso tempestivo (entro 72 ore dall’identificazione del problema) all’autorità garante. Eventuali ritardi andranno giustificati.
Per le realtà professionali che contano più di 250 dipendenti vige infine l’obbligo di redigere un registro delle attività con i dettagli sulle policy aziendali attuate in materia di privacy, sulle procedure adottate e sugli standard di sicurezza vantati.
Al fine di assicurare la conformità a quanto previsto dal GDPR, nonostante i tempi ormai siano piuttosto stretti, i passi da compiere sono dunque molti ma imprescindibili. Oltre a contribuire nel centrare gli obiettivi del regolamento, infatti, si eviterà di incappare in sanzioni che, per la mancata compliance, possono arrivare fino al 4% del fatturato.
In ogni caso, è bene non adottare soluzioni improvvisate e avvalersi di consulenti e partner IT preparati e certificati per stilare il piano d’azione migliore e ottimizzare gli investimenti necessari.
Pronti al GDPR: entro quando?
A partire dal 25 maggio 2018 il GDPR andrà definitivamente a sostituire le precedenti direttive sulla protezione dei dati. Sarà dunque scardinato e profondamente modificato uno scenario consolidato da anni, che – complice l’evoluzione del mondo online – oggi risulta insufficiente nel rispondere alle nuove esigenze, non soltanto di privacy ma anche di cyber security.
Privacy: obbligo DPO in azienda
Con il nuovo regolamento UE n. 2016/679 sulla protezione dei dati nell’Unione Europea, che dal 25 maggio 2018 potrà essere applicabile in tutti gli Stati Membri, è stata introdotta la figura del responsabile per la protezione dei dati, o Data Protection Officer (DPO).
Il suo scopo è osservare, valutare e organizzare la gestione del trattamento di dati personali, nonché vigilare sulla loro protezione e sulla corretta applicazione del regolamento UE sulla privacy, ma anche delle norme nazionali sulla privacy, all’interno dell’azienda (pubblica o privata). Il DPO:
– Può essere contattato dal Garante Privacy e dai cittadini in merito al trattamento dei dati personali;
– Deve godere di indipendenza e inamovibilità nello svolgimento delle proprie attività di indirizzo e controllo;
– Ha conoscenza della normativa nazionale ed europea e della legislazione in materia di protezione dati;
In caso di trattamenti non conformi al regolamento europeo, non è personalmente responsabile, diversamente dal titolare e dal responsabile del trattamento (questi ultimi potranno però rifarsi sul DPO per inadempimento del contratto di servizio e chiedere i danni in caso di cattiva consulenza);
La sua funzione può essere svolta anche da un consulente od organizzazione esterni sulla base di un contratto di servizi.
La nomina del DPO è obbligatoria per gli enti pubblici e i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala.
Diversamente, non sono obbligati a nominare il responsabile per la protezione dei dati, a titolo di esempio: gli avvocati, il singolo studio medico, le public companies nel settore dei servizi pubblici (energia, ambiente ecc.).
Registri dei trattamenti
Si tratta, in sintesi, di un adempimento formale che fornisce una prima indicazione rispetto al fatto che il Titolare e il Responsabile operano in conformità al GDPR.
Tra le indicazioni che il GDPR fornisce alle aziende troviamo le informazioni che i registri dovranno obbligatoriamente contenere, ovvero:
1. nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
2. le finalità del trattamento;
3. una descrizione delle categorie di interessati e delle categorie di dati personali;
4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Trattamento dati
Di grande rilevanza è anche la nuova definizione di consenso che viene identificato in qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Questi cambiamenti nelle definizioni andranno a influenzare tanti aspetti del business (da quelli commerciali a quelli più strettamente connessi ai rapporti datore-dipendenti).
Compliance
Le imprese dovranno riesaminare la conformità del proprio business alla nuova normativa; garantire con maggiore attenzione il tracciamento (documenti interni, policy, ecc.) delle attività di trattamento; quando necessario, identificare una persona idonea al ruolo di DPO garantendone risorse e indipendenza. Nell’ottica della rivisitazione dei processi e dei progetti aziendali, le imprese dovranno quindi tener conto dei principi di privacy by design e default, ragionando in termini di compliance privacy fin dall’inizio e per tutto il ciclo.
Profilazione
Un’altra innovazione che inciderà in maniera trasversale sulle scelte delle imprese sarà la disciplina dettata in materia di profilazione.
Marketing, sicurezza, monitoraggio dei clienti, analisi, controllo: presuppongono spesso un’attività di profilazione. Le imprese che se ne occupano, come core business o per processi aziendali, avranno l’obbligo di fornire comunicazioni particolarmente precise e chiare agli interessati.
Sicurezza
Il Regolamento innalza anche il livello della sicurezza, introducendo un generale obbligo di segnalare eventuali violazioni. Le imprese dovranno prevedere precisi processi, di difesa e di pronta comunicazione. Anche per i responsabili del trattamento, il Regolamento impone nuovi e rilevanti obblighi di conformità, doveri e responsabilità. La nuova disciplina coinvolgerà direttamente quelle aziende che lavorano come responsabili (i.e. gli outsourcers), ma può anche interessare qualsiasi attività commerciale che impegna un responsabile interno. Responsabili e titolari dovranno quindi rivedere gli esistenti contratti affinché risultino conformi ai dettami del Regolamento.
Privacy su dati commerciali: Codice e diritto oblio
Con il “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale” promosso dal Garante della Privacy viene ripristinato il diritto all’oblio sulle informazioni commerciali negative memorizzate nei database dalle società di due diligence.
Tra le linee guida c’è anche l’obbligo di rimozione dopo 10 anni delle notizie su ipoteche, pignoramenti, fallimenti o altre procedure concorsuali contenute nelle apposite banche dati gestite da alcune società private, che forniscono tali informazioni a pagamento (basti pensare ai dati ai quali accedono le società finanziarie nel momento in cui si chiede un mutuo o un prestito). Banche dati che contengono informazioni patrimoniali, economiche, finanziarie, creditizie, industriali e produttive che finora rimanevano memorizzate per un tempo indefinito, in palese violazione della privacy e del diritto all’oblio.
Il limite dei 10 anni si applica a tutte le informazioni commerciali riferite a persone fisiche provenienti da elenchi e registri pubblici, elenchi e informazioni pubblicamente accessibili. Fanno eccezione i dati sensibili e i dati giudiziari, tranne quelli provenienti da fonti pubbliche o pubblicamente e generalmente accessibili da chiunque.
Il Codice deontologico legittima le società di due diligence a utilizzare i dati ottenuti da fonti pubblicamente e generalmente accessibili quali le testate giornalistiche cartacee o digitali, gli elenchi telefonici, i pubblici registri, le sentenze, i provvedimenti giudiziali, gli elenchi, i documenti pubblicamente accessibili, i da siti web di enti pubblici o altre autorità di vigilanza e controllo. Questi dati possono essere trattati senza consenso degli interessati, nel rispetto di quanto previsto dal Codice Privacy. Possono inoltre essere utilizzati i dati personali che il soggetto stesso ha liberamente deciso di comunicare al fornitore di informazioni commerciali.
Gli operatori sono inoltre obbligati:
– ad annotare sempre la fonte da cui hanno tratto i dati personali sulla persona censita;
– a pubblicare un’informativa completa almeno sul proprio sito web;
– a verificare la pertinenza dell’informazione memorizzata, aggiornando periodicamente i propri archivi (ad esempio per verificare l’intervenuta assoluzione di un soggetto indagato);
– adottare misure per garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali.
Privacy UE, le nuove regole Marketing
Nello svolgere (direttamente o per conto terzi) attività di marketing, per l’azienda permangono i principi fondamentali indicati dall’Autorità:
– il consumatore deve essere sempre informato del trattamento dei dati personali;
– per utilizzare i dati personali di un individuo (recapiti, abitudini di consumo…) per qualunque altra finalità serve il consenso;
– nel trattamento dei dati devono essere sempre rispettati i principi di finalità, proporzionalità e non eccedenza, ossia lo scopo originario per il quale i dati sono stati raccolti e usati.
Quindi, l’informativa – che il Regolamento impone sia scritta in modo semplice (art. 7 GDPR) – e il consenso – che la nuova disciplina sulla privacy dispone sia inequivocabile – nella loro veste rafforzata dal Regolamento rimangono i cardini intorno o a cui devono svilupparsi le attività di marketing. Il Regolamento ha infatti reso più incisivi questi aspetti; ne consegue che le aziende sono chiamate ad intervenire con non pochi “aggiustamenti”.
Una interessante novità è l’introduzione del principio dell’interesse legittimo al trattamento dei dati personali. Il Regolamento chiarisce infatti che: “può essere considerato legittimo interesse trattare dati personali per finalità di marketing”.
L’impresa dovrà pertanto compiere adeguate valutazioni al fine di giustificare il proprio interesse legittimo. Infatti, i legittimi interessi di un titolare possono giustificare un corretto trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative di quest’ultimo.
Insomma, nell’acquisire il consenso al trattamento dei dati per attività di marketing, l’impresa dovrà fornire un’informativa che non lasci spazio ad alcun equivoco, poiché in caso contrario gli interessi e i diritti dell’interessato andranno a prevalere su quelli legittimi del titolare, rendendo non corretto il trattamento.
Inoltre, anche qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato deve avere il diritto, in qualsiasi momento e gratuitamente, di opporsi al trattamento iniziale o ulteriore, compresa la profilazione connessa al marketing diretto.
Agli iscritti al Registro Opposizioni non è consentito rivolgere attività di Telemarketing, purché essi stessi non abbiano in altre circostanze fornito il consenso (spesso obbligatorio quando si sottoscrive un servizio, per esempio) alle proposte. Se infatti il destinatario è iscritto nel Registro, ma in passato ha autorizzato in forma scritta e quindi documentabile una singola l’impresa a contattarlo, tale impresa può inviargli informazioni.
Per questo motivo, per “chiamarsi fuori” gli utenti devono espressamente comunicare ad ogni impresa, attraverso qualsiasi forma di comunicazione, di non voler ricevere informazioni commerciali: gli utenti possono in qualsiasi momento ritirare l’autorizzazione.
In via generale, dunque, la nuova regolamentazione consente che i recapiti telefonici inseriti in elenchi quali albi professionali, registri pubblici o altri elenchi a cui chiunque possa attingere possano essere utilizzarti, anche senza consenso, per attività di comunicazione telefonica a fini promozionali o promozione riconducibile all’attività del destinatario (diritto che decade in caso di espressa opposizione).
L’azienda che intende svolgere attività di Telemarketing deve anch’essa iscriversi al Registro delle Opposizioni, rendendo noti i numeri telefonici che intende. Una volta ottenuta la lista dei non-iscritti si può partire con le comunicazioni commerciali, purché ad ogni destinatario vengano forniti tutti i dati del caso.
La responsabilità dell’impresa non si riduce se il servizio è svolto in outsourcing: l’azienda esterna non sempre diventa direttamente responsabile rispetto a irregolarità o violazioni della privacy.