Il Regolamento UE 2016/679 a poco più di un anno dall’entrata in vigore
È trascorso ormai poco più di un anno dal 25 maggio 2018 data di entrata in vigore del Regolamento UE 2016/679, denominato GDPR, avente ad oggetto la protezione delle persone fisiche ed il trattamento dei dati personali, che ha comportato l’adeguamento, in data 19 settembre 2018, della normativa nazionale vigente in materia di privacy.
Ed il 20 maggio 2019 è scaduto il c.d. periodo di moratoria, previsto dal D.Lgs. 101/2018, che prevedeva per i primi otto mesi di applicazione del Regolamento che il Garante tenesse conto, ai fini della applicazione delle sanzioni in esso prescritte, della prima fase di avvio del GDPR.
Ora, a partire dal 20 maggio 2019, il Garante, in collaborazione con la Guardia di Finanza, può applicare pienamente tutte le sanzioni amministrative, civili e penali previste dal GDPR nel caso di inosservanza della normativa in materia di privacy, senza alcuna tolleranza.
La nuova normativa, come è noto, ha introdotto importanti modifiche e nuovi adempimenti aventi impatto su aziende, professionisti ed enti pubblici nella disciplina di trattamento dei dati, imponendo un riesame sia della struttura organizzativa dell’impresa e delle sue procedure, sia delle misure di sicurezza informatica.
Nello specifico, la nuova normativa ha previsto, pena l’applicazione di pesanti sanzioni amministrative, civili e penali, l’adempimento di numerosi obblighi, che possono essere così riassunti:
- responsabilizzazione dei titolari e dei responsabili del trattamento di dati personali, sui quali incombe l’onere di dimostrare la concreta adozione all’interno del proprio sistema privacy di misure tecniche ed organizzative finalizzate ad assicurare l’applicazione del regolamento (c.d. principio dell’accountability);
- valutazione da parte del titolare dei rischi privacy inerenti i trattamenti effettuati (c.d. risk assessment) oltre all’obbligo di effettuare “valutazioni di impatto” (c.d. “privacy impact assessment”) prima di procedere ad un trattamento di dati che “possa presentare un rischio elevato per i diritti e le libertà”;
- individuazione ed adozione di misure di sicurezza “adeguate” per prevenire eventuali violazioni dei dati;
- revisione ed implementazione delle informative privacy;
- revisione dell’organigramma privacy: nomina dei responsabili del trattamento con apposito atto giuridico scritto e nomina per i titolari del trattamento che presentino i requisiti dettati dall’articolo 37 GDPR del «Responsabile della Protezione dei Dati» (c.d. Data Protection Officer o DPO);
- adozione del registro di trattamento dei dati (fortemente consigliato dal Garante per tutti i soggetti).
Al fine di garantire la corretta applicazione dei principi stabiliti dal Codice e sensibilizzare i soggetti tenuti all’adempimento degli obblighi prescritti dal GDPR sull’importanza e sul rispetto della nuova normativa, il Garante ha emesso fin dall’entrata vigore del Regolamento UE una serie di provvedimenti, linee guida e newsletter, che ha reso disponibili sul proprio sito, volti principalmente a fornire indicazioni di carattere generale in relazione al trattamento di dati personali in vari ambiti e a far conoscere tutti gli adempimenti necessari in ogni settore.
In particolare, tra i provvedimenti più rilevanti si richiama quello del 30.04.2019 in materia di data breach, in relazione al quale il Garante ha stabilito che le comunicazioni agli utenti non devono essere generiche, ma devono consentire alle persone di comprendere i rischi e proteggere i loro dati; il provvedimento del 7.03.2019 in materia sanitaria, in relazione al quale il Garante ha fornito precise e puntuali indicazioni sul trattamento dei dati sulla salute in ambito sanitario; il provvedimento del 28.2.2019 relativo al trattamento di dati personali dei dipendenti mediante dispositivi indossabili, in relazione al quale il Garante ha raccomandato l’adozione di dispositivi che per le loro caratteristiche esteriori non siano lesivi della dignità del dipendente e che comunque non siano percepiti come tali dallo stesso; la newsletter del 7.02.2019 con la quale il Garante ha precisato il ruolo e la responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela, identificandoli come “responsabili del trattamento” quando trattano dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
In data 18.4.2019 il Garante ha pubblicato il bilancio relativo al primo anno dalla entrata in vigore del GDPR: al 31 marzo scorso sono stati registrati 7.219 reclami e ben 946 notifiche di data breach, di cui 641 solo negli ultimi sei mesi; a questi dati si aggiungono quasi 20.000 contatti con l’Ufficio relazioni del Garante, e quasi 50.000 comunicazioni dei dati di contatto dei Responsabili della Protezione dei Dati.
Come sopra evidenziato, a distanza di quasi un anno dalla emanazione del GDPR ed in previsione della emanazione del Cybersecurity Act è necessario porsi una domanda e, più precisamente, le PMI come intendono affrontare in relazione al principio di accountability la gestione del dato così come precisato e statuito dal Regolamento europeo?
La risposta non è semplice e la strada è ancora lunga sicuramente per tutti i soggetti destinatari di questa normativa.
Certamente i concetti di decisioni automatiche e di profilazione nel mondo della cyber security sono di basilare importanza per poter garantire l’efficacia di un sistema che deve essere sia organizzato che rispettoso di tutta la normativa nazionale ed europea.