Gianluca Amarù - Alessandra Fava
Giuseppe Ferrante - Marco Fossi
LA PRIVACY
IN AZIENDA
alla luce del nuovo GDPR 2016/679 e D. Lgs. 101/2018
Tutti gli errori da evitare per non incappare
nelle sanzioni del Garante
LA PRIVACY IN AZIENDA
Il GDPR (acronimo di General Data Protection Regulation) o Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati stessi, presenta alcune novità dirompenti rispetto alla precedente normativa (Decreto Legislativo 196/2003): sanzioni immediate in caso di violazioni o di irregolarità nel trattamento dei dati personali comminate alle aziende dal Garante della privacy dello Stato dove il Titolare ha eletto la sua sede principale, una più chiara formulazione del diritto di cancellazione dei dati e del conseguente diritto all’oblio (vale a dire la possibilità per il cittadino interessato di chiedere l’eliminazione di dati che lo riguardano), l’introduzione del diritto alla portabilità dei dati, quindi la possibilità che il singolo interessato richieda al Titolare del Trattamento di aver copia integrale dei dati che lo riguardano con salvataggio degli stessi all’interno di un supporto informatico al fine di trasferirli eventualmente ad altro Titolare.
In materia di trattamento dei dati personali l’Italia già dotata di una buona disciplina: la prima legge sul trattamento dei dati personali risale al 1996 (legge n. 675). La 675/96 era a sua volta stata emanata in adempimento alle disposizioni di una Direttiva europea (95/46/CE) che imponeva agli stati membri della Comunità di adottare delle norme a tutela ed a garanzia dei dati personali.
La 675/96 all’inizio destò un vero e proprio allarme nonostante, a detta di tutti gli addetti ai lavori, fosse molto tecnica e precisa e introducesse dei principi innovativi: ad esempio tutti si chiedevano se chi avesse posseduto una banca dati costituita dalla classica rubrica telefonica, avrebbe dovuto compiere determinate attività per rispettare la legge. Ovviamente questi dubbi vennero presto superati. La legge 675/96 subì nel corso degli anni delle modificazioni e delle semplificazioni che condussero, nell’anno 2003, alla nascita del Decreto legislativo 196, chiamato anche Testo Unico o Codice della privacy. Il “Codice” ha raccolto l’eredità della vecchia 675/96 con le varie correzioni che nel frattempo si erano andate stratificando, con le pronunce del Garante e anche con la giurisprudenza formatasi in materia a partire dall’anno 1996 all’anno 2003.
In realtà il termine privacy è improprio. Lo era già nel 1996, così nel 2003 e lo è ancora di più col nuovo Regolamento europeo 679 del 2016. Improprio perché la parola privacy viene immediatamente ricondotta al concetto di riservatezza e di tutela della riservatezza della persona, concetto spesso collegato a un comportamento di diniego: non si può dare una data informazione “perché c’è la privacy”. Molto spesso si sente utilizzare questa giustificazione proprio per negare l’accesso a determinate informazioni. Anche se convenzionalmente viene definito Codice sulla privacy o Normativa sulla privacy, più correttamente si dovrebbe parlare di Normativa in materia di tutela del dato personale e con il Regolamento europeo anche di libera circolazione del dato personale.
Già dopo pochi anni dall’entrata in vigore del Regolamento europeo - D. Lgs. 196/2003, si è avvertita l’esigenza di andare oltre alla normativa nazionale e offrire un corpus di norme che garantisse la tutela del dato personale non più a livello nazionale, con le necessarie distinzioni tra Stato e Stato, ma che assicurasse un livello di tutela del dato personale uguale per ogni paese della Comunità europea. Infatti a questo proposito il trattato firmato a Lisbona il 13 dicembre 2007, composto dal Trattato dell’Unione europea (TUE) e dal Trattato sul funzionamento dell’Unione europea (TFUE), ha riconosciuto la protezione dei dati personali quale diritto fondamentale dei cittadini che deve esser rispettato allo stesso modo in tutto il territorio dell’Unione.
Tutto ciò ha condotto all’abrogazione della direttiva 95/46/CE, che aveva dato origine alla prima legge sulla Privacy del 1996, ed ha determinato la nascita del nuovo Regolamento (679/2016) del Parlamento europeo e del Consiglio (GDPR), che ha previsto per tutti gli Stati dell’Unione europea regole comuni per assicurare nei paesi dell’Unione un livello adeguato e uniforme di tutela dei dati personali, ma anche la loro libera circolazione, un po’ come era accaduto per la libera circolazione delle persone prevista dal Trattato di Schengen. Quindi alla libera circolazione delle persone in ambito UE si accompagna oggi anche il diritto alla libera circolazione dei dati personali degli interessati.
Quindi possiamo affermare che il Regolamento europeo 679 del 2016, chiamato GDPR, entrato in vigore in tutti i paesi europei il 25 maggio del 2018, dopo due anni di vacatio legis, riguardi esclusivamente i dati personali relativi a persone fisiche. Quindi non si interessa dei dati delle persone giuridiche, delle imprese, delle società, degli enti, delle associazioni, dei professionisti. Sebbene, questi ultimi, siano elementi meritevoli di tutela e di rilievo da qualsiasi punto di vista (non ultimo quello della sicurezza aziendale), sono estranei al GDPR che ha come scopo di tutelare solo i dati personali delle persone fisiche.
Ora andiamo a definire che cosa è un dato personale. Il GDPR all’articolo 4 (comma 1) dice che:
“dato personale”: è qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”) e si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
Le norme del GDPR devono essere applicate a ogni trattamento di dati personali che riguardano appunto persone fisiche. A questo punto ci si può chiedere che cosa sia un trattamento: è qualsiasi operazione o un insieme di operazioni che possono essere compiute sia con strumenti automatizzati che non automatizzati, quindi anche un trattamento cartaceo, che riguardano la raccolta di dati personali, la registrazione, la conservazione, l’estrazione, la consultazione, la trasmissione e anche la cancellazione. Se io ad esempio ho una banca dati che mi viene messa a disposizione da terzi e provvedo a cancellare dei dati, anche questa sola attività è un’operazione di trattamento dei dati, per cui deve essere regimentata dal GDPR.
Quindi riassumendo il GDPR è una produzione normativa e sovranazionale dell’Unione europea, uguale per tutti gli stati membri, che disciplina il trattamento dei dati personali di persone fisiche fornendo regole per la tutela degli stessi, al fine di consentire sia il trattamento che la circolazione dei dati in maniera sicura.
Le novità rispetto alla normativa italiana pre-esistente, quindi rispetto al Codice, sono molteplici: la prima e forse quella che balza meno agli occhi, ma è la più importante dal punto di vista organizzativo per le aziende, è quella che riguarda le misure di sicurezza. Col Codice 196/2003 l’approccio era diverso: allora il titolare del trattamento era guidato per mano da una normativa che disciplinava anche degli aspetti tecnici, perché indicava, ad esempio, nell’allegato B del D. Lgs. 196/2003, quelle che erano le misure di sicurezza minime sotto le quali non si poteva scendere e venivano considerate un minimum per garantire un’adeguata o sufficiente tutela. Qui c’è un cambio di mentalità, ma anche un cambio di approccio: il legislatore europeo non impone più misure di sicurezza minime, ma misure di sicurezza “adeguate” rispetto alle finalità che persegue il titolare e rispetto alla tipologia di dati trattati (ad esempio se sono dati particolari o relativi a condanne penali, i cosiddetti ex-dati sensibili della precedente normativa, o atti giudiziari, devono essere attivate misure di sicurezza di rango più elevato. Quindi, mentre prima era possibile osservare le misure minime di sicurezza utilizzando regole preconfezionate e codificate, ora invece le misure di sicurezza di qualsiasi rango, sia quelle fisiche (come le porte chiuse a chiave, gli archivi o gli scaffali chiusi a chiave, la separazione dei dati particolari da quelli ordinari) o le misure di tipo logico- informatico (quindi la sicurezza delle reti, delle connessioni internet etc), o le misure di sicurezza di tipo organizzativo, non sono più codificate ma sono rimesse a un giudizio di adeguatezza che viene fatto ex ante dal titolare del trattamento, in qualità di ‘proprietario’ della banca dati. In sostanza il titolare deve stabilire se le misure che ha adottato siano o meno adeguate rispetto ai trattamenti che sta realizzando. Successivamente potrebbe essere realizzato anche un giudizio ex post; ad esempio qualora vi sia un’ispezione o un’attività di accertamento da parte dell’Autorità di Controllo: vale a dire il Garante per la Protezione dei dati personali. Ovviamente alle aziende diamo l’antico consiglio: meglio prevenire che curare.
Altro elemento di novità del GDPR che è l’introduzione del principio dell’Accountability, tradotto in italiano con il termine Principio di responsabilizzazione. Anche questa come tante traduzioni operate dal testo originario del GDPR non è molto felice, perché si fa riferimento solo alla Responsabilizzazione: cioè è il titolare ad essere responsabile di qualsiasi conseguenza che derivi dal trattamento dei dati, ma anche di qualsiasi scelta, sia la scelta della nomina dei propri collaboratori interni ed esterni, sia la scelta delle misure di sicurezza, della finalità, della durata della conservazione dei dati. Il titolare è responsabile praticamente di tutto, come vedremo in seguito.
In realtà il termine inglese, invece, era un po’ più ricco di sfumature. Accountability è anche “dare contezza in qualsiasi momento a chiunque lo richieda di quello che si sta facendo”. Non è più tollerabile l’atteggiamento del titolare del trattamento che interpellato su qualche aspetto dell’attività di trattamento di dati personali che sta realizzando, non sia in grado di rispondere in tempi brevi, non sappia neanche quali misure di sicurezza abbia attivato o come sia strutturato il suo “sistema privacy” che invece - come previsto dal Regolamento Europeo - è stato da lui creato. Accountability dunque ha anche un’accezione positiva nel senso di affidabilità, credibilità del titolare. Infatti il GDPR introduce anche l’esortazione a ricorrere a certificazioni di qualità per chi coordina progetti relativi alla raccolta dei dati e per le aziende stesse quando virtuose.
Parlando di sistema privacy, introduciamo la terza novità del GDPR che è quella della Privacy by design e Privacy by default. Anche in questo caso nella traduzione si perde qualcosa, a causa del solito lost in translation. Il principio è che il titolare del trattamento quando si trovi a realizzare qualsiasi attività commerciale, organizzativa, strutturale, che comporti un trattamento di dati personali, deve preoccuparsi di questo aspetto by design, quindi sin dalla fase di progettazione. Non deve essere qualcosa di posticcio che viene appiccicato dopo, o analizzato in coda. Il titolare del trattamento virtuoso, o meglio a norma, deve, allorquando introduca dei nuovi prodotti o servizi - ad esempio una nuova app o un nuovo software o voglia offrire un prodotto commerciale a una tipologia di clientela privata dove abbia necessità di entrare in contatto e raccogliere dati di persone fisiche - deve aver preventivamente valutato e garantito la sicurezza dei dati personali che andrà a trattare e aver espletato tutte le attività necessarie a questo fine. Quindi il titolare deve anche pianificare le regole e le misure di protezione, verificando la compatibilità delle stesse, con i prodotti e servizi esistenti che a loro volta dovranno essere riesaminati affinché tutto il sistema privacy sia rispettoso della norma.
Dopo che si è fatto questo, si procede per by default cioè con regole che il titolare ha predefinito già in fase di progettazione secondo il Regolamento europeo. In pratica il titolare non può improvvisare all’ultimo momento, magari correndo ai ripari avendo già iniziato un’attività di trattamento dei dati senza averla normata. Il titolare è tenuto invece a valutare in fase di progettazione anche l’impatto che avrà il nuovo progetto sui dati personali.
Un’altra novità è il Data breach dell’articolo 4 (comma 12):
“violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati trasmessi, confermati o comunque trattati;
Il legislatore specifica che si può verificare una violazione della sicurezza accidentale per colpa o per dolo. Anche qui ci imbattiamo in un altro termine anglosassone che in italiano viene tradotto come violazione dei dati e qualcosa si perde nella traduzione anche in questo caso. Non è semplicemente una violazione, una perdita di dati, è piuttosto la perdita della sicurezza di quel dato, è una breccia in quella banca dati, in quella raccolta di dati o in quel dato particolare, che potrebbe essere corrotto, modificato, distrutto, cancellato oppure rivelato a soggetti terzi ben determinati o diffuso a un pubblico indefinito.
La norma sull’eventualità di un Data breach si è resa necessaria dopo gli scandali internazionali relativi a violazioni di banche dati e non era previsto dalla vecchia normativa. Si è voluto normare questo aspetto per evitare che il dato personale, che ha una particolare importanza anche dal punto di vista economico, possa essere oggetto di attacchi o comunque di finalità illecite. Il dato diventa un bene prezioso anche dal punto di vista economico, non solo giuridico. Basti pensare a tutti i Data breach che ha subito Facebook o Google o agli scandali per l’utilizzo illecito di dati che sono stati usati per finalità diverse da quelle per le quali erano stati raccolti o senza un’adeguata informazione dell’utente.
Quindi con le norme sul Data breach si vogliono tutelare i dati nel caso di un’eventualità nefasta. In una prima fase dovrebbero esserci le misure di sicurezza per evitare possibili violazioni ma i sistemi non sono mai del tutto e per sempre sicuri - anche la Nasa viene sottoposta ad attacchi - e non esiste per definizione la certezza assoluta di un sistema, perché il sistema stesso è soggetto ad obsolescenza ed all’assalto di strumenti invasivi in continuo sviluppo. Quindi c’è un invecchiamento sia degli strumenti che del software e la nascita di nuovi strumenti in grado potenzialmente di aggirare anche le migliori misure di sicurezza.
Qualora si verifichi un Data breach e qualcuno riesca a superare le nostre misure di sicurezza e vengano colpiti dei dati personali, il titolare del trattamento è obbligato a notificare questa violazione al Garante entro 72 ore dall’evento. Se l’evento ha anche impatto sugli interessati del trattamento, quindi i soggetti a cui si riferiscono, la norma richiede che anche questi soggetti interessati siano messi al corrente dell’avvenuto Data breach, con modalità svariate. Se abbiamo un largo pubblico di interessati, potrebbe non bastare una comunicazione con email ma essere necessaria addirittura la pubblicazione di una pagina su un quotidiano.
Altra novità è il sistema delle sanzioni. In ipotesi di inosservanza degli obblighi previsti dal Regolamento, le sanzioni sono molto più onerose del passato. Si va da sanzioni fino a 10 milioni di euro o fino al 2 per cento del fatturato mondiale dell’anno precedente quando sono violati obblighi come ad esempio l’inosservanza del principio della privacy by design oppure le norme in materia di Data breach ad esempio se accade una violazione della banca dati e non viene comunicata al Garante. Queste sono le sanzioni più lievi. Altre sanzioni arrivano anche a 20 milioni di euro o al 4 per cento del fatturato mondiale dell’anno precedente, quando vengono violati i principi fondamentali del trattamento, ad esempio quello di dare l’informativa per ogni trattamento dei dati che faccio, acquisire il consenso nei casi in cui sia necessario; quando non soddisfo le richieste dell’interessato, che magari mi chiede o la cancellazione dei dati o semplicemente un riscontro o vuole sapere quali dati sto trattando come titolare del trattamento e io non rispondo. Oppure quando violo le disposizioni in materia di trasferimento dei dati verso paesi terzi.
Sempre nell’ambito di questo nuovo assetto dato dal Regolamento Ue, è stato codificato o meglio precisato il diritto degli interessati: anche questo è frutto dell’esperienza quindi di situazioni che si sono verificate nella vita di tutti i giorni magari persone che hanno commesso reati e anche a distanza di molti anni venivano citati in rete in documenti o articoli reperibile da un qualunque motore di ricerca. Quindi a corollario del diritto degli interessati si è dato maggior risalto al diritto all’oblio e/o alla cancellazione dei dati personali quando una persona lo richieda. È opportuno specificare che questi ultimi due diritti non possono essere sempre esercitati integralmente, ad esempio non possono essere esercitati quando sia presente un obbligo di conservazione dei dati previsto da disposizioni normative di qualunque autorità. In ogni caso, ogni dato personale deve essere conservato per il tempo necessario a soddisfare la finalità per il quale è stato raccolto o trattato e non può pertanto essere conservato in eterno. Infatti venute meno le finalità della conservazione, salvo sussistano obblighi normativi, amministrativi, fiscali o sia necessario conservare l’informazione perché sto esercitando un diritto o mi sto difendendo in giudizio, devo cancellare il dato o renderlo anonimo.
Dalla lettura integrale dell’articolo 4 del Regolamento (UE) 2016/679, uno dei più importanti del GDPR, si vede come la limitazione del trattamento sia un aspetto importante. In pratica in qualsiasi momento il soggetto interessato dal trattamento può intervenire per limitarne l’uso.
Tra le altre novità del regolamento abbiamo l’introduzione della nuova figura del Data protection officer (Dpo), in italiano il Responsabile della protezione dei dati personali, quindi l’acronimo italiano RPD. Il Dpo può essere un dipendente del titolare ma a un livello tale di (non)subordinazione da non poter essere controllato dal titolare. O meglio deve avere un’autonomia e una discrezionalità tali che gli consentano di opporsi ad eventuali decisioni sbagliate assunte eventualmente dal titolare del trattamento. Altrimenti è un soggetto esterno, autonomo, estraneo alla compagine aziendale, che è la soluzione preferibile, che avrà il compito di essere tra virgolette, uno “sceriffo”, il controllore della privacy in azienda. Il Dpo è l’interfaccia tra il titolare e l’Autorità nazionale di controllo, quindi il Garante, e il pubblico degli interessati, ad esempio agisce quando viene formulata una richiesta di accesso oppure di cancellazione o correzione dei dati. Il responsabile della protezione dei dati non è sempre obbligatorio. In seguito analizzeremo i casi specifici in cui la sua nomina è obbligatoria.
Il Dpo ha come compito fondamentale di informare e consigliare il titolare del trattamento e sorvegliare sulla corretta applicazione delle politiche in materia di protezione dei dati personali. Il Dpo in ogni attività che abbiamo enunciato, dovrà dare il suo parere e il suo orientamento, in alcuni casi il suo diniego o dissenso, per quel che riguarda le misure di sicurezza e dovrà essere interpellato in sede di design. Insomma il Dpo è uno dei cardini del principio dell’Accountability ed è coinvolto nel processo di comunicazione sia al Garante che agli interessati dell’avvenuto Data breach.
Per ultimo parliamo del Registro del trattamento che è considerato una novità. Questo “dovere” non era presente nella vecchia normativa, ma pur non sussistendo tale obbligo, anche in epoca antecedente all’entrata in vigore del GDPR il titolare del trattamento diligente provvedeva a fare una mappatura dei trattamenti, una sorta di censimento degli archivi sia cartacei che informatici, allo scopo di tenere nota delle attività di trattamento svolte e delle finalità perseguite, in relazione ai dati conservati. Ad esempio, quando esisteva l’obbligo previsto dalla precedente normativa di redigere il Dps (Documento programmatico della sicurezza), il titolare diligente era solito accludere a questo documento anche il censimento degli archivi, che non era altro che un registro dei trattamenti in forma light, semplificato e con minori informazioni di quelle imposte oggi dal Regolamento europeo.
Oggi nel registro vanno fornite alcune informazioni importanti come: la finalità del trattamento, quali sono le categorie di interessati, le categorie di dati che vado a trattare, quali sono i destinatari, i tempi di conservazione per ogni tipo di dato e anche una descrizione succinta delle misure di sicurezza che avrò implementato per la singola tipologia di dati. In ossequio al principio dell’Accountability, come buon titolare del trattamento, devo avere un documento che dia una visione sinottica di tutto il mio sistema privacy, in modo che in caso di controllo del Garante, io titolare del trattamento possa essere in grado di rispettare il principio dell’Accountability e dare immediata contezza di quello che sto facendo, di quello che ho fatto e di quello che ho intenzione di fare per migliorare le misure di sicurezza attive rendendole ancora più adeguate rispetto allo sviluppo e al progresso tecnologico.
Altra novità strettamente connessa all’Accountability è l’obbligo di effettuare una Dpia (Data protection impact assessment) o Valutazione del rischio. Anche prima il titolare poteva fare una valutazione del rischio. Oggi però la Dpia è d’obbligo. In sostanza il titolare del trattamento analizza alcuni o tutti i trattamenti particolarmente a rischio; valuta le misure di sicurezza che ha implementato e “si dà un voto”, definendo se quell’aspetto è adeguato, migliorabile o inadeguato. Nel caso sia inadeguato deve intervenire immediatamente. Se è adeguato può concludere la Dpia. La Dpia non si realizza solo una volta. Deve essere ripetuta come ogni attività di verifica in materia di trattamento dei dati personali, tramite gli audit, quindi delle attività di analisi anche con l’ausilio di verifiche pratiche: in alcuni casi si fanno degli intrusion test, simulazioni di attacchi informatici che possono essere affidati a ditte terze, o anche delle simulazioni del “percorso” seguito dal dato, creando un dato fittizio, si può seguirne il flusso e vedere se quei processi che ho così disegnato in fase di privacy by design siano coerenti e siano tutti osservati, perché la più grande insidia tra le misure di sicurezza non è tanto quella che riguarda le misure di sicurezza fisica o informatica, ma spesso riguarda proprio l’aspetto organizzativo. Io posso avere misure di sicurezza di rango elevatissimo come impronta digitale, immagine dell’iride e sistemi avanzatissimi e poi scivolare sulla banale inosservanza di una misura organizzativa: ad esempio il dipendente o il collaboratore perde la chiavetta, disattiva l’antivirus perché gli rallenta il computer o annota la password in un post-it che appiccica allo schermo ed è visibile a chiunque entri nell’ufficio...
Nella precedente disciplina il titolare doveva fare il Dps entro il 31 marzo di ogni anno, quindi per legge doveva rivedere il suo sistema privacy una volta all’anno e quindi accorgersi della sopravvenuta inadeguatezza di misure di sicurezza o della necessità di apportare delle variazioni migliorative al sistema privacy, oppure rilevare come una tipologia di trattamento non fosse più realizzata e quindi espungerla dal novero dei suoi trattamenti. L’obbligo di realizzare o “rinnovare” la Dpia - in maniera non occasionale ma a scadenze periodiche - è a tutti gli effetti una misura di sicurezza nel GDPR perché obbliga il titolare del trattamento ad operare un’auto-analisi dei propri trattamenti. Pertanto, almeno ogni anno se non ogni sei mesi, ma soprattutto quando si realizza un nuovo trattamento o si modifica in generale il sistema privacy preesistente dal punto di vista dell’organizzazione interna, o quando si introducono nuovi hardware o software, oppure quando si realizzano nuovi trattamenti per nuove finalità, il Titolare è obbligato a riverificare sia la coerenza dei trattamenti esistenti con quelli implementati per ultimi, sia verificare come questo nuovo sistema, software o altro, vada a integrarsi, interfacciarsi, insomma come impatti col sistema preesistente.
Abbiamo dunque declinato già in questa prefazione un percorso di adeguamento che il titolare del trattamento deve seguire per rispettare la normativa europea. Si badi bene è un percorso subordinato e condizionato dalla scelta del titolare, che è l’unico vero responsabile del sistema privacy che lui stesso va a creare.
Citando proprio le esatte parole del Garante Italiano si può sostenere che il fine sia quello di “trasformare la privacy da un costo ad una risorsa”; il corretto trattamento dei dati personali diventerà un mezzo per identificare il Titolare virtuoso (società, ente, azienda, professionista) che verrà preferito a quello che, inosservante delle norme e dei principi in materia di tutela dei dati personali, sarà inevitabilmente confinato ai margini del mercato.