Nell’ottica di ogni individuo, il concetto di privacy è molto personale: ogni tipo di contatto implica uno scambio di informazioni di vario genere ed è impossibile che questo non accada, è impossibile non comunicare del tutto. La concezione di privacy dipende dal perimetro personale di ognuno di noi e nell’era dei social network il concetto va considerato in tutte le sue sfaccettature: le informazioni raccolte da Facebook, Google, LinkedIn, ecc…, hanno un grande valore, sono niente meno che il capitale delle quotazioni in Borsa di questi colossi. Un grande mercato di dati insomma e regolamentarli è l’obbiettivo della nuova normativa.
Per una più semplice comprensione dell’argomento, analizziamo innanzitutto la “ terminologia” ricorrente.
Gli interessati: siamo noi stessi, le persone fisiche tutelate dall’utilizzo dei dati personali. Questi ultimi possono riguardare qualsiasi tipo di informazione relativa ad una persona fisica identificata o identificabile.
Particolari categorie di dati sono invece i dati cosiddetti sensibili, che hanno diritto ad una maggiore tutela, come ad esempio dati relativi all’orientamento politico o sessuale, alla salute, ai dati genetici e biometrici, ecc…
Il titolare del trattamento: ovvero chi opera il trattamento elettronico e/o cartacei dei dati personali degli interessati, eventualmente coadiuvato da un responsabile, il quale tratta i dati per contro del titolare. Altra figura minore di supporto per il titolare è l’operativo o autorizzato, una persona formata per svolgere il trattamento dei dati personali.
Il data breach è la violazione della sicurezza dei dati a cui consegue la perdita, modifica, diffusione degli stessi o l’accesso. Può avvenire in modo accidentale, illecito o non autorizzato.
Quante volte viene riportata la parola “ Privacy” nel GDPR? Mai.
Oggetto e finalità del nuovo regolamento europeo infatti non è la mera protezione della privacy, bensì la protezione delle persone fisiche, dei loro diritti e libertà fondamentali e la libera circolazione dei dati personali nell’unione europea, affinché questa non sia limitata né vietata.
Sembrerebbe che queste due finalità siano contrapposte ma la libera circolazione serve proprio a tutelare le persone fisiche ed i loro diritti fondamentali.
E’ importante quindi la comprensione della normativa in esso contenuta, anche perché dobbiamo tenere conto che il termine ultimo per adeguarsi è per il 25 maggio 2018 e non sarà prevista alcuna proroga.
I cinque fondamenti del nuovo regolamento privacy europeo sono la riservatezza dei dati, la loro esattezza ed integrità nel tempo, la disponibilità e la conformità. Il Regolamento intende in questo senso la protezione delle persone fisiche, dei loro dati personali, la tutela dei relativi diritti fondamentali:
DIRITTO ALL’INFORMAZIONE: io ho diritto di sapere chi tratti i miei dati, come li tratta e quando, soprattutto per quale finalità;
DIRITTO ALLA LIMITAZIONE: posso chiedere la limitazione al trattamento dei miei dati personali, ad esempio una limitazione temporale;
DIRITTO ALL’OPPOSIZIONE: se non sono previsti obblighi di Legge, posso oppormi al trattamento dei miei dati personale;
DIRITTO DI COPIA E TRASFERIMENTO: ho diritto ad avere una copia dei miei dati;
DIRITTO ALL’OBLIO: sempre se non vi sono obblighi di Legge superiori, posso chiedere che i miei dati mi vengano consegnati e cancellati.
Il concetto alla base del GDPR è quello di ACCOUNTABILITY, un concetto di responsabilità. Come detto sopra, non si tratta di mettersi ” in regola” con gli obblighi previsti formalmente, quanto di impostare quella che viene chiamata PRIVACY BY DESIGN e PRIVACY BY DEFAULT ( artt. 24 e 25 del Regolamento).
Privacy by design perché quando imposto il processo di trattamento dei dati ho un disegno in mente, che è la protezione degli stessi, non il solo rispetto degli obblighi della privacy. Privacy by default perché la protezione del dato deve essere l’obbiettivo principale, il risultato finale di tutto il processo.
L’ambito di applicazione è tutto il contesto lavorativo. Il regolamento non si applica quindi quando il trattamento viene effettuato da una persona fisica per esercizio di attività a carattere esclusivamente personale o domestico.
I dati devono essere trattati in maniera adeguata alla garanzia della loro sicurezza, quindi in modo lecito, corretto, trasparente e raccolti per finalità determinate, esplicite, legittime. Inoltre debbono essere esatti, aggiornati e conservati per il tempo adeguato alla finalità per la quale vengono trattati.
Il titolare del trattamento deve essere quindi competente ed essere in grado di comprovare la sua competenza ( concetto di accountability). Deve inoltre dimostrare che l’interessato abbia prestato esplicito consenso al trattamento dei dati personali ( efficacia probatoria).
Nell’ottica della cosiddetta privacy by design e by default non trova quindi più posto la vecchia richiesta di consenso scritta fitta in piccolo: è responsabilità del titolare un trattamento lecito, trasparente e che contenga informazioni adatte.
Il processo prevede l’incarico legale dei responsabili al trattamento, l’istituzione del registro dei trattamenti ( ove applicabile), la valutazione di rischio e la valutazione di impatto ( ove applicabile) e l’istituzione del Data Protection Officer ( DPO).
Documentazione prevista dagli adempimenti: l’informativa privacy, il consenso obbligatorio per il trattamento dei dati sensibili ed il consenso quando necessario ( ad esempio, la disponibilità di alcuni dati ce l’ho ma non per l’esecuzione di un obbligo di legge, bensì per altri motivi).
Ci troviamo di fronte ad una catena di responsabilità ed è quindi necessaria la conoscenza dei dati da parte degli attori dei dati che verranno trattati, per quali finalità questo avviene ed entro quali processi aziendali, tramite quali strumenti.
E’ previsto comunque un limite alla tutela predisposta dal titolare, in termini di informazione ( art. 14) e cancellazione ( art. 17): le misure adottate dovrebbero assicurare un adeguato livello di sicurezza, inclusa riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti.
Con l’introduzione del nuovo GDPR, non dobbiamo pensare di trovarci di fronte ad un’ulteriore complicazione burocratica, non si tratta di un mero rispetto formale degli obblighi normativi quanto di un rispetto sostanziale per la tutela dei diritti degli interessati.
Il consiglio perciò è di vedere nella nuova normativa un’opportunità di contatto e confronto con i clienti: riorganizzare OGGI, ci permette di essere competitivi con i cambiamenti in atto DOMANI!