Il General Data Protection Regulation si basa essenzialmente su 3 pilastri:
1) Principio di Accountability o di responsabilizzazione: i dati devono essere trattati sotto la responsabilità del Titolare, che deve dimostrare per ciascuna operazione di aver agito in conformità alle disposizioni del GDPR. Al contrario di come avveniva in passato infatti, si passa ad un approccio proattivo e non più reattivo, con focus su obblighi e comportamenti che prevengano in modo effettivo il possibile evento di danno.
2) Privacy by Design: si intende la necessità di prevedere già in fase di progettazione dei sistemi informatici e applicativi, di sistemi che tengano costantemente sotto controllo i rischi che il trattamento può comportare per la tutela degli interessati
3) Privacy by Default: tutte le volte in cui un soggetto cede i propri dati ad un terzo, deve sempre esistere una procedura interna che preveda e disciplini le modalità di acquisizione, trattamento, protezione e modalità di diffusione.
Il GDPR prevede che ogni Nazione emetta una legge di coordinamento (entro il 21 maggio 2018) tra il Regolamento Europeo e le normative nazionali vigenti, soprattutto in riferimento alle materie sulle quali gli Stati Membri hanno competenza legislativa esclusiva (es. penale), con anche l’obiettivo di evitare che vi siano contrasti tra le due legislazioni. La suddetta legge di coordinamento non è però ancora stata emessa, ma solo dei provvedimenti intermedi. Il rischio è quindi che ci siano in essere leggi contrastanti in vigore.
Si devono adeguare alla normativa tutte le imprese, le organizzazioni e le Pubbliche Amministrazioni presenti negli stati membri dell’Unione Europea (indipendentemente dal fatto che il trattamento sia effettuato in UE), ma anche società extra UE che offrono servizi o prodotti a persone fisiche nel territorio dell’UE o che semplicemente monitorano il comportamento di soggetti all’interno dell’Unione.
L’introduzione della normativa non fa più riferimento a quelli che si chiamavano fino a poco tempo fa “dati sensibili”, ma a qualunque informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente (non solo nome e cognome, ma anche indirizzi IP, cookies, dati di geolocalizzazione, dati bancari, ecc.) e trattabili con mezzi automatizzati e non.
Esistono pero delle esclusioni per le quali il trattamento è libero: informazioni anonime, quelle utilizzate per scopi personali o domestiche, quelle rientranti nella politica estera, nella sicurezza comune, nella sicurezza pubblica e giustizia, oltre che quelle aventi finalità esterne al diritto UE.
Il Titolare del trattamento, ossia qualsiasi persona fisica o giuridica, Autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. Il titolare può a sua volta nominare un Responsabile del trattamento che tratta le informazioni per conto del Titolare e anche un Autorizzato al trattamento, cioè chiunque agisca sotto l’autorità del Titolare o del Responsabile del trattamento, che sia da lui istruito e abbia accesso ai dati personali oggetto del trattamento.
Il GDPR vieta il trasferimento verso Paesi situati al di fuori dell’UE o organizzazioni internazionali se effettuato in assenza di adeguati standard di tutela. Al contrario, invece, è permesso in caso di presenza di adeguate garanzie come clausole contrattuali tra titolari autorizzate dal Garante, accordi e provvedimenti vincolanti tra autorità pubbliche amministrative e giudiziarie, clausole tipo adottate dal Garante, adesione a codici di condotta e/o meccanismi di certificazione.
E’ inoltre permesso il trasferimento oltre UE in caso di decisioni di adeguatezza della Commissione UE (es. «Privacy Shield EU/USA», Svizzera, Argentina, Australia, Canada, ecc.), norme vincolanti di impresa (Binding Corporate Rules – «BCR») e casi in deroga (consenso informato dell’Interessato, necessità per esecuzione adempimenti contrattuali e precontrattuali, interesse pubblico, diritto di difesa, interessi vitali, dati tratti da registro pubblico, ecc.)
Una delle tematiche affrontate dal GDPR riguarda il Data Breach, definito come qualsiasi attività che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le aziende, entro 72 ore dalla venuta a conoscenza della violazione subita (eventuali ritardi devono essere giustificati) devono comunicare all’Authority la natura della violazione, le possibili conseguenze, le misure adottate per rimediare o ridurre l’impatto del danno subito, ma anche fornire il nome e i dati di contatto del DPO.
Qualora sussistesse un rischio elevato per i diritti e le libertà della persona fisica i cui dati sono compromessi, la comunicazione dovrà avvenire anche agli interessati con le stesse modalità fornite all’Autorità. Esistono però alcuni casi per i quali la notifica all’interessato non è necessaria, ossia quando i dati non sono stati compromessi a seguito della violazione, se sono state adottate misure successive atte a scongiurare il sopraggiungere un rischio elevato dei diritti dell’interessato o qualora l’invio della comunicazione richieda sforzi sproporzionati.
Sono passibili della responsabilità e quindi tenuti al risarcimento soltanto il titolare del trattamento ed il responsabile incaricato: mentre il titolare deve risarcire qualsiasi danno abbia cagionato in virtù della violazione del Regolamento nel trattamento dei dati, il responsabile risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare.
Il GDPR prevede sanzioni pecuniarie e penali a seconda della gravità della violazione e delle strategie messe in atto dall’azienda per minimizzare il rischio di perdita dei dati.
Sono stabilite multe fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell’azienda dell’esercizio precedente, se superiore alla predetta cifra, qualora non vegano adottati accorgimenti strutturali e formali, come ad esempio non essere conformi al privacy by design/ by default, non aver assegnato ruoli specifici nel trattamento dei dati così come del DPO, non aver realizzato i registri delle attività di trattamento o il non aver comunicato la violazione del Data Breach all’Autority e all’interessato.
Le sanzioni salgono a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra, qualora si attestino violazioni ai principi e alle norme che provocano dei danni sugli interessati.
Come si può notare le sanzioni predisposte sono graduali e definiscono un tetto massimo al quale le multe possono arrivare poiché spetterà all’organo competente stabilirne l’esatto ammontare. Sarà infatti valutata la natura, gravità e durata della violazione, se vi è responsabilità dolosa o colposa, quali sono state le misure adottate per limitare il danno, il grado di cooperazione con l’Authority e la tempestività o meno della notifica della violazione, ma anche quali dati sono stati sottratti, il rispetto di precedenti ammonimenti, provvedimenti, ingiunzioni ed altre circostanze aggravanti o attenuanti (benefici finanziari, perdite evitate, ecc.). Anche le organizzazioni no profit e di volontariato, ad esempio, sono soggette a sanzioni, le cui multe saranno appunto valutate dall’Authority, consapevole della loro particolare struttura.
Il GDPR prevede anche sanzioni penali (che saranno stabilite da una normativa non ancora esistente, ma che dovrà essere introdotta entro il 21 maggio 2018) qualora si accertasse il trattamento illecito dei dati, la falsità nelle dichiarazioni e notificazioni al Garante, oltre che l’inosservanza di misure di sicurezza e dei provvedimenti del Garante.
Secondo l’articolo 58, le autorità possono avvalersi inoltre di una serie di poteri correttivi come la possibilità di limitare o addirittura vietare un trattamento dei dati da parte dell’azienda. Tutto ciò potrebbe portare l’organizzazione ad interrompere l’erogazione di un servizio o un’attività, a danno dei clienti che potrebbero richiedere un risarcimento. Si potrebbe pertanto in casi estremi ad arrivare a compromettere l’esistenza stessa dell’azienda.
Anche se già obbligatoriamente presente in alcune nazioni europee, il GDPR ha introdotto la figura del DPO in tutti i membri dell’Unione. Si tratta di un soggetto indipendente (interno o esterno alle organizzazioni e un gruppo di imprese o soggetti pubblici può nominare un unico DPO) il cui compito è quello di osservare, valutare e organizzare la gestione e protezione del trattamento di dati personali in conformità alla legge. La sua nomina deve essere obbligatoria per tutti le amministrazioni ed enti pubblici (tranne le autorità giudiziarie), per i soggetti la cui attività principale consiste in trattamenti che richiedono il controllo regolare e sistematico degli interessati e per tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. AL fine di riuscire nel proprio compito, il Titolare o il Responsabile del trattamento dovranno mettere a disposizione del DPO le risorse umane e finanziarie necessarie.
Si tratta di due documenti che censiscono le caratteristiche principali dell’attività del Titolare del trattamento e del Responsabile del trattamento. La tabella successiva evidenza quali realtà sono obbligate ad avere questo documento:
Secondo un nuovo sondaggio condotto da SAS, nonostante la consapevolezza dell’entrata del GDPR, meno della metà (45%) delle organizzazioni intervistate ha un piano strutturato per adeguarsi alla normativa e il 58% sostiene che la propria azienda non è del tutto consapevole delle conseguenze derivanti dalla mancata conformità al regolamento.
Un altro studio Trend Micro, mostra un po’ di confusione su come debbano essere esattamente protetti i dati personali: Il 64% del campione, ad esempio, non è a conoscenza che la data di nascita di un cliente è classificata come dato personale. Inoltre, il 42% non classificherebbe i database di e-mail come dati sensibili, il 32% non lo farebbe con gli indirizzi di domicilio e il 21% con l’indirizzo e-mail personale. Le aziende non sono così preparate come credono, sebbene il 79% sia convinto che i propri dati siano già protetti al meglio.
“Ad oggi nessuna azienda è compliance al 100% – ha concluso l’avvocato Ianni – Neppure i grandi colossi americani come Google o Microsoft che pubblicizzano i loro servizi cloud sono perfettamente allineati alla legge. Sebbene abbiano le tecnologie, competenze e risorse per poterlo essere, non esiste ancora una normativa completa a causa di incongruenze tra il GDPR e quella nazionale esistente. Bisogna pertanto aspettare ancora qualche mese. Nel frattempo è bene che le imprese inizino seriamente a muoversi verso la conformità agli obblighi del GDPR poiché si tratta di un percorso non semplice”.