GDPR – Entrata in vigore e ambito di applicazione

12 Febbraio 2018

  • Italia
  • Privacy e Trattamento dati

L’ambito di applicazione del regolamento generale sulla protezione dei dati  (“GDPR”), con entrata in vigore a decorrere dal 25 maggio 2018, indurrà le aziende a misurarsi – senza possibilità di ulteriori esitazioni – con questioni concernenti la sicurezza informatica e la responsabilità nella raccolta e archiviazione di dati personali. La tutela della privacy diverrà parte integrante della cultura aziendale e dovrà essere governata a partire dai livelli più alti, ossia dall’amministratore delegato e dal management. Gli stessi dipendenti saranno coinvolti in questo processo di sensibilizzazione attraverso la pianificazione di un’adeguata formazione in materia. Le aziende dovranno ristabilire l’ordine e la priorità di alcuni processi che contemplano la presenza di dati secondo i principi di privacy by design e privacy by default. In sostanza, esse dovranno garantire la protezione dei dati fin dalla fase di ideazione e progettazione del prodotto o del servizio, adottando comportamenti che consentano di prevenire possibili problematiche impattanti sui dati personali.

Una definizione di dato personale sempre più ampia

Il concetto di “dati personali” si riferisce a tutte le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, lo stile di vita, le relazioni personali, lo stato di salute e la condizione economica. Le nuove tecnologie hanno inoltre assegnato un ruolo significativo ai dati relativi alle comunicazioni elettroniche e a quelli che contengono la geolocalizzazione, rendendo sempre più ampia e articolata la definizione di “dato personale”.

Questa transizione, non certo priva di criticità, introduce nuove sfide e opportunità, ponendo al centro del dibattito internazionale e delle politiche digitali la questione della protezione dei dati come fondamentale tutela dei diritti dell’uomo. È un punto di svolta significativo. La digitalizzazione ha infatti generato una serie di questioni relative alla sicurezza informatica che alcuni anni fa potevano essere gestite dalle autorità nazionali in ogni Paese dell’UE e che ora esigono un quadro legislativo più attento e articolato. L’ introduzione di piattaforme come SaaS (Software as a Service) e l’espansione del cloud computing hanno modificato radicalmente lo scenario.

Pertanto, nel 2011 il GEPD (Garante europeo della protezione dei dati) ha accolto con favore l’istanza di riformare l’ambito giuridico della protezione dei dati personali, non risultando più idonea la legislazione vigente.

Benché sia ancora prematuro tratteggiare il quadro dell’impatto complessivo che il regolamento sulla privacy avrà, ci pare interessante e opportuno soffermarci su alcune considerazioni di ordine generale e su alcuni esiti del GDPR nello scenario internazionale.

L’applicabilità potenzialmente mondiale del GDPR

Una delle grandi novità del GDPR è certamente la sua applicabilità potenzialmente mondiale: il regolamento varca dunque i confini europei in nome della tutela del dato personale.

Esso infatti si applica non solo in tutti i casi di trattamento di dati da parte di aziende stabilite nell’Unione Europea, ma anche in tutti i casi in cui l’azienda, anche se stabilita in Paesi extra UE, tratti dati personali di soggetti che si trovano nell’Unione, al fine di offrire loro beni o servizi ovvero di monitorare il loro comportamento nell’ambito dell’Unione Europea.

Pertanto, alla luce di ciò, tutte le società estere che vorranno continuare a proporre e rendere le loro prestazioni ai cittadini europei non potranno esimersi dal conformarsi al GDPR.

Ragioni di opportunità e convenienza, oltre che di obbligatorietà alle condizioni di cui sopra e comunque fintantoché non sarà compiuta la Brexit, potranno portare anche le organizzazioni britanniche ad adeguarsi per proteggere i dati personali dei cittadini britannici ed essere competitive nel mercato europeo.

L’irrilevanza dell’ubicazione dei dati

Il regolamento non solo vincola le società estere che trattino dati personali di cittadini dell’Unione, ma mira anche a disciplinare tutti i trattamenti di dati personali, a prescindere da dove i dati personali si trovino. Si prevede infatti che siano soggetti al GDPR tutti i trattamenti di dati effettuati da aziende stabilite dell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.

I dati saranno quindi al centro dell’attenzione legale e soggetti a questo nuovo regolamento anziché alle leggi di un Paese. Ciò significa che l’ubicazione fisica perde rilevanza dinanzi al fine di garantire agli interessati un maggior controllo sulle informazioni che vengono raccolte, archiviate e utilizzate da altri.

Certo rimarrà aperta la possibilità per un’azienda di decidere di cessare le proprie attività con i cittadini dell’UE per evitare l’adeguamento ai principi del GDPR, ma tale scelta dovrà essere assunta correttamente: se, per esempio, si fornisce un servizio che, attraverso il web, può essere fruito anche da cittadini dell’UE, si dovrà prendere in considerazione l’applicazione del GDPR.

La previsione di severe sanzioni

Le sanzioni verso le società riluttanti all’adeguamento normativo possono giungere sino al 4% del loro fatturato mondiale e fino a 20 milioni di euro. La rilevanza di queste misure sanzionatorie ha destato l’attenzione di tutte le parti, in particolare delle organizzazioni statunitensi, che hanno una forte presenza nell’UE. Il GDPR, peraltro, si applica alle organizzazioni di tutte le dimensioni, sia che si tratti di uno studio individuale sia di una grande società.

Dal momento che raggiungere la conformità risulta complesso e rispettare la scadenza del 25 maggio potrebbe essere difficile, le società lungimiranti hanno iniziato ad avviare i loro programmi di conformità subito dopo l’annuncio del regolamento UE.

Secondo i dati di PwC, il 9% delle aziende statunitensi dichiara di aver assegnato oltre 10 milioni di dollari per ottenere la conformità.

Alcuni requisiti di conformità per le imprese

  • Principio di accountability: si dovrà garantire che il trattamento dei dati passi attraverso procedure documentate, indipendentemente dal fatto che sia l’azienda a condurre tali procedure o che queste vengano eseguite per conto dell’azienda. Il titolare del trattamento viene così responsabilizzato e dovrà dimostrare di essere compliant con il GDPR.
  • Risk based approach: alla base del regolamento europeo v’è, appunto, la responsabilizzazione delle società, cui viene richiesto di essere in linea con i principi del GDPR sulla scorta di un nuovo approccio basato sul rischio e sull’analisi dei rischi.
  • Consenso chiaro ed esplicito: grande attenzione viene dedicata al tema del consenso al trattamento dei dati personali, che dovrà essere chiaro, esplicito, distinguibile ed inequivocabile.
  • Data protection by design e by default: gestione e implementazione della privacy fin dalla progettazione e con impostazioni di default; ciò significa che le imprese dovranno prendere in considerazione la tutela dei dati personali sin dal momento della progettazione e dello sviluppo pratico di un prodotto, un servizio o un’applicazione.
  • Diritto all’oblio: i soggetti interessati hanno il diritto di ottenere, senza ritardo, dal titolare del trattamento la cancellazione dei loro dati personali alle condizioni previste dal GDPR, quali ad esempio la superfluità, e non più necessità, dei dati rispetto alle finalità per cui sono stati raccolti ovvero la revoca del consenso da parte del soggetto interessato.
  • Diritto alla portabilità dei dati: i soggetti interessati hanno il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i loro dati personali, potendoli così trasmettere ad un altro titolare del trattamento senza impedimento alcuno da parte del precedente titolare.
  • Designazione di un Rappresentante nell’Unione Europea: il Rappresentante dovrà agire per conto del titolare o del responsabile del trattamento e potrà essere interpellato da qualsiasi Autorità di vigilanza.

Come facilitare il processo di transizione?

Il regolamento UE in tema di protezione dei dati personali richiede una solida preparazione giuridica e, al contempo, una grande capacità di implementazione tecnica sulla base dei processi di digitalizzazione in atto e l’utilizzo di tecnologie sempre più avanzate e complesse.

Le aziende, pertanto, potranno affidarsi a professionisti in grado di fornire una consulenza multidisciplinare, che contempli non solo le adeguate competenze in ambito giuridico ed informatico, ma anche il dialogo e le sinergie tra professionisti e figure aziendali quali giuristi, informatici, ingegneri e matematici.

Il GDPR diventa pertanto non solo un faticoso adempimento, ma anche l’occasione per avviare nelle aziende un processo di transizione, in cui l’unione delle predette skills si configura come la ricetta in grado di garantire la crescita, oltre che l’osservanza della normativa.

L’autore di questo post è Giorgio Piccolotto.