Il GDPR (General Data Protection Regulation) è il nuovo Regolamento europeo sulla privacy approvato il 14 aprile 2016, che diventerà operativo a partire dal 25 maggio prossimo in tutti i paesi UE. Il GDPR è vincolante non solo per le aziende europee, ma anche per le aziende che abbiano la sede legale o i server fuori dal territorio dell’Unione. Esso comporta tutta una serie di obblighi che le aziende dovranno soddisfare, adottando una policy di sicurezza, soprattutto informatica, sui dati personali.
Il nuovo Regolamento europeo sulla privacy definisce “dato personale” “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Non si riferisce cioè solo alle anagrafiche dei database, ma a qualsiasi tecnologia che possa rendere tracciabile una persona, come gli indirizzi IP ed i cookies. In particolare, il GDPR introduce il principio di responsabilizzazione (“accountability”). Cioè, in pratica, la protezione dei dati è a carico delle aziende: esse devono essere in grado di proteggere i dati personali da intrusioni nel proprio sistema informatico (“breach”), e se succedesse devono provare di aver fatto tutto il possibile per evitarlo.
Il nuovo Regolamento europeo sulla privacy prevede che, nella realizzazione di un sistema informatico per il trattamento dei dati personali, le norme sulla privacy e sulla protezione dei dati vadano inserite fin dalla progettazione del sistema (“privacy by design”). Inoltre, le regole devono essere presenti nel sistema “per impostazione predefinita” (“privacy by default”). Cioè sistemi informativi e software devono essere progettati e configurati in modo da ridurre al minimo l’utilizzo di dati personali.
Rispetto al precedente D.Lgs. 196/2003 in vigore in Italia, il GDPR 2016 prevede espressamente le figure del Titolare del Trattamento (“Data Controller”) e del Responsabile del Trattamento (“Data Processor”), ma non quella dell’Incaricato del Trattamento (“Data Handler”). Il Data Controller, azienda, organizzazione o libero professionista che utilizza dati personali per le proprie attività economiche o istituzionali, delega tramite contratto scritto al Data Processor, in genere un provider di servizi informatici, la gestione dei dati in suo possesso. Il Data Processor non può ricorrere ad un altro responsabile (“Another Processor”) senza previa autorizzazione scritta del Data Controller.
Il Data Protection Officer (DPO, in italiano “Responsabile della Protezione dei Dati”, RPD) è un supervisore indipendente con diverse competenze: 1) fornire consulenza al Data Controller e al Data Processor; 2) svolgere attività di controllo sull’ottemperanza del GDPR e sulle responsabilità dei soggetti coinvolti; 3) supervisionare il Documento di Valutazione d’Impatto (vedi più avanti); 4) fare da tramite con l’Autorità Garante della Privacy; 5) controllare che le violazioni dei dati personali siano documentate e comunicate al Garante (“Data Breach Notification Management”).
L’obbligo del DPO scatta, per il nuovo Regolamento europeo sulla privacy, nel caso in cui il titolare sia un’autorità pubblica, oppure se l’attività principale del titolare richieda, su larga scala, il monitoraggio regolare e sistematico degli interessati o il trattamento, sempre su larga scala, di categorie particolari di dati personali o relativi a condanne penali e reati. Rientrano in questa casistica ad esempio gli operatori telefonici, le assicurazioni, e tutti coloro che effettuano profilazioni per finalità di marketing.
Il DPIA (“Data Protection Impact Assessment”) è la valutazione del rischio causato da un possibile “data breach” (fuga di dati). Il DPIA quantifica la natura e la gravità dei danni che potrebbero subire le persone oggetto dei dati, per esempio con quanta facilità queste potrebbero essere individuate a causa del “breach”. Il compito di stilare il DPIA è a carico del Data Protection Officer.
È fatto obbligo alle aziende con più di 250 dipendenti di tenere un “documento di valutazione d’impatto”, dove devono venire documentate le attività dell’azienda, di qualsiasi tipo, legate al trattamento dei dati personali. In particolare, devono venire documentate le procedure informatiche di raccolta e trattamento, e le misure di sicurezza adottate. L’obbligo è esteso anche alle aziende con meno di 250 dipendenti in casi particolari (ad esempio quando queste trattino dati sensibili), ed in ogni caso il documento è raccomandato anche a queste realtà aziendali. Il documento di valutazione d’impatto ha infatti carattere probatorio nell’eventualità di incidenti o contestazioni.
Uno dei punti cardine della normativa è l’obbligo di comunicazione della violazione dei dati personali (“data breach notification”). Le aziende sono infatti tenute ad informare le autorità competenti (il Garante della privacy nazionale) della fuga di dati “leak” entro 72 ore, e a comunicarelo immediatamente ai diretti interessati nel caso questo costituisca un pericolo grave. L’azienda può decidere autonomamente in base a proprie valutazioni se è necessario o meno informare gli interessati, ma il Garante può imporlo, se lo ritiene opportuno.
Il nuovo Regolamento europeo sulla privacy stabilisce definitivamente il diritto delle aziende ad utilizzare i dati dei clienti per attività di marketing e promozionali, come il telemarketing, senza richiedere un consenso esplicito da parte dell’interessato. Questo vantaggio è tuttavia limitato da precisi diritti di quest’ultimo, come il diritto alla limitazione del trattamento e il diritto all’opposizione. Inoltre, viene introdotto il “principio di minimizzazione”: i dati utilizzabili dalle aziende devono essere solo quelli strettamente indispensabili alle attività di marketing e profilazione dei clienti.
Le sanzioni pecuniarie previste dal nuovo Regolamento europeo sulla privacy sono gravi: si parla di multe fino a 20 milioni di euro o, per un’azienda, del 4% del fatturato annuo mondiale dell’esercizio precedente. Una novità molto importante è quella della responsabilità solidale tra data controller e data processor, che rispondono entrambi di eventuali sanzioni.
Il nuovo Regolamento europeo sulla privacy raccomanda un approccio sistemico al trattamento dei dati personali. Anche la piccola e media azienda deve comprendere l’importanza e il valore economico dei dati in suo possesso: uno degli scopi principali del Regolamento è quello di semplificare e facilitare le relazioni B2C (Business to Consumer), ossia le relazioni tra l’azienda e i propri clienti. Basti pensare alle grandi opportunità di fidelizzazione del cliente già acquisito date dalle attività di CRM (Customer Relationship Management).
Per approfondire una tematica che sta diventando piuttosto complessa anche in rapporto alla legislazione nazionale in materia, sono da consultare per prima cosa i siti della Commissione Europea e del Garante della Privacy italiano. Tra le varie testate online che si sono occupate in modo approfondito del GDPR ci sono Filodiritto, portale di informazione giuridica, Agenda Digitale, testata online, e TechEconomy, portale dedicato all’innovazione.