Usa il mouse, frecce o sfoglia se touch
   numero di 14/03/2018
Cover story

Avv. Colarocco: imprese, quante opportunità dal GDPR

Il nuovo Regolamento europeo sulla privacy interessa chiunque effettui un trattamento di dati personali, sanitari, sensibili, biometrici e genetici di terzi

Attualmente ci sono ancora molte aziende che non hanno colto la profonda rivoluzione apportata dal Regolamento europeo sulla privacy (GDPR) e il relativo impatto sull'organizzazione e sul business. Ancora oggi circa il 50% delle imprese italiane non ha ancora avviato un progetto per l'adeguamento al GDPR.
Il motivo è semplice: la mancanza di consapevolezza sia nei vertici aziendali, sia nei dipendenti e soprattutto nella maggior parte dei cittadini. A ciò si aggiunga che vi sono anche realtà aziendali che hanno sottovalutato il processo di adeguamento il quale appare relativamente facile, ma nell'attuazione rivela profili di complessità non indifferenti, in quanto oltre ad esser coinvolte differenti funzioni aziendali vi è la necessità di un team di lavoro in cui siano coinvolti diversi profili di competenza: da quello legale, a quello informatico, passando per quello organizzativo aziendale. Ne abbiamo parlato con l'avv. Vincenzo Colarocco, alla guida del nuovo Dipartimento protezione dei dati personali, compliance e sicurezza informatica dello Studio Previti Associazione Professionale.

Esattamente, cosa prevede il nuovo regolamento?

Il GDPR che sarà efficace dal prossimo 25 maggio rappresenta un cambiamento epocale. Si passa da una normativa corroborata di adempimenti vissuti sia dalle aziende che dalle persone fisiche come un fastidioso compito burocratico, a una normativa che vuole garantire concretamente la tutela del diritto dell'interessato al controllo sui propri dati: il tutto affidando a ogni singolo titolare le scelte per garantire detto diritto, nel rispetto del principio dell'accountability.
Proprio per tracciare puntualmente il ciclo vitale del dato, dal momento in cui viene acquisito sino al momento in cui viene cancellato, è stato introdotto il "registro delle attività di trattamento". Inoltre, il GDPR prevede che le aziende devono adottare misure organizzative e tecniche idonee a garantire un livello di sicurezza adeguato al rischio sia informatico che legale: dunque non si può prescindere da una puntuale analisi del rischio di ogni trattamento del dato.
Le ulteriori novità sono rappresentate dall'introduzione della figura del Data Protection Officer, oggi la figura certamente più conosciuta del GDPR, nonché dall'introduzione dei principi di "privacy by design" e "privacy by default" per cui il dato deve esser protetto fin dalla progettazione e per impostazione predefinita.
A ciò si aggiunga che è stata introdotta la valutazione d'impatto sulla protezione dei dati ovvero, quando un trattamento presenta un rischio elevato per i diritti e le libertà delle persone, il titolare del trattamento effettua, - prima di procedere al trattamento - un processo analitico, iterativo e ciclico volto a ridurre i rischi appena ricordati.
Infine, non possiamo non ricordare il principio di trasparenza, la "data portability", il diritto all'oblio, il diritto d'accesso e la possibilità per i minori di 16 anni di prestare il proprio consenso per i servizi della società dell'informazione (quali ad esempio Facebook, Instagram, ecc.).
Tra tutti, la portata maggiormente innovativa è quella rappresentata dalla "data portability", ovvero il diritto degli interessati di ricevere dall'azienda - anche senza cessare il contratto in essere - in un formato idoneo a garantire l'interoperabilità tra i vari sistemi informatici, i dati personali che li riguardano, e hanno il diritto di trasmettere tali dati ad un'altra azienda. Ma quali dati le aziende concretamente dovranno trasmettere all'interessato o ad un'altra azienda?
A chiarire il quadro sono intervenuti i Garanti Europei che hanno precisato come i dati oggetto di portabilita?:
a) riguardano l'interessato (sono ad esempio esclusi i dati anonimi);
b) coincidono con quelli forniti consapevolmente e in modo attivo dall'interessato (ad esempio, i dati di registrazione inseriti compilando un modulo online, come indirizzo postale, nome utente, eta?, ecc.);
c) i dati forniti dall'interessato attraverso la fruizione di un servizio o l'utilizzo di un dispositivo (ad esempio, la cronologia delle ricerche, i dati relativi al traffico e all'ubicazione, dati grezzi come la frequenza cardiaca registrata da dispositivi sanitari o di fitness).
Mentre non sono oggetto di portabilità i dati creati dal titolare alla luce delle informazioni fornitegli dall'interessato (ad esempio, l'esito di una valutazione concernente la salute di un utente, o il profilo creato al fine di attribuire uno score creditizio o di ottemperare alla normativa antiriciclaggio).
Da ultima, ma non in ordine di importanza, ricordiamo la procedura di "data breach" ovvero l'obbligo per ogni azienda di dotarsi di misure organizzative, tecniche e contrattuali che consentano alla stessa di notificare entro tempi stringenti sia agli interessati che al Garante la violazione dei dati personali trattati.
In conclusione, il Regolamento rovescia la prospettiva della privacy puntando sui doveri e sulla maggiore responsabilizzazione del titolare del trattamento dei dati personali, al fine di garantire concretamente i diritti dell'interessato.

Quali sono i soggetti sottoposti alla nuova disciplina e quali invece quelli che non devono preoccuparsene?

Il GDPR si applica a chiunque, sia alla persona fisica che alla persona giuridica, che effettui un trattamento di dati personali, sanitari, sensibili, biometrici, genetici di terzi. Inoltre, bisogna sottolineare come il GDPR si applichi anche a imprese ed enti con sede legale fuori dall'Unione Europea, che trattano però dati personali di cittadini europei. Il tutto attraverso la figura del rappresentante stabilito nel territorio europeo e designato dal titolare o dal responsabile del trattamento.
Tuttavia il GDPR non si applica alle aziende che trattano esclusivamente informazioni anonime o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato, oppure dati relativi ai defunti. La normativa non si applica neppure per i trattamenti effettuati da una persona fisica per fini esclusivamente personali o domestici né per i trattamenti effettuati dalle autorità competenti a fini di prevenzione, accertamento e perseguimento di reati.

Se parliamo di PMI, quali sono gli effetti della nuova disciplina? E quali gli adempimenti necessari?

Considerato che il nostro Paese è costituito maggiormente da imprese di piccole e medie dimensioni, risulta necessario che queste si adeguino e siano anch'esse consapevoli delle novità portate dal GDPR. Per questo è fondamentale effettuare una ricognizione all'interno della propria organizzazione per valutare le azioni da porre in essere partendo da un'attività di due diligence volta a verificare chi effettua la raccolta dei dati, come vengono raccolti, chi può consultarli e/o modificarli, come sono conservati, le modalità per l'acquisizione del dato e del consenso.
Successivamente alla due diligence, ove verrà effettuata anche l'analisi del rischio, si procederà alla redazione della "gap analisys" e del successivo "action plan" ove saranno individuate le aree di intervento, ordinate per priorità, con i relativi tempi di azione. Nella fase successiva di implementazione si dovrà procedere alla redazione di una procedura gestionale per dare esecuzione a tutti gli oneri introdotti dal Regolamento.
Dopo una prima mappatura, tra i primi adempimenti necessari rientra la cosiddetta predisposizione di un "registro dei trattamenti", che consente una gestione più efficace della data protection all'interno dell'azienda. Difatti quest'ultimo consente alle singole organizzazioni di rispondere a una pluralità di finalità, tra cui: tenere traccia delle operazioni di trattamento effettuate all'interno della singola organizzazione; costituire uno strumento operativo mediante il quale censire le banche dati e gli altri elementi rilevanti per assicurare un efficace "ciclo di gestione" dei dati personali; dimostrare di aver adempiuto alle prescrizioni del Regolamento, nell'ottica del principio di "accountability".
Parallelamente, si possono mettere in campo anche le altre attività come la valutazione relativa alla nomina del Data Protection Officer e all'implementazione dei processi e dei sistemi per garantire i diritti a tutela dell'interessato come il diritto alla portabilità, il diritto di trasparenza e il diritto all'oblio.

Come cambia l'adeguamento alla nuova disciplina a seconda si pensi ad una grande imprese e ad una PMI, o ad una micro impresa?

Il Regolamento sulla protezione dei dati personali ha un impatto rilevante per tutti, soprattutto in termini di processi e tecnologie. Il percorso di adeguamento è reso altresì più difficile dal fatto che il GDPR richiede una vera e propria trasformazione aziendale e soprattutto un nuovo approccio mentale al trattamento dei dati. A ciò si aggiunga che le attività di adeguamento richiedono investimenti, ma sicuramente gli obblighi mutano a seconda della dimensione. Difatti, alcune previsioni del GDPR sono obbligatorie solo per imprese con più di 250 dipendenti, come ad esempio il registro dei trattamenti.
L'impatto in termini di costi, tempi ed investimenti muta al variare delle dimensioni, ma non è solo l'elemento dimensionale a determinare differenze nel percorso di adeguamento, il quale muta sensibilmente anche a seconda delle tipologie di dati trattati. Si pensi, ad esempio, ad una piccola impresa o ad una startup il cui core business è incentrato sui dati non solo personali, ma anche sanitari e biometrici: gli adempimenti per detta impresa saranno anche maggiori di quelli di imprese di dimensioni superiori che trattano solo marginalmente dati personali in quanto aziende business to business.

In termini di costi, a quali cifre devono andare incontro le imprese?

I costi per l'adeguamento mutano a seconda del punto di partenza dell'azienda. Secondo uno studio pubblicato il 6 febbraio scorso dall'Osservatorio Information Security & Privacy del Politecnico di Milano, un'impresa su tre (il 34%) sta analizzando i requisiti richiesti e i piani di attuazione possibili. Alla maggiore conoscenza corrisponde anche un deciso incremento delle risorse: il 58% delle aziende ha un budget dedicato all'adeguamento al GDPR, di cui il 35% con orizzonte annuale e il 23% su base pluriennale, mentre erano soltanto il 15% dodici mesi fa. Resta ancora molto elevata, tuttavia, la percentuale di organizzazioni senza un budget dedicato: il 42%, divise fra il 23% che prevede di stanziarle nel corso dei prossimi sei mesi e il restante 19% che non lo ha ancora programmato. Risulta difficile indicare con precisione i costi che le aziende debbono affrontare, in quanto per ogni azienda oltre ad eseguire l'analisi dei rischi è necessario individuare gli investimenti economici che la stessa può permettersi per ridurre i rischi individuati: il GDPR non richiede di abbattere tutti i rischi immediatamente investendo tutto o la maggior parte del fatturato, ma i costi di attuazione per ridurre i rischi devono esser individuati analiticamente e possono esser imputati anche su più anni.
Molto probabilmente i costi da sostenere non saranno così importanti come lo sono le sanzioni in caso di mancato adeguamento. Infatti, queste ultime, possono arrivare anche a 20.000.000 di euro o al 4% del fatturato mondiale totale annuo delle aziende, se superiore.

Cosa accadrà dal 25 maggio in poi? Quali le conseguenze e i rischi immediati?

Dal 25 maggio in poi, a seconda del tipo di impresa di riferimento, si prevedono sanzioni e differenti tipologie di intervento dell'Autorità. Nell'analisi dell'apparato sanzionatorio del nuovo Regolamento ci si concentra di solito sulle cifre, che potenzialmente arrivano a colpire le aziende con sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo delle aziende, se superiore. In realtà, come già previsto dalla normativa vigente, le autorità di controllo hanno una serie di poteri correttivi, tra cui quello di limitare o vietare un trattamento. Le conseguenze economiche di un provvedimento di questo tipo potrebbero essere anche più gravi di quelle derivanti da una semplice sanzione amministrativa. Difatti l'impossibilità di effettuare un determinato trattamento potrebbe comportare per la società una sospensione dell'erogazione di un servizio verso i clienti. Peraltro le sanzioni amministrative possono avere sia conseguenze economiche che reputazionali; si pensi per esempio al danno reputazione della notizia dell'erogazione di una sanzione milionaria per il trattamento illecito di dati nei confronti di un'azienda, che potrà esser percepita come poco affidabile.


Come e per chi arriveranno sanzioni e controlli?

Tutte le aziende possono esser oggetto di controllo e potenzialmente esposte al rischio sanzionatorio. Spetterà all'organo competente stabilirne l'esatto ammontare, valutando la natura, gravità e durata della violazione; se vi è responsabilità dolosa o colposa; quali sono state le misure adottate per limitare il danno; il grado di cooperazione con l'Authority e la tempestività o meno della notifica della violazione; quali dati sono stati sottratti; il rispetto di precedenti ammonimenti, provvedimenti, ingiunzioni ed altre circostanze aggravanti o attenuanti.
Anche le organizzazioni no profit e di volontariato, ad esempio, sono soggette a sanzioni, le cui multe saranno appunto valutate dall'Authority.

É previsto un obbligo di denuncia entro 48-72 ore dal fatto: che succede se non si viene a conoscenza del fatto?

La violazione dei dati personali deve essere comunicata dal Garante della Privacy
senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne viene a conoscenza.
Tuttavia questo obbligo non vi è quando sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Nel caso in cui non venga effettuata la notifica entro 72 ore, sarà ancora possibile farla, ma deve essere corredata dai motivi del ritardo. Si ricorda come la notifica all'Autorità dovrà contenere informazioni dettagliate, come la natura della violazione dei dati personali - compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione -, i dati di contatto del DPO, ecc.
Peraltro, se l'azienda non dovesse notificare il data breach subìto rischio fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo delle aziende, se superiore, oltre ai danni reputazionali e alle conseguenze di potenziali azioni risarcitorie da parte degli interessati.
Ciò premesso, se non si viene a conoscenza della perdita e/o violazione di dati non scatta l'obbligo di notifica da parte del titolare. Tuttavia l'obbligo di notifica nei confronti dell'autorità ed eventualmente degli interessati è sempre a carico del titolare, anche nell'ipotesi in cui l'azienda affidi i dati a società terze, ad esempio quelle che erogano servizi di hosting. Pertanto è molto importante che nella nomina dei responsabili venga disciplinata con attenzione una procedura dedicata al data breach.



Cover story

numero di 14/03/2018
SOMMARIO di questa settimana

Condividi su LinkedIn