GDPR: cosa cambia per utenti, aziende e pubbliche amministrazioni

Cosa cambia con l’arrivo del GDPR? Quale impatto avrà il nuovo regolamento europeo nella nostra quotidianità e in particolare in tutti gli aspetti che riguardano la nostra vita su Internet? Cosa devono fare le aziende, le pubbliche amministrazioni e tutte le altre realtà che si trovano a gestire dati personali? E soprattutto quali sono le sanzioni previste per chi non rispetta gli adempimenti?

Districarsi fra tutte le pieghe della norma che di fatto riforma tutto l’ordinamento europeo in materia di trattamento dei dati personali non è cosa semplice. Per capirne di più, abbiamo chiesto a Barbara Indovina, avvocato a capo del dipartimento legale in Forensica e professore a contratto di informatica giuridica presso l’Università Bocconi di Milano, di sintetizzarne i punti essenziali.

Iniziamo dalle basi. Cos’è il GDPR e perché segna un cambio importante nella gestione della protezione dei dati?

Il GDPR è il nuovo regolamento generale sulla protezione dei dati che dal 25 maggio 2018 diventa immediatamente vigente - ovvero senza deroghe - in tutti gli Stati appartenenti alla Comunità Europea.

Il Regolamento traccia un importante cambio di prospettiva, soprattutto rispetto alla normativa nazionale, il decreto legislativo 196/2003, norma che a breve andrà riarmonizzata proprio con il Regolamento ma che per il momento resta in vigore "castrata" di tutte quelle norme in contrasto con il regolamento. 

Le novità più significative riguardano alcuni adempimenti (ad esempio l’informativa), l’introduzione di nuove figure (DPO) e l’obbligo di notifica di violazioni di dati personali (data breach).

Più in generale, si può dire che il Regolamento richiami direttamente l’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea, affermando che la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale; e ancora sancendo che il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio del principio di proporzionalità.

Ma è soprattutto la visione generale di adeguamento a cambiare radicalmente: non vi sono più distinzioni nette tra trattamenti in forma cartacea o digitale e adempimenti minimi richiesti, soprattutto a livello di sicurezza: il principio della cosiddetta accountability, termine che potremmo tradurre con responsabilizzazione, prevede che il titolare metta in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità del trattamento con il Regolamento (art. 74 e 85).

Non più misure minime e idonee, dunque, ma misure adeguate, efficaci e soprattutto dimostrabili: non siamo più di fronte a una conformità statica, a una serie di documenti da archiviare in una cartelletta impolverata, ma a qualcosa di più dinamico.

Il regolamento parla di protezione by design e by default, cosa si intende con questi termini?

Significa che la protezione dei dati deve essere garantita fin dalla sua progettazione (data protection by design) e che deve essere l’impostazione predefinita (data protection by default) sulla base di una sere di parametri che vengono identificati nell’art. 25: Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.   Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

I parametri indicati sono ripresi poi nell’art. 32 in relazione alla sicurezza del trattamento: Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Queste disposizioni sono il vero nocciolo del GDPR perché fanno emergere come l’approccio alla protezione deve essere basato sul rischio e parametrato alla singola realtà su misura.

E’ necessario, quindi, che l’ente effettui una approfondita analisi dei propri asset e dei livelli di sicurezza strutturando adeguatamente l’azienda: la sicurezza informatica è un processo e il titolare non è chiamato ad un adempimento meramente burocratico.

Con il GDPR si definiscono in modo chiaro i dati personali

All'articolo 4 si stabilisce che è dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Una definizione senza dubbio ampia e che ricalca le precedenti definizioni. I dati sensibili vengono ora classificati in particolari tipologie di dati e individuati nell’art. 9 del Regolamento: È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Il divieto di trattamento prevede alcune eccezioni, inerenti il consenso esplicito ad effettuare il trattamento o il fatto di trattarli necessariamente per assolvere a svariati obblighi: la disciplina rispetto alla normativa del D.Lgs 196/2003 è significativa in quanto le disposizioni prima indicate esclusivamente per questa tipologia di dati (cifratura e continenza) sono ora misure fondamentali per qualsiasi dato personale.

Quali sono i principali cambiamenti per l’utenza di Internet?

La prima impressione è che tutto si riduca a un’informativa più ampia sulla quale ci viene richiesto il consenso. In realtà le modifiche più importanti apportate da GDPR sono, come si dice in gergo, "sotto il cofano".

Con il nuovo regolamento, l’utente dovrebbe sapere dove vanno a finire i suoi dati, per quali finalità vengono utilizzati, per quanto tempo vengono conservati e se quei dati sono necessari o meno rispetto all’uso che ne vuole fare.

Il GDPR riconosce anche due elementi piuttosto importanti nell’ottica temporale: il diritto all’oblio e la portabilità dei dati. Il primo definisce la facoltà da parte dell’interessato di ottenere dal titolare del trattamento la cancellazione delle informazioni personali. Con la portabilità si riconosce invece il diritto di ricevere i propri dati personali in un formato strutturato, di uso comune, leggibile e archiviabile su un dispositivo di proprietà ed eventualmente trasferirli a un altro titolare.

Cosa cambia per gli utenti più giovani?

Per la prima volta si parla di utenti minorenni. Sappiamo che i ragazzi di 9-10 anni già un telefono e che oltre il 90% dei ragazzi sopra i 15 anni si connette a Internet dal telefono lasciando molte tracce di sé.

Il regolamento ci dice che c’è un’età - 16 anni per l'Italia - in cui si presume che ci sia una capacità del minore di gestire i propri dati in rete. Altrimenti sarà richiesto il consenso dei genitori.

Quali sono i principali cambiamenti per le pubbliche amministrazioni?

Oltre alle misure appena viste, gli enti pubblici devono segnalare l’introduzione del registro dei trattamenti e la valutazione di impatto dei rischi (Data Protection Impact Assessment).

La novità più rilevante riguarda però la nomina obbligatoria del cosiddetto Data Protection Officer (DPO), un responsabile della protezione dei dati designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.

Il DPO è coinvolto dal titolare immediatamente, fin dal processo di adeguamento e deve supportare il titolare e il responsabile.

Cosa rischia chi, per qualsaisi motivo, perde i dati degli utenti?

Il Regolamento prevede una disciplina stringente per un eventuale data breach dovuto a violazioni di sicurezza informatica che comportino la perdita, la diffusione o la distruzione di dati personali.

Le attenzioni del legislatore si sono concentrate soprattuto sulla comunicazione alle autorità: il Regolamento prevede infatti che la società debba notificare il data breach entro 72 ore dal fatto o dalla sua scoperta.

Resta da capire se tale richiesta sia praticabile nella realtà. I data breach, lo abbiamo visto in passato, vengono comunicati di norma dopo svariate settimane se non mesi dal momento in cui si sono verificati, sono condizioni e termini difficili da realizzare. Il garante non ha dato ancora i modelli, non c’è una legislazione nazionale, le società italiane non hanno di natura delle policy, delle procedure, esperienza nella gestione degli incidenti, non ci sono safety securty officer; oggi si chiede alle aziende di essere a norma (il garante non sospenderà le sanzioni), ma senza i mezzi e le procedure necessari per contrastare il problema del data breech.

Ciò rende necessaria, all’interno dell’ente, l'adozione di una procedura dettagliata per gestire un incidente informatico: tale procedura andrà ad affiancarsi alle policy e procedure già indicate in questi anni anche dall’Autorità Garante al fine della corretta gestione dei flussi informativi e dei processi aziendali.

Quali sanzioni sono previste per chi non ottempera alla normativa? 

Le sanzioni previste dal regolamento sono elevatissime e sono parametrate al fatturato della singola azienda, nonché alla natura, alla gravità e alle conseguenze della violazione.

Ci sono due differenti blocchi sanzionatori con due diversi massimali: le sanzioni maggiori prevedono multe fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente.

Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso l’Authority dovrà tenere in considerazione elementi che riguardano la natura, la gravità e la durata della violazione, l'oggetto, la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito, il carattere doloso o colposo della violazione, le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati, il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32.

Quanto tempo servirebbe a un’azienda che tratta dati personali per adeguarsi al GDPR?

Un intervento di adeguamento al GDPR richiede mesi: chi pretende di mettersi in regola in pochi giorni non ha capito la natura del regolamento, è una norma molto estesa che richiede investimenti in sicurezza e persone. Tutte le società che trattano i dati personali, dal semplice eCommerce alla pubblica amministrazione dovrebbero fare un’analisi del rischio che ne preveda una perimetrazione; significa togliere dalla rete determinati dati, costruire policy, fare un vulnerability assessment, controllare le attività dei dipendenti sui loro dispositivi digitali.

Il GDPR può essere una grande opportunità per tutte quelle aziende che finora hanno sottovalutato la sicurezza e la protezione i dati. I dati, ormai, sono una parte fondamentale degli asset aziendali. E il costo che può derivare da un incidente informatico è enormemente più grande di quello necessario per mettere un'azienda in sicurezza.

Per saperne di più

• GDPR: cosa dice il nuovo regolamento europeo per il trattamento dei dati personali
• GDPR: cosa cambia per gli utenti Apple
• Facebook, arrivano le nuove regole per la privacy. Cosa cambia per gli utenti