Dopo aver ripercorso brevemente le origini del diritto alla protezione dei dati personali (cfr. cos’è il diritto alla protezione dei dati personali) proviamo ad individuare le principali novità introdotte dal Regolamento 2016/679 GDPR che entrerà in vigore il 25 maggio, sostituendo la Direttiva 95/46/CE.
Ambito di applicazione del Regolamento 2016/679 GDPR
Il Regolamento 2016/679 riguarda il trattamento, manuale ed automatizzato, di dati personali relativi alle sole persone fisiche, con esclusione dei dati relativi a persone giuridiche ed alle persone decedute.
Il dato personale tutelato dal Regolamento 2016/679 si sostanzia in una qualsiasi informazione in grado di identificare una persona fisica, tenendo conto dei costi e dei tempi all’uopo necessari e della tecnologia disponibile. Sono esclusi, quindi, i dati anonimi.
Il Regolamento 2016/679 GDPR GDPR, inoltre, non si applica al trattamento effettuato da persone fisiche nell’ambito di attività a carattere esclusivamente personale o domestico, privo, cioè, di connessione con un’attività commerciale o professionale (si pensi alla corrispondenza privata).
Per quanto riguarda, invece, l’ambito di applicazione territoriale, il Regolamento 2016/679 è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione Europea.
In base al principio di stabilimento le sue norme si applicano ai trattamenti di dati personali posti in essere da titolari e responsabili stabiliti nell’Unione Europea, senza alcun rilievo per il luogo in cui si effettua il trattamento stesso o per il luogo in cui si trova il data subject.
Al fine di rafforzare la tutela degli interessati (per approfondire le nuove forme di tutela offerte agli interessati dal Regolamento vedi i diritti dell’interessato), inoltre, le norme del Regolamento 2016/679 si applicano integralmente anche alle imprese stabilite al di fuori dall’Unione che offrono servizi o prodotti a persone che si trovano nel territorio europeo.
Dalla Direttiva al Regolamento 2016/679 GDPR: Il principio di Accountability
Il Regolamento 2016/679 “sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”(meglio conosciuto come GDPR: Regolamento generale sulla protezione dei dati) muta radicalmente prospettiva rispetto alla normativa precedente, ponendo l’accento sul ruolo proattivo del controller (titolare del trattamento) e del processor (responsabile del trattamento), piuttosto che sul data subject (interessato al trattamento).
La prima conseguenza di questo approccio è la volontà del Regolamento 2016/679 GDPR di realizzare una tutela più sostanziale dei dati personali attraverso il principio di accountability che, a differenza della precedente Direttiva, invece di imporre l’adempimento di regole giuridiche generali e preconfezionate, impone al responsabile ed al titolare l’adozione di misure di sicurezza effettive, da individuare caso per caso sulla base di un’analisi preventiva dei rischi connessi ai singoli trattamenti.
Si tratta dunque di un principio di responsabilizzazione cd. risk based che, seppure ha l’ovvio vantaggio di risultare più flessibile e, in un certo senso, più equitativo poiché atto a commisurare la complessità delle tutele da adottare alla tipologia dei trattamenti di dati, nonchè alle dimensioni ad all’organizzazione dell’azienda, risulterà senza dubbio più oneroso per gli operatori, dal momento che “pretende” dai titolari e dai responsabili dei trattamenti un impegno costante e multidisciplinare, connesso a responsabilità e sanzioni molto più gravose che in passato (per un approfondimento vedi sanzioni ).
Misure di sicurezza nel Regolamento 2016/679 GDPR : privacy by design e by default, pseudonimizzazione, data breaches
Alla luce di quanto sin ora argomentato, appare evidente che con il Regolamento 2016/679 la sicurezza diventa un presupposto di ogni trattamento.
Ciò comporta che, come anticipato, il titolare, prima di intraprendere qualunque trattamento di dati personali, dovrà valutarne il rischio di impatto sui diritti e le libertà degli interessati predisponendo misure tecniche ed organizzative “adeguate” a mitigarli.
In quest’ottica vengono immediatamente in rilievo i nuovi principi di privacy by design e by default, previsti dall’art. 25 del Regolamento 2016/679 che impongono al titolare, tenuto conto delle conoscenze tecniche disponibili, dei relativi costi e delle caratteristiche specifiche del trattamento, di adottare misure adeguate al fine di tutelare i diritti degli interessati, quali la pseudonimizzazione, già in fase di progettazione del trattamento e come impostazione predefinita dello stesso.
Altra “novità” del Regolamento 2016/679 è l’interesse e la fiducia mostrate nei confronti della suddetta tecnica di pseudonimizzazione, in grado di fornire una tutela più “tecnologica” ai dati, realizzando un mascheramento degli stessi mediante uno pseudonimo. In tal modo il dato resta identificabile,ma in via indiretta,e, quindi, con più difficoltà, a meno che non si possiedano delle informazioni aggiuntive che, fungendo da chiave di decifratura, devono obbligatoriamente essere conservate separatamente ai dati e protette con misure tecniche ed organizzative adeguate.
Il Regolamento 2016/679 promuove, inoltre, il ricorso a codici di condotta o a schemi di certificazione che attestino l’adeguatezza delle delle misure di sicurezza adottate, sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea.
Rimandando alla sezione dedicata l’analisi della nuova figura del data protection officer (leggi tutto sul data protection officer), merita, infine, un cenno la regolamentazione offerta dal Regolamento all’attualissimo fenomeno di cd data breaches.
Secondo quanto disposto dagli artt. 33 e 34 del Regolamento 2016/679 , il titolare del trattamento dovrà comunicare, entro 72 ore e comunque senza ritardo, eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati.
Inoltre, se la violazione dei dati rappresenta un rischio “elevato” per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro e semplice e immediato anche tutti gli interessati.
Il titolare del trattamento potrà omettere di operare la comunicazione agli interessati, qualora la stessa comporti un o sforzo sproporzionato oppure sia in grado di dimostrare di aver adottato tutte le misure adeguate a proteggere i dati personali.
Ancora una volta, quindi, ogni valutazione e connessa responsabilità è rimessa completamente alla capacità del titolare di valutare e prevenire i rischi connessi ai trattamenti.
Conclusioni
Alla luce di tutte le considerazioni sin qui operate, quindi, il Regolamento 2016/679 richiede agli operatori un considerevole investimento in termini di sicurezza a prevenzione dei rischi connessi ai trattamenti, conseguibile soltanto mediante l’impiego costante di notevoli risorse, economiche ed organizzative, e l’adozione di un approccio multidisciplinare garantito da esperti nel settore legale e tecnologico. Solo garantendo la disponibilità di dati “sicuri”, infatti, i titolari, oltre che porsi al riparo delle ingenti sanzioni previste dal Regolamento 2016/679 , potranno ottenere la fiducia dei consumatori risultando davvero competitivi sul mercato.
di Lucrezia D’Avenia
