GDPR, Che cosa cambierà per le aziende Italiane?

GDPR: data protection uniforme per tutta l’Unione Europea
Il 25 maggio 2018, cioè tra un paio di mesi circa, l’Unione Europea si uniformerà in materia di privacy, grazie all’entrata in vigore del nuovo Regolamento Europeo in Materia di Protezione dei Dati Personali o, utilizzando l’acronimo inglese, GDPR.[1] Il Regolamento è da considerarsi il frutto del lavoro (condotto ormai da qualche anno) dalle istituzioni europee con lo scopo di garantire sempre più tutela sui propri dati personali ai cittadini degli Stati Membri.
Il nuovo Regolamento sarà uguale in tutti gli Stati Membri, andrà a sostituire tutte le previgenti disposizioni in materia e -diversamente dallo strumento giuridico della direttiva- sarà direttamente applicabile, senza il bisogno di essere recepito tramite disposizioni nazionali. Ulteriore importante novità è che, le disposizioni dettate dal GDPR non si applicheranno solamente alle aziende con sede in territorio europeo, ma anzi, a tutte quelle che, anche con sedi in giro per il mondo, operano sul territorio dell’Unione, offrendo beni e servizi ai cittadini europei.
Il Regolamento è stato adottato il 27 aprile 2016, e sarà quindi applicato dopo un periodo di transizione di due anni (ancora in corso), durante il quale tutti i soggetti coinvolti – come le aziende, gli interessati del trattamento, le associazioni, e persino le istituzioni stesse – si stanno adoperando per arrivare preparati al fatidico momento dell’entrata in vigore.
Ma, in concreto, quali saranno i cambiamenti significativi per le aziende italiane? Ed in particolare per il mondo dell’advertising?
GDPR e le novità salienti per il settore
1. Il principio di accountability
In prima battuta, occorre partire dal principio di accountability (o responsabilizzazione), principio alla base e che attraversa tutto il Regolamento. Il concetto di accountability si sostanzia:

• nella piena adesione ai principi di cui all’art. 5.1 del Regolamento[2] relativi al trattamento dei dati e;
• nella necessaria capacità del titolare del trattamento di dimostrare di averli osservati ed efficacemente applicati.

In altre parole, si chiede alle aziende di mettere in atto misure tecniche e organizzative per essere in grado di garantire ed allo stesso tempo dimostrare, che il trattamento svolto sui dati è effettuato in maniera conforme alle disposizioni del Regolamento.
2. Privacy by design e privacy by default
In virtù del nuovo principio di accountability, il titolare è tenuto fin dall’origine ad agire nel rispetto della normativa. Sintesi di questo suo nuovo dovere, sono atri due principi introdotti insieme all’accountability, ovvero i concetti di privacy by design e privacy by default.
“Privacy by design” significa protezione dei dati “fin dalla progettazione”. S’impone quindi alle aziende di progettare sistemi e applicativi tarati, di regola, sul principio dell’uso minimo e indispensabile dei dati personali. Il GDPR non fornisce indicazioni tecniche specifiche in relazione alla privacy by design, ma si limita a concedere al titolare una valutazione “caso per caso”.[3]
“Privacy by default”, invece, significa che la tutela della protezione del dato deve diventare “l’impostazione predefinita”. Anche qui, le uniche misure espressamente citate dal Regolamento sono due: la minimizzazione e la pseudonimizzazione, quest’ultima definita all’art. 4.5 del GDPR.[4]
3. Meno adempimenti formali, più auto (e non) certificazione
Un’altra novità importante del Regolamento consiste nella diminuzione degli adempimenti formali per le società.
Ad esempio, il noto istituto della notificazione dei trattamenti al Garante viene in parte sostituito dai cd. “registri del trattamento”.[5] I registri, sebbene costituiscano una pratica burocratica, sicuramente comporteranno meno oneri per i titolari rispetto alla notifica, a maggior ragione se si pensa che l’obbligo di tenere un registro delle attività del trattamento, è una premessa indispensabile per poter dimostrare – in caso di contestazioni – la conformità di tutti i trattamenti ai principi enunciati nel GDPR (principio di accountability).[6] Quindi, è importante sottolineare la natura di adempimento “pratico” prima ancora che giuridico di tale registro, in quanto funzionale anche a far sì che tutti gli operatori coinvolti abbiamo un quadro organizzato e ben chiaro dei trattamenti svolti.
Altro aspetto di novità è la possibilità, in capo al titolare, di aderire a codici di condotta e sistemi di (auto)certificazione, che dovrebbero essere adottati da associazioni e/o altre organizzazioni rappresentanti le categorie di titolari e/o responsabili, in modo da procedere ad una regolamentazione rispondente alle esigenze di settore. Tali strumenti dovranno tuttavia essere riconosciuti dall’ Autorità. Anche qui lo scopo è quello di rafforzare il principio di accountability, avvicinando la normativa ai titolari/responsabili e, allo stesso tempo, semplificando il rispetto in concreto del GDPR.
4. Data Protection Officer
Altra figura introdotta ex novo dal Regolamento è quella del Data Protection Officer (DPO) o Responsabile della Protezione Dati (RPD), che dovrà svolgere un ruolo misto di (i) vigilanza dei processi interni alla struttura del titolare e del responsabile, di (ii) consulenza per gli stessi, di (iii) contatto rispetto agli interessati del trattamento e di (iv) interlocutore con le Autorità garanti.
La nomina di un DPO è facoltativa, eccetto che nei seguenti casi:

1. il trattamento è svolto da autorità pubblica, salvo quella giudiziaria;
2. le attività principali del titolare soggetto privato consistono nel monitoraggio sistematico degli interessati su larga scala;
3. le attività principali del titolare soggetto privato riguardano dati sensibili o giudiziari su larga scala.

Il DPO dovrà essere una persona fisica, tendenzialmente un dipendente del titolare/responsabile. Altresì potrà essere un soggetto esterno, vincolato in tal caso da un contratto di servizi. Egli dovrà inoltre essere scelto in base a (i) la sua professionalità giuridica, (ii) la sua competenza in materia di protezione dei dati personali e (iii) le conoscenze specialistiche, che manterrà aggiornate a cura del titolare/responsabile.
In conclusione
A circa due mesi dalla fatidica data del 25 maggio 2018 è importante ricordare come, sebbene da un lato il nuovo Regolamento apporterà importanti novità e cambiamenti nell’ambito della protezione dei dati, dall’altro è importante sottolineare come la disciplina italiana in materia è, di per sé, molto più “evoluta” rispetto alle altre normative nazionali europee. Quindi, l’arrivo del Regolamento avrà si un impatto importante per le società italiane ma – possiamo dire – non destabilizzante.
In ogni caso, per aiutare a prepararsi ai cambiamenti che porterà questa nuova normativa, il Garante della Privacy ha recentemente pubblicato la “Guida all’applicazione del Regolamento Europeo in Materia di Protezione dei Dati Personali”[7] e che il blog di beMail, ha inaugurato un’apposita sezione legal di approfondimento, con un focus particolare sulle aziende del mondo dell’advertising.
 
Articolo in collaborazione con il dipartimento ICT&IP dello studio legale DGRS.
 
 
 
[1] Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
[2] Art. 5, comma 1, lett. a) “Liceità, correttezza e trasparenza”; lett. b) “Limitazione delle finalità”; lett. c) “Minimizzazione dei dati”; lett. d) “Esattezza”; lett. e) “Limitazione alla conservazione”; lett. f) “Integrità e riservatezza”.
[3] Ovvero a seconda della tipologia del trattamento, delle finalità perseguite, della natura dei dati trattati e dei diritti/libertà in gioco, sempre nel rispetto di quella che è definita come “scalabilità” della protezione dei dati.
[4] E’ da considerarsi pseudonimizzazzione “il trattamento dei dati personali in modo tali che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.”
[5] dei veri e propri registri che possono essere tenuti sia in via telematica che in via cartacea, in cui il titolare andrà ad indicare tutti i trattamenti da lui effettuati
[6] Si precisa che tale registro dovrà essere tenuto altresì dal responsabile ex art. 30.2, per tutte le attività di trattamento che egli avrà svolto per conto del titolare.
[7] Disponibile qui: http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali