Con il Regolamento Ue 2016/679 il Legislatore europeo è intervenuto sull’esistente tessuto normativo introducendo una legislazione in materia di protezione dei dati personali che ha la chiara ambizione di presentarsi come omogenea ed uniforme in tutta l’Europa.
Con il Regolamento, che, come ormai ben noto, entrerà in vigore il 25 di questo mese, sono stati affrontati in modo sistematico, anche se necessariamente non esaustivo né puntuale, temi il cui carattere è certamente innovativo, come il diritto all’oblio del soggetto interessato dal trattamento dei propri dati personali o la portabilità dei dati stessi, e si è provveduto a stabilire anche alcuni criteri (e questa è probabilmente la parte più innovativa del Regolamento, in quanto numerose delle indicazioni che in esso vengono date possono essere direttamente rinvenute nel Codice di cui al Decreto Legislativo n. 196/2003), che da una parte responsabilizzano maggiormente i soggetti che trattano dati personali di terzi (siano essi imprese ma anche enti vari) rispetto alla necessità di proteggere la riservatezza dei dati stessi e, dall’altra, introducono notevoli semplificazioni e sgravi dagli adempimenti per quei soggetti che agiscono in riferimento ai dati personali rispettando le regole dettate dal Legislatore.
Va tuttavia sottolineato come il Regolamento Ue 2016/679 in ogni caso non rappresenterà l’unica fonte legislativa per regolamentare la protezione dei dati personali: infatti tutte le singole Autorità degli Stati membri dell’Ue – e pertanto anche l’Autorità Garante della Privacy per quanto riguarda l’Italia – avranno la facoltà di integrare i contenuti del Regolamento che, è bene chiarirlo fin da subito, è più un atto di indirizzo che un insieme di regole specifiche che devono essere applicate in determinate circostanze, approfondendo meglio i dettagli di alcuni particolari che, al momento, appaiono indubbiamente poco chiari.
Potranno quindi essere introdotte linee guida generali e di settore, essere regolamentati aspetti particolari ed, in sostanza, arrivare alla realizzazione di un vero e proprio Codice che dovrà sostituire quello promulgato dal Decreto Legislativo n. 196/2003.
A questo proposito è necessario ricordare, e sottolineare, il fatto che, con l’entrata in vigore, il prossimo 25 maggio, del Regolamento Ue 2016/679 non verranno affatto aboliti i Provvedimenti interpretativi e di prassi che sono stati emanati nel tempo da parte dell’Autorità Garante per la Tutela dei Dati Personali su temi quali Videosorveglianza, Amministratori di Sistema, Fidelity Card, trattamenti di dati biometrici, trattamento di flussi di dati bancari, trattamenti di dati personali (anche sensibili) effettuati in rapporto ad adempimenti previsti da norme di contratto, legge o regolamento, eccetera. In buona sostanza, e tanto per fare un esempio che è particolarmente importante per tutte quelle attività gestionali che si occupano dell’elaborazione di paghe e contributi, le autorizzazioni generali che sono state di anno in anno emanate dall’Autorità Garante italiana resteranno valide almeno sino a quando non verranno sostituite da nuovi atti elaborati e promulgati alla luce delle norme introdotte dal Regolamento, norme che in diversi casi, vedi in merito alle modalità di acquisizione del consenso dell’interessato, sono anche meno stringenti di quelle sino ad oggi in vigore e derivanti dalle norme previste dal “Codice privacy”.
Tali provvedimenti sono tuttavia certamente destinati ad essere modificati e/o aggiornati dall’Autorità Garante per integrarli successivamente nel provvedimento legislativo che adotterà il Regolamento Ue.
A questo punto sorge però spontanea una domanda: quali sono effettivamente, e da un punto di vista estremamente pratico, le principali novità che le imprese italiane (ed ovviamente anche i professionisti visto, che anch’essi, per quanto possano essere snelle le organizzazioni in cui operano e ridotti i trattamenti di dati da essi operati rientrano a tutti gli effetti nella platea dei soggetti cui il Regolamento si rivolge) dovranno affrontare a partire dal 25 maggio prossimo (anzi, anche già prima perché le procedure dovranno essere individuate, implementate e testate già qualche tempo prima per non arrivare alla scadenza impreparati)?
Proviamo a fornire, in prima approssimazione, ed in maniera necessariamente sommaria, un elenco ragionato sia delle principali caratteristiche normative del Regolamento sia un riassunto il più schematico possibile sia dei punti in cui il Regolamento si discosta da quanto era (e tutt’ora è) previsto dal “Codice Privcy” sia dei punti in cui, sostanzialmente, Regolamento e Codice si vanno a sovrappore.
L'articolo continua dopo la pubblicità
Le principali novità sono contenute nei seguenti articoli:
Senza assolutamente voler fare del terrorismo, che francamente sarebbe, secondo l’opinione di scrive, non solo immotivato ma addirittura deleterio, è inutile nascondersi che alcune misure andranno prese tenendo però conto del fatto che, in primo luogo, e come già prima accennato, il Regolamento Ue più che altro è un documento programmatico e quindi non codifica puntualmente gli adempimenti da porre in atto quanto indica una direzione in cui muoversi ed assegna delle responsabilità a degli attori che sono, finalmente, ben definiti.
In secondo luogo gli adempimenti previsti, sia pur in modo alquanto generico, ed i soggetti che li devono porre in essere sono, in larga misura, se non i medesimi previsti dal Decreto Legislativo n. 196/2003, assai simili.
L’aspetto più significativo è sicuramente quello che si può definire come un cambio di approccio del Codice UE rispetto a quello del Decreto Legislativo 30 giugno 2003, n. 196 attualmente ancora in vigore in Italia (e tale resterà sino al 25 maggio p.v.) ed in particolare a quello che è l’Allegato B, ovvero al Disciplinare Tecnico delle Misure Minime di Sicurezza.
Il Regolamento Ue, infatti, non interviene definendo dei requisiti specificati in maniera precisa e ben dettagliata, come invece avviene per l’attuale normativa italiana sulla privacy, ma sposta la responsabilità di definire quali effettivamente debba essere le misure di sicurezza idonee a garantire la sicurezza dei dati personali sul “titolare del trattamento”.
Tale definizione deve seguire un’attenta analisi di quelli che possono essere i rischi che potenzialmente ed effettivamente possono correre i dati trattati. Pertanto, nel quadro normativo delineato dal Regolamento Ue non vi sono più delle specifiche misure minime di sicurezza stabilite “ex lege” ma solo l’indicazione della necessità di stabilire delle misure di sicurezza che devono essere individuate e progettate dal “titolare del trattamento” o dal “responsabile del trattamento”, dopo avere condotto un’attenta analisi dei rischi (ed è proprio l’analisi dei rischi, condotta alla luce, anche, della tipologie e della rilevanza per l’interessato dei dati che dovranno essere sottoposti a trattamento, che diventa il momento centrale di tutto il processo).
Da ciò consegue che il trattamento dei dati non può che avere inizio soltanto dopo la definizione delle misure di sicurezza secondo uno schema operativo che partendo da una prima fase costituita dalla definizione della tipologia di dati da sottoporre a trattamento e dall’individuazione, motivata legislativamente, delle ragioni specifiche in base alle quali tali dati debbono essere raccolti ed elaborati, ad una seconda fase rappresentata dall’indicazione del tipo di trattamento cui sottoporli, ad una terza, in cui si provvederà alla verifica di quali possono essere i rischi di violazione della privacy dei dati nel corso del trattamento, ad una quarta in cui si dovrà passare all’identificazione ed all’implementazione delle opportune misure di sicurezza che dovranno essere prese. In questo processo va inoltre, e necessariamente, tenuto conto sia della qualità dei dati raccolti ed elaborati sia delle motivazioni specifiche che inducono il soggetto ad operare in tal senso.
In altre parole: il caso dello studio che elabora paghe e contributi e che effettua il trattamento dei dati, anche sensibili, relativi ai dipendenti dei propri clienti andrà trattato alla luce del fatto che le elaborazioni dei dati avvengono in forza di una ben specifica obbligazione contrattuale ed in forza di cogenti norme di legge. Da ciò consegue che le problematiche poste dall’applicazione del Regolamento Ue non afferiscono tanto alla sfera della privacy personale del soggetto i cui dati debbono essere trattati (nessun professionista andrebbe mai a diffondere notizie sui propri clienti e sui loro dipendenti) quanto piuttosto alla necessità di garantire l’integrità dei dati trattati ed una loro corretta conservazione fisica ed elettronica.
Da un punto di vista formale-organizzativo il nuovo Regolamento Europeo obbliga invece a ridefinire la parte documentativa del Decreto Legislativo n. 196/2003, ma nella sostanza molti aspetti restano confermati, anche se sotto forme diverse:
• il diritto all’oblio, da più parti ritenuto punto qualificante della nuova normativa, era in realtà già identificato attraverso la definizione dei diritti dell’interessato operata dal Codice;
• l’informativa sul trattamento dei dati personali conterrà le stesse informazioni che erano richieste dal Decreto Legislativo n. 196/2003;
• le modalità e la liceità dei trattamenti e dei consensi che l’interessato dovrà fornire al fine di rendere possibile il trattamento dei propri dati, comunque viaggerà sulle stesse logiche precedenti;
• i registri dei trattamenti erano già presenti nell’elenco dei trattamenti e nel DPS (Documento Programmatico di Sicurezza);
• il nuovo Piano di Adeguamento Minimo (PAM) altro non è che il vecchio piano di miglioramento.
Un discorso diverso va fatto per le sanzioni, che teoricamente potranno raggiungere il 4% del fatturato totale dei trasgressori o i 20 milioni di euro, così come per la portabilità dei dati, di cui all’articolo 20 del GDPR 2016/679 (in base al quale ogni soggetto potrà chiedere ad un'organizzazione di ricevere i propri dati personali forniti in precedenza in un formato di uso comune e leggibile e di ottenerne la trasmissione da un titolare del trattamento ad un altro se non sono presenti particolari impedimenti tecnologici, per l'istituzione del “Data Protection Officer” (o DPO) ovvero il responsabile aziendale per la protezione dei dati e per la gestione dei “data breach” (ovvero le violazioni dei dati personali).
Preso atto di quello che è il quadro sanzionatorio previsto, almeno in linea teorica, dal Regolamento europeo in materia di tutela dei dati personali risulta essere evidente un dato fondamentale: l’imponenza delle misure repressive dispiegate dal Legislatore europeo è del tutto sproporzionata rispetto a quelle che potrebbero essere le effettive violazioni commesse da soggetti quali quelli cui si rivolge i presente lavoro e rappresenta più un esempio di produzione giuridica con tutti i caratteri della “grida” di manzoniana memoria che un apparato legislativo di effettiva applicabilità ad un contesto che non sia quello della grande impresa.
Sgomberato il campo dalla possibilità di vedersi comminare sanzioni che ammontano a somme di decine di milioni di euro e, almeno per il momento, sostanzialmente eliminata l’ipotesi di pene detentive, quali erano invece nella previsione del Codice, di gran lunga più pericoloso è, secondo l’avviso di chi scrive, l’ipotesi di cui all’articolo 82 del Regolamento Ue per la Tutela dei Dati Personali, laddove viene fatta salva la possibilità per l’interessato, che subisca, o ritenga di avere subito, un danno materiale o immateriale, di ottenere il risarcimento del danno, a seconda che la violazione sia stata commessa da parte del Titolare o da parte del Responsabile. È questo il vero pericolo insito nel quadro sanzionatorio appena delineato per il professionista o per la piccola-media impresa, pericolo che, più che essere relativo ad un vero e proprio abuso riferito alla gestione dei dati personali della clientela (ovvero della gestione della cosiddetta “privacy”), è relativo alla sicurezza dei dati che il professionista (o la piccola-media impresa) si trova a gestire. Ed i pericoli, che esamineremo successivamente nell’ambito della trattazione di quello che viene definito dal Legislatore europeo come “data breach”, possono essere diversi ed andare dal vero e proprio danno fisico ai supporti informatici di memorizzazione dei dati che vengono trattati, al furto dei supporti medesimi, alla violazione degli archivi informatici commessa da soggetti terzi.
Il Regolamento è stato:
• Pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 4 Maggio 2016
• Entrato in vigore il ventesimo giorno Successivo alla pubblicazione nella Gazzetta Ufficiale. (25 Maggio 2016)
• Applicabile a decorrere dal 25 Maggio 2018, giorno in cui sarà ufficialmente abrogata la precedente Direttiva 95/46/CE