Nel suo intervento al Convegno Privacy Unolegal 2017, Paolo Balboni – Presidente dell’European Privacy Association, Cloud Computing Sector Director e Responsabile Affari Esteri dell’Istituto Italiano Privacy – ha affrontato il tema del Modello Organizzativo in materia di protezione dei dati personali in relazione al nuovo GDPR (Regolamento Privacy UE 2016/679). Per Balboni il primo concetto da chiarire è quello di dato personale”.Dato personale” è qualsiasi informazione direttamente o indirettamente ricollegabile ad un individuo. A fine 2016, la Corte di Giustizia dell’Unione Europea non solo ha stabilito che l’IP è un dato personale, ma che dato personale è anche l’IP dinamico, così come in precedenza il Garante aveva identificato il MAC address come dato personale. Un altro punto fondamentale è la difficoltà nel tracciare i limiti del concetto di dato anonimo. Il dato è anonimo non solo quando non è più ricollegabile ad un individuo attraverso le informazioni presenti nel patrimonio informativo del titolare, ma anche quando il collegamento non è possibile tramite il patrimonio informativo di terze parti – precisa Balboni.

Che cosa si intende per trattamento dei “dati personali”

Nel 90% dei casi quando parliamo di informazioni parliamo di dati personali e quando parliamo di attività compiute sulle informazioni parliamo di trattamento. Il trattamento dei dati personali è anche semplicemente la visualizzazione. Per “trattamento” si indica ogni tipo di intervento sul dato personale – chiarisce Balboni. Frequentemente le società fanno riferimento a fornitori di servizi in cloud, ma tendono a verificare solo che il fornitore sia stabilito in Europa, senza controllare dove siano ubicati i server. La verifica successiva che le aziende dovrebbe porre in essere è relativa alla  localizzazione dello spazio in cui opera il team che si occupa dell’assistenza, perché potrebbe aver sede fuori dall’Unione Europea e questo servizio, anche solo di collegamento per fornire manutenzione (anche solo in visualizzazione) è già da considerarsi trattamento dei dati personali che avviene al di fuori dell’Unione Europea.

I 3 elementi di cambiamento nel Regolamento Privacy UE 2016/679:

1. La Privacy diventa “risk-based”

L’art. 32 del Regolamento fa riferimento alla valutazione del rischio. Tenuto conto della best available technology dei costi (approccio pragmatico), dell’ambiente di trattamento dei dati, dei soggetti coinvolti, del perimetro di circolazione, del rischio (asset dato personale) e del bene giuridico tutelato (diritto alla Privacy e alla tutela dei dati personali) occorre porre in essere misure adeguate. Fino a oggi – sottolinea Balboni – il metro di riferimento è stato l’allegato B come misura minima sufficiente. Oggi, invece, è necessario che i legali si abituino ad effettuare valutazioni del rischio – ad esempio utilizzando strumenti gestionali come Tool Privacy per effettuarla – ed entrare in partnership. È fondamentale aver chiaro che:

  • un legale puro non può gestire la compliance al GDPR senza l’aiuto anche di esperti di IT/Security e di soluzioni informatiche volte alla gestione dell’allineamento degli obblighi Privacy;
  • occorre tracciare i processi Privacy secondo il principio di Data Protection By Design già allineati al Regolamento GDPR, e questo può avvenire solo sulla base della valutazione del rischio. Un concetto che ritroviamo non solo nell’art. 32, ma anche ad es. negli artt. 25 e 35, a testimonianza di come la normativa Privacy stia cambiando profondamente con il GDPR.

2. Le sanzioni e i mezzi di ricorso previste dal GDPR Privacy

L’incremento delle sanzioni è cosa ormai nota: Fascia 1: fino a 10 000 000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente. Si rientra nella prima fascia di sanzioni, per esempio, quando non vengono poste in essere adeguate misure di sicurezza sui dati. Fascia 2: fino a 20 000 000, o per le imprese, fino al 4% del fatturato mondiale totale  annuo dell’esercizio precedente, se superiore (ad esempio si rientra nella seconda fascia di sanzioni quando non vengono soddisfatti i diritti del soggetto interessato). Meno nota è la possibile estensione delle modalità di ricorso dei soggetti interessati – segnala Balboni. Il Regolamento apre infatti all’azione collettiva Privacy: sarà data la possibilità a soggetti terzi, associazioni dei consumatori, Privacy advocacy e non solo, di rappresentare interessi collettivi davanti alle autorità competenti, proponendo class action.

2.1 L’articolo 17: diritto alla cancellazione

Balboni sostiene che siano due gli elementi da tenere in considerazione:

  1. il diritto alla cancellazione dei dati non è un diritto nuovo. Sul punto è fondamentale riflettere su come sono strutturati i database aziendali, dove sono collocati i dati, quali siano le finalità per cui sono stati raccolti tali dati e la relativa base giuridica del trattamento;
  2. il diritto alla cancellazione dei dati non è un diritto assoluto: nello specifico, un soggetto interessato può scrivere una e-mail ad un’organizzazione esigendo la cancellazione dei dati, ma l’organizzazione dovrà verificare se i dati trattati debbano o meno essere conservati.

Per questo diventa fondamentale, nella fase di preparazione al Nuovo Regolamento Privacy UE (GDPR), creare delle procedure e affidarsi a soluzioni tecnologiche Privacy che possano mappare i dati in entrata e seguirli nei vari applicativi (come ad esempio il nuovo Gestionale di Unolegal GoPrivacy).

2.2 L’art. 18: il diritto alla limitazione del trattamento.

Balboni ricorda che, nel caso in cui un soggetto interessato dubiti della liceità di un’attività svolta sui dati, può chiederne la limitazione del trattamento. I Garanti Privacy europei, in relative linee guida, hanno indicato la possibilità di procedere spostando il dato in un altro database, oppure di inibire il trattamento del dato attraverso l’impiego di un Software Gestionale Privacy, ma la maggior parte dei Gestionali Privacy fino ad oggi non avevano una granularità tale da inibire i trattamenti in maniera selettiva.

2.3 L’art. 20: il diritto alla portabilità dei dati personali.

L’art. 20, approfondito sino ad ora solo parzialmente dai Garanti Privacy EU, attiene alla possibilità del soggetto interessato di richiedere i propri dati in formato strutturato di uso comune e leggibile da dispositivo automatico – e quindi riprenderne il possesso – oppure chiederne la migrazione verso un altro fornitore. Lo scopo di questo diritto è restituire il controllo dei dati al soggetto interessato cercando altresì di debellare il cosiddetto locking tecnologico: ovvero il rapporto di dipendenza che si crea tra utente e fornitore del servizio, tale per cui la migrazione verso un altro fornitore viene resa complicata.

3. Principio di “Accountability”: responsabilizzazione.

“Occorre registrare le transazioni Privacy” specifica Balboni. Ciò vuol dire che per ogni trattamento si possa risalire ai presupposti giuridici: l’informativa, la base giuridica su cui si fonda il trattamento (es. il consenso, il legittimo interesse, l’obbligo contrattuale, l’obbligo di legge), il periodo di conservazione di tali dati, ecc… La Privacy deve essere gestita a livello di modello ciclico, pensiamo al “ciclo di Deming: Plan-Do-Check-Act”, ovvero il ciclo di continuo miglioramento: lo stesso dovrebbe avvenire dal punto di vista Privacy – insiste Balboni. Il modello che abbiamo creato è sintetizzabile in 6 macro-step, ma dietro questo ciclo ci sono più di 100 controlli di dettaglio:

  1. principio di Accountability;
  2. processi by design allineati al Regolamento;
  3. la Valutazione del Rischio Privacy afferente ai trattamenti;
  4. la scrittura delle informative, le Privacy Policy;
  5. la scelta del presupposto giuridico alla base del trattamento;
  6. infine, la certezza di poter riscontrare entro un mese, in maniera efficace, i diritti del soggetto interessato.

3.1 Art. 37: designazione del responsabile della protezione dei dati personali

Occorre ora guardare la figura del Data Protection Officer, che necessita, come minimo, di due qualità oggettive e di una qualità soggettiva. Le oggettive includono:

  • la competenze giudica per applicare una legge;
  • la competenza tecnica – e di security – per poter operare il risk assessment, la valutazione del rischio e applicare misure di sicurezza adeguate.

La qualità soggettiva resta nel fatto che questa figura abbia ottime capacità comunicative: abilità di interagire sia con i dipendenti che con i vertici aziendali a cui deve riportare e disponibilità al fine di evitare di restare isolata all’interno dell’azienda e rischiare di non essere coinvolta dall’inizio (nonostante il principio di Privacy by design) quando si pensa di sviluppare nuove attività che prevedono il trattamento di dati personali.

3.2 Art. 38: posizione del responsabile della protezione dei dati personali

Circa la posizione del Data Protection Officer (“DPO”) Balboni sottolinea come sia necessario prestare particolare attenzione. Da Regolamento Europeo Privacy, si tratta di una figura che riferisce direttamente ai vertici aziendali (es. il consiglio di amministrazione o amministratore delegato) e indipendente (ossia priva di conflitti di interessi). Come indicato anche dai Garanti Europei, il DPO non può di regola essere un CTO, un CISO, un Head of HR, un Head of Marketing in quanto sono ruoli che hanno tipicamente i poteri per influenzare e decidere i trattamenti di dati svolti dall’organizzazione, con il risultato che il controllante coinciderebbe con il controllato.

3.3 Allineamento al Regolamento (UE) 2016/679

Quanto tempo è necessario per prepararsi efficacemente al nuovo GDPR? Dipende dall’organizzazione in oggetto, ma di regola non meno di 5-6 mesi di lavoro. Questo processo parte con una Due Diligence & Gap Analysis, la fase di censimento dei trattamenti e dello stato di compliance dell’organizzazione. Il risultato è una lista delle azioni necessarie per allineare l’organizzazione al Regolamento stabilendone anche le priorità. Si procede poi con la fase di Compliance, dove le azioni concordate vengono eseguite all’interno dell’organizzazione. Per concludere si crea un documento di Governance Privacy volto al mantenimento e miglioramento di quello che è il Modello Organizzativo in Materia di Protezione dei Dati Personali.