Nell’era dei Big Data, tutti noi ma soprattutto le aziende , siamo a contatto di miliardi di dati, spesso sensibili. Per aggiornare e migliorare quest’area così delicata e pericolosa, il 24 maggio 2016 è stato approvato il nuovo Regolamento UE 2016/679, che dovrà essere adottato da tutte le imprese entro il 25 maggio 2018.

Il nuovo Regolamento sostituisce la Direttiva 95/46/CE per cui occorrerà aggiornare e armonizzare la normativa sulla protezione dei dati. In merito sono interessate tre categorie di dati: quelli sulle informazioni segrete ex art 98 del DLgs 30/2015 tutelate dal codice della proprietà industriale e che costituiscono il know-how di ogni azienda e inoltre tutti i dati che riguardano la sicurezza fisica, logica e soprattutto informatica.

Un aspetto preliminare riguarda l’approccio che ha seguito il nuovo Regolamento: puntare sulla responsabilizzazione sostanziale, la cosiddetta accountability con specifici obblighi, trasparenze, consapevolezza del titolare e un idoneo impianto sanzionatorio; siamo quindi in presenza di una nuova filosofia di rafforzamento della privacy, con un cambiamento culturale su questa materia.

Il nuovo documento presta una attenzione particolare alle imprese micro, piccole e medie; le novità riguardano:

1. Ambito di applicazione

2. Nuove definizioni

3. Filiera privacy

4. Informativa e consenso

5. Nuovi obblighi

6. Apparato Sanzionatorio

   Vediamo ora qualche dettaglio su questi punti:

   Il regolamento è applicato solo sui dati personali delle persone fisiche e ai trattamenti risalenti a titolari stabiliti nella UE o fuori UE se offrono beni e servizi ai cittadini dell’Unione e che monitorano comportamenti dei cittadini UE. Non troveremo più la dicitura “ dati sensibili” ma dati biometrici e dati relativi alla salute, in ambito di pseudonimizzazione,  trattamento volto a nascondere l’identità dell’interessato e a impedirne l’identificazione senza l’utilizzo di dati aggiuntivi.

   La profilazione dati con la situazione economica, rendimento professionale, preferenze personali, ubicazione e spostamenti fanno parte di un’area vietata, salvo casi particolari e con il consenso dell’interessato.

   L’impianto è inerente alla filiera privati ed è confermato sostanzialmente dal nuovo regolamento; riguarda la persona fisica a cui si riferiscono i dati: in caso di contitolarità occorre un accordo interno. Il soggetto che tratta i dati e lo fa per conto del titolare, deve presentare garanzie sufficienti per attuare misure tecniche e organizzative adeguate. Tutti i soggetti rispondono in solido nei confronti del trattato. l’obbligo di istruzione e formazione per coloro che trattano dati personali porta ad una nuova figura denominata Data Protection Officer (DPO): un nuovo soggetto che assiste il titolare in merito al rispetto degli obblighi di privacy e all’implementazione delle policy.

   Obblighi rafforzati per l’informativa che deve essere concisa, trasparente, facilmente accessibile, semplice, chiara, fornita per scritto o tramite mezzi elettronici, eventualmente anche oralmente su richiesta dell’intestatario; deve contenere gli estremi del titolare e del DPO, con specifica degli interessi perseguiti.

   Per quanto attiene al consenso, parliamo di manifestazione di volontà libera, specifica inequivocabile dell’interessato che può anche consistere in una dichiarazione scritta; la profilazione è vietata salvo consenso dell’interessato.

   Per quanto riguarda i nuovi obblighi, questi sono sia generali che di sicurezza: quelli generali sono misure tecniche ed organizzative idonee a tenere il registro delle attività di trattamento per le imprese con oltre 250 dipendenti. Per quelle di sicurezza, intendiamo protezione, anche qui mediante misure tecniche e organizzative idonee allo scopo, con un livello di sicurezza adeguato al rischio. La denominazione Data breach riguarda qualsiasi violazione che deve essere comunicata entro 72 ore con notifica all’Autorità Garante. Si raccomanda inoltre  di prestare particolare attenzione alla valutazione d’ impatto privacy sul soggetto.

   Per il sesto e ultimo punto, l’apparato sanzionatorio, evidenzia la responsabilità civile e l’applicazione di sanzioni amministrative pesantissime, fino a 10 milioni di euro e secondo i casi fino al 4 % del fatturato annuo dell’azienda. Per le sanzioni penali, queste saranno a cura degli Stati membri con l’unica raccomandazione che siano chiare ed adeguate.

   Entrando nei particolari della figura del DPO, la sua presenza è obbligatoria quanto il trattamento è effettuato da una autorità pubblica. La sua figura e anche obbligatoria per le attività principali che richiedono monitoraggio regolare e sistematico degli interessi su larga scala; parimenti quando le attività principali consistano nel trattamento su larga scala di categorie particolari di dati personali (Art 9), dati sensibili e dati relativi a condanne penali (Art 10).

   Il DPO è designato dal titolare o dal responsabile del trattamento; un gruppo societario può avere un unico DPO, ma in presenza di soggetti pubblici diversi occorre designare diversi DPO.

   Il DPO può svolgere altri compiti o funzioni che però non diano adito a conflitti di interesse; in sintesi la sua figura è quella di un verificatore quasi ex post in questo settore molto particolare, ma allo stesso tempo, con responsabilità penale (Art 40), due aspetti che, a nostro avviso, faranno fatica a coesistere.