Il nuovo regolamento europeo in materia di dati personali: una mappa per conoscerlo. (Prima parte)
Si avvicinano a grandi passi gli appuntamenti con la riforma europea che riscriverà profondamente le norme che regolano l'utilizzo dei dati personali.
Ne abbiamo parlato in un precedente articolo ed ora è il momento di vedere cosa è successo, cosa succederà e cosa occorre sapere
Cosa è successo
Nel gennaio 2012 la Commissione europea ha presentato ufficialmente il cosiddetto "pacchetto protezione dati" con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell'Ue.
Il pacchetto prevede due documenti normativi di cui è stata proposta l'approvazione:
Il Regolamento concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la vecchia Direttiva 95/46
La Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all'esecuzione delle sanzioni penali, che sostituirà (ed integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l'Italia non ha, peraltro, ancora attuato).
Dopo tre anni di discussione i due testi sono orami stati definiti e hanno formato oggetto della procedura di condivisione tra le tre istituzioni dell' Unione Europea preposta alla produzione di testi normativi: la Commissione, il Parlamento e il Consiglio.
Il 18 dicembre 2015 è stato in particolare definito il testo del Regolamento (destianto a entrare in vigore direttamente, senza necessità di singole leggi di recepimento) e ora ne è prossima l'approvazione formale e la pubblicazione in Gazzetta Ufficiale
Cosa succederà
Dopo l'approvazione e la pubblicazione (prevista entro il primo trimestre 2016) ci saranno due anni di tempo prima che il testo entri in vigore nei 28 stati membri dell'Unione. In questo periodo transitorio ogni Stato dovrà armonizzarsi con gli altri paesi e favorire la creazione delle condizioni necessarie per l'applciazione unifrome delle nuove norme.
Sarà un periodo intenso in cui i singoli Garanti nazionali avranno un ruolo essenziale per favorire l'efficace entrata in vigore delle normativa. Da subito comunque bisogna attendersi che le nuove norme europee genereranno un'accelerazione nel processo di armonizzazione e nel cambiamento delle ormai consolidate abitudini legate alla normativa nazionale che è destianta ad essere in gran parte sostituita dal nuovo Regolamento europeo.
Vediamo ora quali sono i punti essenziali della nuova mappa della data protection europea.
Cosa occorre sapere: la riforma in dieci punti
In rapida succesione ecco cosa cambia con la nuova normativa
1) cambiano i criteri per stabilire a chi si applicano le norme
La domanda è classica: “se una società extraeurope tratta dati di cittadini europi quale legge si applica?” Fino ad oggi si applica la legge del titolare del trattamento cioè di chi raccoglie i dati.
Cone la riforma cambia tutto: viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti.
E’ una rivoluzione rispetto alla regola precedente in base alla quale la normativa applicabile è quella del luogo in cui ha sede il Titolare del trattamento
Facebook e Google saranno soggette alla normativa europea.
2) cambiano gli obblighi a carico di chi tratta i dati: il nuovo criterio dell'accountability
Fino ad oggi gli adempimenti in materia di dati personali erano basati su criteri formali e sulla logica dell'effettivo abuso dei dati raccolti. Si era sanzionati se gli adempimenti non erano stati applicati e se le autorità di controllo lo rilevavano e lo contestavano.
Ora invece diventa obligatorio elaborare un sistema documentale di gestione della privacy contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità al Regolamento.
E' la logica dell'accountability, cioè della corretta organizzazione e della documentazione e tracciabilità obbligatoria delle attività di trattamento. Chi non oganizza bene la gestione dei dati che raccoglie è punibile per questo semplice fatto a prescindere dall'abusivo utilizzo dei dati che ne possa essere derivato o meno
3) cambia l'informativa
L'informativa non sarà più uno strumento burocratico e formale. Deve essere resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, se del caso in formato elettronico. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.
Inoltre occorrerà informare gli interessati sull'origine dei dati trattati e indicare il tempo di conservazione dei dati
4) nuovi meccanismi semplificati per l'esercizio dei diritti degli interessati
Oggi esercitare i diritti di accesso, modifca, integrazione e cancellazione dei dati personali richiede che l'interessato si attivi e superi a volte difficoltà rilevanti per formulare l'istanza verso chi ha raccolto i suoi dati.
I nuovi criteri introdotti dal Regolamento invece richiedono di prevedere modalità volte ad agevolare l’esercizio, da parte dell'interessato, dei suoi diritti, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare, l'accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Diventerà onere di chi raccoglie i dati predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici.
5) Dal DPS al PIA: analisi dei rischi e valutazione di impatto del trattamento dei dati personali
Siamo stati per ani abituati a gestire un adempimento formale denominato Documento Programmatico sulla Sicurezza (DPS) una fotografia documentata dell'adeguatezza delle misure di sicurezza adottate per trattere i dati personali.
Nel 2012 tale adempimento ha cessato di essere obligatorio ma con il nuovo regolamento euriopeo dovremo presto imparare a destreggiare un nuovo strumento: il Privacy Impact Assessment (PIA) ovvero il documento di valutazione di impatto nel trattamento dei dati.
Sarà una vera e propria analisi dei rischi in concreto generati dal trattamento dei dati aziendali.
Chi raccoglie i dati dovrà effettuare una Valutazione degli impatti determinati dal trattamento dei dati stessi fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, in particolare nei casi in cui il trattamento alla base degli stessi, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati.
Il processo prevede tre distinte fasi da volgersi periodicamente con cadenza almeno annuale
Analisi dei rischi (list analisys)
Definizione della lista delle criticità (gap list)
Definizione del programma di intervento (action plan)
La probabilità e la gravità del rischio legato al tratamento dei dati dovranno essere determinate in funzione della natura, del campo di applicazione, del contesto e delle finalità del trattamento dei dati. Il rischio dovrà essere considerato in base ad una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.
Sarà una vera e propria rivoluzione per quanti sono abituati alle cadenze confortevoli del DPS e all'approccio tecnico informatico alla materia. Con il PIA viene introdotta un'analisi dei processi azienndali profonda che mira a gestire i rischi, prevendoli.
Stay tuned
Per completare la mappa del nuovo regolamento europeo mancano ancora cinque punti. Li vedremo nella prossima puntata. Tra breve su questi schermi …..