Responsabilità dei titolari trattamento dati, valutazione di impatto delle operazioni e privacy by design sono alcuni snodi salienti del GDPR che sarà direttamente applicabile dal 25 giugno 2018 in tutti i Paesi UE. Il Regolamento europeo n. 679/2016 in materia di protezione dei dati personali, o GDPR (General data protection regulation), introduce un nuovo approccio nella tutela della sicurezza dei dati, sostituendo la precedente direttiva 95/46/CE e aggiornando il quadro normativo alle mutate esigenze della realtà digitale e interconnessa, in cui condivisione, cogestione ed elaborazione dei dati diventano prassi comune, tra cloud, big data e analytics. Il Regolamento unico sarà applicabile senza necessità di recepimento in tutti gli Stati dell’Unione, con obiettivo di uniformare il diritto tra gli Stati Membri nella creazione di un unico mercato digitale europeo.

Un primo adempimento richiesto alle aziende sarà la stesura del Registro dei trattamenti dei dati personali, per il quale il GDPR definisce alcuni contenuti obbligatori. Si tratta di un documento che tiene traccia dei trattamenti effettuati, dal titolare e da eventuali responsabili (data controller e data processor), unitamente a finalità del trattamento, descrizione delle categorie degli interessati e dei dati personali raccolti, destinatari, eventuali trasferimenti verso Paesi terzi e descrizione generale delle misure di sicurezza. La raccolta di tutte queste informazioni sui sistemi già in essere servirà a identificare i gap da colmare per essere compliant al GDPR, e individuare quindi le misure da adottare per avviare un piano di adeguamento.

In ottica di flessibilità di fronte all’evolversi delle tecnologie, il Regolamento adotta quindi un approccio aperto. Il GDPR non detta infatti misure specifiche da adottare, ma lascia al titolare del trattamento ampia discrezionalità nella definizione e scelta delle misure più efficaci per garantire la sicurezza dei dati e dei relativi processi. Seguendo un principio di autovalutazione, la normativa pone però come vincolante la valutazione dei rischi, che deve essere preliminare al trattamento stesso. In questo modo, l’intero impianto della normativa è permeato da un principio di responsabilità in capo al titolare del trattamento (accountability), introducendo di pari passo un principio di proattività e di prevenzione in materia. Tale ottica preventiva ispira anche il concetto di privacy by design contenuto nel regolamento, per cui i requisiti attinenti la tutela della sicurezza dei dati devono essere tenuti in considerazione fin dalle prime fasi di sviluppo e progettazione di prodotti e servizi, prima del delivery, per adottare già in fase preliminare le opportune misure tecniche e organizzative volte a eliminare il rischio.

La valutazione dei rischi deve quindi essere effettuata prima che il trattamento dei dati abbia luogo, mediante analisi della tipologia dei dati che saranno oggetto del trattamento, dei flussi informativi, delle operazioni e dei processi per cui passeranno. Solo in base alle specificità caso per caso del trattamento il titolare può infatti individuare e applicare le misure di sicurezza più adeguate a garantire la protezione dei dati trattati. Il GDPR richiama quindi a un continuo monitoraggio del sistema, per adeguare in maniera dinamica la valutazione del rischio in considerazione di possibili variazioni, portate ad esempio dall’implementazione di nuovi strumenti tecnologici, così come di cambiamenti nel processo, che riducano o aumentino le condizioni di rischio richiedendo nuove misure di sicurezza. Esempio illuminante è quello di un’azienda che sposti il trattamento dati del proprio CRM aziendale su una soluzione cloud.

Il regolamento all’art. 35 introduce anche la valutazione di impatto sulla protezione dei dati personali (DPIA, data protection impact assessment), obbligatoria per le operazioni di trattamento dati (in particolare qualora prevedano l’uso di nuove tecnologie) che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte. Al fine di definire quando un trattamento presenti tale rischio, il Gruppo di Lavoro ex art. 29 (WP29, Article 29 Data protection working party, organo consultivo indipendente costituito in conformità all’art. 29 della direttiva 95/46/CE) ha definito una apposita Linea Guida che contempla una serie di casistiche. Il DPIA è volto non solo a valutare la necessità e la proporzionalità del trattamento, ma è visto anche come strumento utile al titolare del trattamento per dimostrare la conformità al GDPR e l’idoneità delle misure di sicurezza scelte, a supporto del principio di accountability. Il WP29 raccomanda inoltre di effettuare la valutazione d’impatto anche per le attività di trattamento già in corso alla data del 25 maggio 2018, tanto più che la valutazione di impatto va ripetuta qualora dovessero intervenire variazioni del rischio a seguito dell’introduzione ad esempio di una nuova tecnologia o per la variazione delle finalità del trattamento dati. Qualora a termine della valutazione sia presente un alto rischio residuo per le attività di trattamento dei dati, il titolare può chiedere una consultazione preventiva all’autorità Garante, ai sensi dell’articolo 17 del Codice, la quale dovrà pronunciarsi in merito al trattamento in questione.

Tra le linee guida emanate dal WP29 vi è anche quella relativa alla figura del DPO, data protection officer, la cui nomina sarà obbligatoria per gli enti pubblici e per le aziende private che effettuano trattamenti dei dati su larga scala. Il concetto di ‘larga scala’ comporta la considerazione di alcuni elementi come il numero dei soggetti interessati, il volume di dati, la durata delle operazioni di trattamento e la loro estensione geografica. L’introduzione della figura del DPO porta positive ricadute anche sul fronte occupazionale, e i suoi compiti comprendono la verifica e il controllo dell’osservanza del Regolamento all’interno dell’azienda, la funzione di interfaccia con l’Autorità Garante e il compito di fare informazione e consulenza al titolare del trattamento o al responsabile del trattamento, anche relativamente alla valutazione di impatto e al Registro delle attività di trattamento, oltreché ai dipendenti che eseguono il trattamento.

Sul fronte sanzioni in caso di violazioni (data breach, definite come distruzione, perdita, modifica, rivelazione o accesso non autorizzato ai dati, sia accidentale che conseguente ad attività illecita), il GDPR inasprisce severamente il quadro, prevedendo sanzioni che possono arrivare fino a 20 milioni di euro o al 4% del fatturato totale annuo nel mondo. Provvedimento che sprona le aziende ad avviare adeguati progetti per la messa in sicurezza delle operazioni di trattamento dei dati, anche se richiedono investimenti anche importanti di risorse. Il Regolamento introduce inoltre in capo al titolare del trattamento l’obbligo di notifica delle violazioni dei dati all’autorità Garante entro 72 ore dalla rilevazione, a meno che sia improbabile che la violazione stessa rappresenti un rischio per i diritti e le libertà delle persone interessate. In caso la violazione costituisca un rischio per la loro privacy, vige quindi anche l’obbligo di notifica ai soggetti i cui dati siano stati violati. Anche chi effettua pratiche di elaborazione dei dati avrà, infine, diritti e responsabilità, potendo essere ritenuti direttamente responsabili di violazioni dei dati. Accordi contrattuali dovranno prevedere individuazione e ripartizione delle responsabilità tra titolare e responsabile del trattamento dati.

Anche degli aggiornamenti sul GDPR e di sicurezza dei dati, sistemi cyber fisici, IoT, cloud e big data si parlerà al Connected Manufacturing Forum del 26 ottobre a Milano.

Nel video, Gabriele Faggioli, presidente Clusit e condirettore scientifico Osservatorio security & privacy Politecnico di Milano, illustra i concetti chiave di privacy by design, di accountability e la figura del DPO.