A poco più di 4 anni dalla proposta della Commissione europea del 25 gennaio 2012, dal 14 aprile l’Unione Europea ha una nuova disciplina in materia di trattamento e protezione dei dati: il Regolamento Generale sulla Protezione dei Dati e la Direttiva sul trattamento in ambito investigativo da parte delle autorità di polizia e giudiziarie (qui il link al testo). Il Regolamento sarà pubblicato entro 45 giorni nella Gazzetta Ufficiale dell’Unione Europea ed entrerà in vigore dal ventesimo giorno dalla pubblicazione con un periodo di inapplicabilità di due anni. Ciò significa che, presumibilmente, il Regolamento sarà pienamente applicabile a partire dal 20 giugno 2018. La Direttiva, invece, non meno importante ma di sicuro non rilevante per molte aziende, necessiterà di un recepimento con legge nazionale.
Il Regolamento andrà ad abrogare integralmente la Direttiva 95/46/CE, rimasta in vigore per oltre venti anni, quindi tutte le relative leggi nazionali di recepimento, compreso il nostro Codice Privacy, il Decreto legislativo n. 196/2003. Tuttavia, il Regolamento non produrrà un azzeramento totale dell’intero corpus normativo esistente in materia, non abrogherà le decisioni della Commissione europea e le autorizzazioni delle Autorità nazionali di controllo che si basano sulla Direttiva 95/46/CE. Quest’ultime, infatti, resteranno in vigore fino a quando non verranno modificate, sostituite o abrogate dall’Autorità che le ha emanate. Il Regolamento non abrogherà nemmeno la Direttiva 2002/58/CE sul trattamento dei dati nel settore delle comunicazioni elettroniche (Direttiva e–privacy), che verrà riesaminata ed eventualmente modificata per assicurare coerenza con il Regolamento.
Occorre precisare, e ribadire, che il Regolamento sarà direttamente efficace (c.d. self-executing o diretta applicabilità) e non prevede leggi di recepimento come la Direttiva. Formalmente esso si porrà al di sopra di tutte le altre fonti del diritto nazionale, esclusa la Costituzione, sulla base di un principio ormai consolidato che vuole il primato del diritto dell’Unione europea sulle leggi nazionali. Dunque, in caso di conflitto, di contraddizione o di incompatibilità tra il Regolamento e le norme nazionali, il primo prevarrà sulle seconde (tale principio fu affermato per la prima volta dalla Corte di giustizia dell’UE nella sentenza 6/64, Costa c. Enel).
All’atto pratico, significa quindi che il Regolamento sostituirà il Codice Privacy e occorrerà citarlo quando, per esempio, si produrrà e pubblicherà una informativa per gli interessati (ora ex art. 13 del Codice Privacy in futuro ex art. 13 del Regolamento – la coincidenza del numero dell’articolo di riferimento è puramente casuale).
Ciò premesso, occorre fare una considerazione importante. Spesso il contenuto di un regolamento dell’UE rappresenta un compromesso politico, soprattutto per la complessità della materia che può trattare, e il trattamento dei dati e la sicurezza degli stessi lo è, ora più che mai. Motivo per cui, il Regolamento rappresenta un’ampia cornice normativa che, in alcuni ambiti specifici, ha volutamente conferito a legislatori e Autorità nazionali il potere di intervenire affinché esso dispieghi concretamente i suoi effetti. Per questo motivo, come accennato precedentemente, il Regolamento lascerà che i provvedimenti delle Autorità nazionali continuino ad applicarsi senza variazioni, a meno che non sia l’Autorità stessa a provvedervi. Per esempio, resteranno immutati, quindi in vigore ed applicabili anche successivamente alla data di applicabilità del Regolamento (indicativamente 20 giugno 2018), tutti i provvedimenti e le autorizzazioni generali del Garante Privacy che nel corso degli anni hanno disciplinato puntualmente alcuni trattamenti specifici (es. videosorveglianza, fascicolo sanitario elettronico, tracciamento operazioni bancarie, amministratori di sistema, biometria, fidelity card) e, al tempo stesso, resteranno in vigore anche i provvedimenti autorizzativi emessi a seguito di richiesta di verifica preliminare da parte di titolari del trattamento.
Aziende pronte al cambiamento
Dalla data di entrata in vigore e fino alla data di applicazione del Regolamento (periodo che intercorre tra giugno 2016 e giugno 2018), si vivrà un periodo transitorio in cui le nuove norme si aggiungeranno alle vecchie, sostituendole definitivamente solo al termine del periodo di inapplicabilità. I trattamenti in corso potranno essere resi immediatamente conformi al Regolamento sin dalla sua data di entrata in vigore ma, evidentemente, occorrerà del tempo per farlo, soprattutto perché a molte aziende occorre capire se le previsioni del Regolamento sono tutte applicabili ed obbligatorie. Vi sono, in effetti, molti principi generali applicabili erga omnes, ma anche molte disposizioni che, invece, presentano eccezioni.
In generale, con le nuove norme, si passerà essenzialmente da una attività di assessment ex post ad una ex ante. I trattamenti di dati dovranno essere conformi al Regolamento fin dalla loro progettazione (Privacy by design). Non si potrà quindi attivare un servizio se in fase di progettazione dello stesso non si è provveduto a verificarne gli aspetti relativi al trattamento dei dati.
Per sviluppare e implementare soluzioni che rispondano ai requisiti del Regolamento, sulla sicurezza informatica in particolare, si dovranno evitare correttivi o misure aggiuntive successive o, peggio, solo dopo che si sono verificati eventi di violazione o di tentata violazione dei dati.
Nello specifico, se un trattamento presenta un rischio elevato per i diritti e le libertà delle persone, occorrerà una valutazione dell’impatto del trattamento sulla protezione dei dati (Privacy Impact Assessment – PIA) che, in pratica, è la valutazione preliminare degli impatti a cui andrebbe incontro un processo qualora dovessero essere violate le misure di protezione dei dati.
Il PIA necessita di alcune attività come la mappatura dei dati e dei trattamenti, la pianificazione degli interventi tecnologici e organizzativi di protezione dei dati con una valutazione complessiva di riduzione dello stato di rischio. Per le aziende con un’organizzazione complessa, che non hanno mai implementato queste attività, non è praticabile riesaminare completamente tutti i processi interni che trattano dati personali e svolgere su di essi un PIA. Sembra più opportuno avviare valutazioni per i nuovi progetti ed estenderle alle soluzioni esistenti al variare delle soluzioni tecnologiche e all’emergere di vulnerabilità o di carenze.
Con il Regolamento la sicurezza e le misure di protezione dei dati diventano quindi protagoniste. Lo si evince anche dalla eliminazione di un riferimento a misure minime di protezione predefinite, lasciando come unico riferimento l’adozione di qualunque misura che possa garantire un livello di sicurezza adeguato al rischio, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento.
La complessità, non solo giuridica ma evidentemente anche tecnico-informatica, di tutti gli adempimenti che prevede il Regolamento ha portato il Legislatore europeo ad individuare una figura capace di governarli al meglio, il Data Protection Officer, obbligatorio per gli enti pubblici e per le aziende la cui attività principale consiste in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o di categorie particolari di dati personali (per es., per il primo caso, le aziende che svolgono trattamenti per finalità di marketing e profilazione o, per il secondo, le aziende che trattano dati sanitari). Il DPO si occuperà non solo di rendere compliant i trattamenti ma anche di sorvegliare e controllare che venga costantemente applicata e rispettata tutta la disciplina in materia (Regolamento in primis). Inoltre, dovrà gestire i rapporti con le autorità e le notifiche di violazioni di dati alle autorità stesse oltre che, in alcuni casi, le notifiche anche agli interessati.
Da ultimo, ma non meno importante, il Regolamento ha un focus particolare sulle sanzioni amministrative, volutamente fissate di importi rilevanti, per spingere le aziende a non sottovalutare le tematiche del trattamento e la protezione dei dati e adeguarsi ed applicare correttamente tutte le previsioni del Regolamento.
In conclusione, le aziende devono immediatamente preoccuparsi di porre la tematica del trattamento e della sicurezza dei dati tra le priorità del management, coinvolgendo la governance dell’azienda che possa assicurare le coperture economiche necessarie all’adeguamento da attuare entro i prossimi due anni, a partire dal CEO passando per il dipartimento IT ed il CIO e, quindi, individuare i principali gap organizzativi e tecnologici per pianificare poi la messa in produzione delle misure tecniche ed organizzative per colmare i gap individuati.
*Gabriele Faggioli, Guglielmo Troiano e Chiara Giorgini, P4i- Partners4Innovation
