Il Consiglio dei Ministri dell’ 8 agosto ha definitivamente approvato il decreto legislativo per l’adeguamento della normativa nazionale al Regolamento generale sulla protezione dei dati (norma europea divenuta pienamente operativa a partire dal 25 maggio scorso).
Il decreto, emanato in attuazione dell’articolo 13 della Legge di delegazione europea 2016-2017 (Legge 25 ottobre 2017, 163), è volto ad armonizzare il Codice della Privacy alla normativa europea.
Il Codice della Privacy che, secondo una prima formulazione del provvedimento, era destinato alla completa abrogazione, nella formula definitiva, rimane in vigore ma si dovrà armonizzare ai principi fissati nel Regolamento Generale sulla protezione dei dati, primo fra tutti a quello di accountability. Stando a quanto si apprende dal comunicato pubblicato sul sito istituzionale del Governo, nel decreto approvato, è garantito un periodo transitorio nel quale troveranno applicazione i provvedimenti del Garante e le autorizzazioni, nonché i Codici deontologici vigenti; i provvedimenti e le autorizzazioni del Garante solo in seguito verranno riesaminati per adeguarli alla nuova normativa. Nel testo approvato dal Governo dovrebbero essere state definite anche modalità semplificate di adempimento degli obblighi del titolare del trattamento per quanto riguarda le micro, piccole e medie imprese. Inoltre, come riportato da autorevoli fonti di stampa, nel provvedimento potrebbe essere previsto un periodo di otto mesi per l’attuazione a pieno regime dei poteri di controllo affidati al Garante per la protezione dei dati personali e per l’applicazione delle relative sanzioni.
Il significato dell’acronimo GDPR
Intendo ricordare principalmente a me stesso il significato dell’acronimo GDPR. Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 meglio noto con la sigla GDPR, è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy.
Perché il Gdpr ci riguarda
E’ diventato operativo, come dicevamo, dal 25 maggio 2018 ma diversi utenti (e aziende) hanno dimostrato sere in ritardo sulle proprie azioni di adeguamento. Ergo perché il Governo ha concesso un periodo di tolleranza di otto mesi, comportandosi in maniera più elastica sui casi di infrazione.
Ma in cosa consiste la Gdpr?
È il caso di domandarselo perché, finito il periodo di avvio, si preannunciano multe fino a un massimo di 20 milioni o del 4% sui ricavi annui.
Prima di tutto… Cosa è un regolamento europeo?
Il regolamento è uno degli atti legislativi dell’Unione europea, insieme a direttive e decisioni. A differenza di queste ultime, si caratterizza per avere portata generale (vale in tutti i paesi) e applicabilità diretta in tutti i suoi elementi (diventa legge subito, senza dover passare per il recepimento da parte degli Stati membri). I paesi possono decidere di rivedere la propria legislazione se si creano incompatibilità evidenti con le nuove regole europee. Nel caso del nostro Paese, ad esempio, si è abolita la parte generale del vecchio Codice della privacy (a sua volta ispirato a una direttiva risalente al 1995) e si sono diluite le restanti norme in un decreto.
Ma cosa prevede la Gdpr?
La Gdpr, come dice l’acronimo, è un testo che prova a uniformare le leggi europee sul trattamento dati e il (nostro) diritto a essere in pieno controllo delle informazioni che ci riguardano. Il regolamento si compone di 99 articoli e istituisce alcune novità come il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo), la «portabilità» dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach (le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore). I destinatari sono i «titolari del trattamento», ossia chi gestisce le informazioni: privati e, soprattutto, aziende.
Quale sarebbe l’impatto su un’azienda “normale”?
L’impatto è più ampio di quanto si possa pensare, perché la Gdpr riguarda le aziende che gestiscono qualsiasi tipo di dato personale. Dalle informazioni sui propri dipendenti alla profilatura dei clienti per conto terzi: la Gdpr coinvolge tutte le aziende che trattano dati, consulente della società P4I – Il che può significare le informazioni in mano alle risorse umane sul proprio organico o l’analisi di dati per attività di marketing “targettizzato”, mirato su misura a seconda del cliente.
Quali sono i principali obblighi?
Fra gli obblighi da tenere in considerazione, si ricorda soprattutto una richiesta di consenso in forma chiara (articolo 7), l’istituzione di un registro delle attività (articolo 30), la notifica delle violazioni entro 72 ore (articolo 33) e la designazione di un «responsabile protezione dati» (articolo 37). Per quanto riguarda il consenso, l’azienda deve chiedere il via libera «in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro (al contrario delle vecchie e chilometriche informative, ndr)». Sul fronte del registro di trattamento, si obbligano i titolari a dotarsi di un registro delle attività dove si elencano, tra le altre cose, le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione. In caso di data breach, la violazione dei propri dati, scattano obblighi di notifica alle autorità molto più stringenti: il titolare deve comunicare l’accaduto «entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche». Infine si va a istitituzionalizzare su scala Ue una figura già accolta da alcune legislazioni: il data protection officer, assunto tra i dipendenti dell’azienda o presso una società esterna con il ruolo di vigilare sull’applicazione effettiva della Gdpr da parte del suo titolare.
E se si viola il regolamento?
Se si viola il regolamento, scattano delle sanzioni. Salate. A seconda della gravità dell’infrazione, le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari. Per farsi un’idea, il Garante alla privacy è riuscito a incassare nel 2015 poco più di 3,3 milioni di sanzioni. La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.
