Necessario verificare i rischi che la struttura può correre nel trattamento dei dati

Realtà e leggende del GDPR applicato

Superata la scadenza del 25 maggio 2018, i dubbi legati alla complessità di applicazione del GDPR non sono ancora tutti chiariti, i tanti timori diffusi sono ancora da provare come fondati. Nel frattempo leggende e narrazioni fantasiose continuano a proliferare, complice la scarsa conoscenza della materia da parte dei media e le loro imprecise e inadeguate, ma anche la percezione diffusa sulla necessità e obbligatorietà di una sua osservanza così come l'assenza di interventi tempestivi per negarne la consistenza o adeguatezza da parte di legislatori e autorità istituzionali.

SoloTablet ospita da sempre contenuti e contributi legati a tematiche tecnologiche con effetti reali sulla vita individuale e sociale delle persone. Il 2018 sarà ricordato per l’applicabilità del GDPR e l’insorgere di numerose problematiche, riflessioni e iniziative ad esso collegate. L’implementazione del GDPR in Italia ha evidenziato numerosi aspetti ed elementi di criticità. Tutti associati alla tutela, alla riservatezza del dato e al diritto alla privacy del cittadino europeo. Elementi relativi alla sicurezza e alla privacy ma anche all'implementazione della normativa in azienda, non ancora perfettamente compresi, così come non sempre opportunamente e attentamente valutati, da parte di aziende e organizzazioni, private e pubbliche.

Con l'intenzione di verificare se e quanto questa percezione sia veritiera e valida abbiamo deciso di intervistare alcuni dei protagonisti del GDPR italiani: DPO (Data Protection Officer), consulenti, CIO, studi legali, ecc.

Buongiorno Giulio Fontana, ci può raccontare qualcosa di lei e della sua proposizione in ambito GDPR? 

Dal 2002 mi occupo di consulenza in ambito:

• informatico,
• analisi forense per gli Uffici Giudiziari, studi legali e investigatori privati;
• trattamento dati personali.

Ho visto nascere e morire, completamente disattesa, la 675/2006, recepimento della prima direttiva europea 95/46, il Codice Privacy 196/2003, il prepotente inserimento del Nuovo Regolamento Europeo 2016/679 e in questi giorni la pubblicazione sulla Gazzetta ufficiale del decreto legislativo 101/2018 di adeguamento del Codice Privacy al G.D.P.R.

A pochi mesi dall'applicabilità in vigore del GDPR in Italia ci potrebbe raccontare quale è stato il percorso che secondo lei ha caratterizzato la sua implementazione in Italia? L'impressione che ne abbiamo derivato la possiamo riassumere in ritardi dettati da scarsa conoscenza e assenza di senso dell'urgenza, in ampi spazi di deroga lasciati al legislatore nazionale che hanno legittimato i ritardi e limitato gli interventi ufficiali e in molta confusione che persiste ancora ora. Lei cosa ne pensa?

Sicuramente l’assenza di una normativa di adeguamento contestuale all’applicazione del G.D.P.R. non ha aiutato i Titolari di trattamento che, spaventati dalle nuove sanzioni previste dalla normativa europea a sei zeri, volevano regolarizzare la situazione di parziale o totale difformità formale e/o sostanziale da quanto già previsto dal 196/2003. La mancanza di riferimenti, la prima intenzione del Governo di abrogare il Codice Privacy ad inizio anno, il successivo “passo indietro” imposto da una delega che non contemplava tale ipotesi ma il solo adeguamento degli articoli del 196/2003 non conformi al G.D.P.R., hanno spinto strutture pubbliche e private a temporeggiare. La dichiarazione dello CNIL francese “Commissione Nationale de l'Informatique et des Libertés”, precedente al D.Lgs 101/2018, in merito alla deroga riconosciuta per l’applicazione delle sanzioni previste dal G.D.P.R. hanno ulteriormente alimentato una situazione di incertezza e stallo, confermata da quanto disposto dal D. Lgs 101/2018 che a sua volta riconosce un periodo di tolleranza di otto mesi, dalla data del 25 maggio 2018,  per quei Titolari del trattamento in grado di dimostrare di aver intrapreso un percorso di adeguamento.

Personalmente ritengo che due anni di tempo per attivare un percorso di verifica e di adeguamento siano sufficienti, è altresì vero che in caso di “vuoto normativo” il dubbio possa prevalere sulle buone intenzioni.

Le molteplici interpretazioni del GDPR obbligano a fare chiarezza su molti aspetti di una normativa, curata e puntigliosa ma anche complessa e aperta a possibili letture fuorvianti o sbagliate.  In particolare maggiore chiarezza sarebbe necessaria su quali siano i destinatari aziendali di alcune norme rispetto ad esempio alle nomine dei Data Protection Officer. Secondo lei quali sono gli ambiti sui quali una maggiore chiarezza potrebbe ancora essere fatta? A chi potrebbe essere utile?

Il codice Privacy 196/2003 rappresenta, a mio avviso un’ottima normativa, molto dettagliata e ormai definita dai molteplici provvedimenti dell’Ufficio del Garante molto presente e attivo nelle verifiche e nel supporto ai Titolari. Il G.D.P.R. introduce alcuni concetti innovativi e importanti, ma anche delle indicazioni generiche che possono risultare fuorvianti. In particolare faccio riferimento all’art. 30, il Regolamento Europeo 2016/679 del 27 aprile 2016 prescrive l’obbligo per il titolare del trattamento, nonché per il responsabile del trattamento qualora nominato, di tenere un registro delle attività di trattamento.

Occorre premettere che tale obbligo è previsto per i seguenti casi:

1. l’impresa o l’organizzazione ha più di 250 dipendenti;
2. il trattamento effettuato dall’impresa o dall’organizzazione può presentare un rischio per i diritti e le libertà dell’interessato;
3. il trattamento effettuato dall’impresa o dall’organizzazione non è occasionale;
4. il trattamento effettuato dall’impresa o dall’organizzazione include dati di cui all’art. 9, paragrafo 1 (categorie particolari di dati personali ed in particolare i dati che rilevano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona);
5. il trattamento effettuato dall’impresa o dall’organizzazione di dati personali relativi a condanne penali o a reati di cui all’art. 10.

Il Garante della privacy italiano, nell’evidenziare l’importanza e la funzione di tale documento, ha precisato che “la tenuta del registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”..

CONSIGLIATO PER TE:

Il senso della vita

In realtà esiste anche un altro motivo per cui il Titolare del trattamento debba dotarsi di tale registro, ovvero il trattamento dati personali è annoverato tra le “attività pericolose” e quindi, artt. 2050 e 2059 del Codice Civile, impongo allo stesso l’onere dell’inversione della prova. Non è sufficiente dimostrare di non aver commesso un illecito, si deve dimostrare in positivo di aver adottato tutte le misure necessarie affinchè l’illecito non potesse accadere.

In merito al Responsabile della protezione dei dati (DPO) esiste un ottimo lavoro prodotto dal Gruppo di lavoro ex art.29 (wp243_en.pdf) che indica quali sono i parametri che determinano la necessità di adottare tale nuova figura professionale, peraltro non ancora certificata, non esiste infatti ad oggi un percorso di certificazione definito e riconosciuto ufficialmente, spiegando nel concreto anche il concetto di trattamento dati personali su larga scala.

L’art 37 definisce in modo chiaro quando si debba ricorrere a tale figura:

“Sezione 4 

Responsabile  della  protezione  dei  dati 

Articolo 37 

Designazione del responsabile della protezione dei dati 

1. Il titolare del trattamento  e  il responsabile del trattamento  designano sistematicamente un  responsabile della protezione dei dati ogniqualvolta:

a)  il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure…..”

Ricordo che il G.D.P.R. punta molto alla sostanziale conformità e prevede la possibilità, fra strutture compatibili, di condivisione della figura del DPO purchè venga adottata.

Dalla lettura del regolamento europeo si evince che molte delle formulazioni sono condizionate a scelte che devono essere fatte a livello nazionale. E' come se il legislatore europeo avesse deciso di evitare l'imposizione di precetti o ordini precisi pur avendo definito un framework di riferimento stringente e a suo modo vincolante. Secondo lei quanto è vincolante il GDPR a livello nazionale e quali spazi di manovra hanno i legislatori locali e le realtà che devono implementarlo?

Innanzitutto una delle novità del G.D.P.R. consiste nell’adozione di un Regolamento che, a differenza della direttiva 95/46, è fin da subito obbligatorio per tutti gli Stati membri dell’Unione Europea, unica normativa uguale per tutti (principio di armonizzazione).

Non può tuttavia tale regolamento prevaricare le normative già in essere nei singoli stati, richiedendo un adeguamento delle stesse ai nuovi principi, diritti e doveri indicati dal G.D.P.R.

Anche nel caso delle sanzioni sono indicati tetti massimi “fino a 10.000.000 di euro o, se superiore a tale cifra, il 2% del fatturato lordo mondiale dell’esercizio precedente e  fino a 20.000.000 di euro o, se superiore a tale cifra, il 4% del fatturato lordo mondiale dell’esercizio precedente” ma lasciano ai singoli stati la definizione delle stesse, tenendo conto, in base al principio di proporzionalità, riferito ai diversi livelli di rischio che possono assumere diverse tipologie e metodologie di trattamento. 

Il 25 maggio 2018 ha marcato l’applicabilità del GDPR ma ha anche riempito di email le caselle postali di milioni di cittadini europei alla ricerca del consenso sull'uso dei dati e della reimpostazione della privacy individuale. Il consenso richiesto su tutti i dati è però una forzatura del GDPR  che non impone vincoli su tutti i trattamenti. Quali sono i dati che vanno legati al consenso e in che modo si intersecano con quello che in giurisprudenza è chiamato legittimo interesse? Quali sono le vulnerabilità del GDPR in merito alla gestione del consenso, ad esempio riferito all'utilizzo dei cookies?

Innanzitutto la richiesta del consenso è obbligatoria solo se il trattamento riguarda dati particolari (sensibili e giudiziari in ambito penale) ad esclusione di tutte le attività che sono previste da normative, obblighi di legge, regolamenti e contratti. Già questa indicazione risolve molti dubbi.

L’art. 3 del Codice Privacy parla di principio di necessità e impone di evitare eccessi e ridondanze, tenendo conto di tale articolo all’atto della raccolta dei dati e facendo riferimento alle finalità indicate nell’ex “informativa resa”, ora definita dal 101/2018 “le informazioni rese”, si dovranno raccogliere solamente i dati strettamente necessari per le finalità espresse.

Facciamo un esempio per capire meglio, anche il principio di proporzionalità: un’azienda che svolge attività di produzione conto terzi tratta dati di clienti e fornitori, persone giuridiche in prevalenza ma anche dati personali comuni, basta quindi l’informativa, ma tratta anche dati personali dei dipendenti e potenzialmente dei loro familiari, comuni, sensibili e giudiziari. In questo caso serve il consenso per tutte le attività svolte che non rientrano negli obblighi normativi quali trasferimento dati all’INPS, INAIL, consulente del lavoro…..

Diversamente una struttura che opera in ambito sanitario, call center, studi professionali associati che rientrano nel trattamento dati, per natura o per i mezzi utilizzati, nel concetto di larga scala prima già visto.

Altra attività che richiede consenso riguarda l’invio di newsletter, sono di due tipi, la prima newsletter informativa, che non contiene riferimenti commerciali e/o di marketing, richiede un consenso una tantum, la seconda con esplicite offerte commerciali richiede un consenso che deve essere verificato ogni due anni.

Anche la gestione dei cookies genera molta confusione, il Garante Privacy è intervenuto, con apposito provvedimento dell’ 8 Maggio 2014, a regolamentare in modo preciso la gestione dei cookie all’interno dei siti web. I cookies sono delle semplici righe di testo che consentono di monitorare le attività ed il comportamento di chi naviga su un sito internet, installandosi in modo residente o temporaneo nei web browser che ci permettono di navigare in internet (Edge, Chrome, Safari, Mozilla, …) da uno smartphone, da un PC o da un tablet.

I cookie si dividono principalmente in due categorie:

1. Con il termine Cookie Tecnici si intende quando le informazioni vengono lette e decifrate per facilitare la navigazione dell’utente. I siti salvano alcuni dati per consentirci di agevolare processi di pagamento online, per consentire l’accesso ad aree riservate, per permettere la pubblicazione di commenti, ecc.
2. Con la dicitura Cookie di profilazione si intendono i cookie che analizzano il nostro processo di navigazione e raccolgono dati sui nostri interessi e predilezioni in diversi ambiti come gli acquisti, le APP utilizzate, lifestyle, ecc. e vengono usati in un momento successivo per attività mirate a fini commerciali facendoci apparire promozioni/annunci/campagne pubblicitarie/offerte predisposti in base alle nostre preferenze. Il cookie presente sul proprio apparecchio salva i dati necessari, come le pagine visitate, i prodotti che acquistiamo, le informazioni cercate, ecc. Successivamente, il cookie è inviato nuovamente ai domini web per cui è stato generato, comprensivo dei dati utili.

L’obbligo per chi utilizza tali strumenti consistono unicamente nell’obbligo di segnalare attraverso un banner dedicato l’utilizzo di cookies di profilazione, e di fornire informazioni dettagliate in apposita pagina dedicata “privacy policy” l’elenco degli stessi e le modalità per poterli disattivare nei diversi browser disponibili.

I media non sembrano avere dato troppa attenzione alla scadenza del 25 maggio 2018. Lo hanno fatto per una sottovalutazione del  GDPR o perché tutto è filato liscio e non ci sono stati fatti di cronaca meritevoli di prime pagine? Eppure il panico poteva essere una conseguenza e una causa di cattive esperienze. Quello che è certo è che come il Millennium Bug anche il GDPR non ha marcato alcuna  fine del mondo ma solo l'inizio di una nuova era. Secondo lei quante sono le realtà che hanno travalicato il 25 maggio senza essere pronte e cosa possono fare, ad esempio collaborando con aziende partner, per porvi rimedio? In fondo anche la stessa Commissione Europea è in ritardo su molte adempienze  e tanto meno il legislatore nazionale!

Non sono in possesso di dati statistici certi, ma la maggior parte delle strutture private e pubbliche con le quali sono venuto a contatto manifestavano disinformazione e molti dubbi sulla necessità e su come affrontare le problematiche connesse al trattamento dati personali. In alcuni casi ho riscontrato un’informazione puntuale e approfondita delle normative, delle problematiche e una spiccata sensibilità e attenzione all’argomento.

Ritengo che il primo passo necessario sia verificare i rischi che la struttura può correre nel trattamento dei dati, ricordo che il G.D.P.R. consente di stabilire un piano di adeguamento diluito nel tempo, tenendo conto delle priorità riferite alle misure da adottare.

Cosa dovrebbe fare un'azienda che non ha ancora implementato il GDPR? Dovrebbe accelerare per farlo per timore delle sanzioni o darsi tutto il tempo che serve per comprenderne l'essenza in termini di come devono essere trattati i dati e soluzioni utili e/o necessarie per la loro protezione ma anche per gestire le criticità organizzative e operative?

Ritengo innanzitutto che sia indispensabile appoggiarsi ad una figura professionale che supporti il Titolare nel cammino di analisi, redazione del registro delle attività, valutazione degli eventuali adeguamenti fossero necessari, individuare le figure interne ed esterne che concorrono al trattamento e regolamentare in modo corretto i rapporti, organizzare eventi formativi. Se non esiste cultura ed esperienza non si può affrontare un argomento tanto delicato e sottile quanto pericoloso per le sanzioni ma anche per eventuali richieste di indennizzo.

Infine un'ultima domanda. Su molti media americani si è parlato di GDPR come killer della democrazia di Internet per i numerosi vincoli che pone all'uso dei dati e per avere causato la messa offline di numerose testate o risorse web. Il GDPR sembra essere percepito come clava nei confronti dei produttori americani di piattaforme tecnologiche e come tale capace di mettere in crisi la Rete. Lei cosa ne pensa? Non è la difesa della privacy e la ricerca del consenso la dimostrazione di una democrazia migliore o quanto meno della sua interpretazione europea?

Non sono assolutamente d’accordo con questa definizione, innanzitutto le testate ufficiali hanno una specifica autorizzazione del Garante per poter svolgere in assoluta trasparenza e serenità garantendo a tutti il diritto all’informazione.

Internet è sicuramente una grande opportunità ma rappresenta anche molteplici rischi se non si adottano le misure necessarie a tutela della propria sfera personale.

Il G.D.P.R. e il D.Lgs 101/2018 agevolano, al contrario, l’utilizzo di piattaforme online al punto di ridurre l’età minima per poter prestare il consenso a cura dei minori da 16 a 14 anni.

Ritengo inoltre che la prima protezione dei nostri dati personali dipenda soprattutto da noi stessi, non dobbiamo concedere consensi senza aver preso visione di quali conseguenze possano determinare. I consensi riconosciuti con la dizione “società terze” non identificate aprono la porta al mondo. Comunque ogni consenso prestato può essere in qualunque momento revocato, senza formalità. L’art. 7 del TU e gli artt. Dal 15 al 22 del G.D.P.R. sono molto chiari ed espliciti. 

Per concludere ci può raccontare la sua proposizione sul GDPR e sui servizi che compongono il portafoglio d'offerta della sua azienda/consulenza?

Affrontare le normative vigenti in materia di trattamento dati personali richiede dei percorsi obbligati e precisi.

1. Innanzitutto è indispensabile identificare e classificare le tipologie di dati che sono presenti negli archivi, informatici e cartacei,
2. Verificare le misure fisiche di sicurezza attivate a protezione dei locali dedicati al trattamento,
3. Rilevare le misure di sicurezza adottate per garantire integrità, disponibilità e riservatezza del trattamento nell’utilizzo di strumenti elettronici e in riferimento ai trattamenti manuali,
4. Identificare i soggetti che sono coinvolti nel trattamento, interni ed esterni,
5. Redigere il Registro delle attività,
6. Predisporre una organizzazione dei documenti necessari a gestire i rapporti con il personale interno e i consulenti esterni, le lettere di nomina e di incarico,
7. Verificare che i fornitori di servizi siano a loro volta conformi alle normative, catena di responsabilità,
8. Strutturare gli adeguamenti confrontandosi con le soluzioni tecnologiche più idonee secondo il principio di proporzionalità,
9. Organizzare eventi formativi, misura minima prevista,
10. Monitorare periodicamente i livelli di sicurezza e aggiornare il registro verificando il raggiungimento della conformità.