GDPR nuovo Regolamento Europeo per la privacy rischio o opportunità?

Ci siamo! Il 25 maggio si avvicina, solo tre mesi ci separano ormai dalla piena applicazione del Regolamento Europeo per la protezione dei dati personali, archiviando definitivamente il Codice della Privacy 196/03 che ha regolato finora il settore.

In effetti, il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in quanto Regolamento, è entrato immediatamente in vigore alla data della sua pubblicazione in GUCE ma ha consentito, per questi due anni ormai a scadenza, la coesistenza con la normativa nazionale D.lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali, abrogandola però di fatto e di diritto a far data dal fatidico prossimo 25 maggio.

Per non creare confusione, occorre menzionare l’esistenza di una altra disposizione della UE in materia dati: la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. Questa, in quanto Direttiva, necessita però del recepimento nazionale da parte degli Stati Membri ed, essendo finalizzata al trattamento di dati connessi con le attività investigative anticrimine, investe tutt’altra questione.

Poi purtroppo, come nostro mantra italico, siamo sempre un po’ restii a cogliere l’opportunità dell’innovazione; reagiamo sempre con forte ritardo, il nostro motto pare proprio che sia il contrario della proattività: come posso evitare di adeguarmi!

L’innovazione legislativa è sempre vissuta come rischio e mai come opportunità! Invece mai come in questa circostanza l’applicazione operativa del GDPR si presenta come una grande opportunità di sviluppo e di miglioramento organizzativo per coloro che, a qualunque titolo gestiscono dati personali e anche di crescita democratica e culturale per chiunque che, come cittadino  e persona fisica, ogni giorno affida, più o meno consapevolmente,  parte della sua sfera privata (privacy)  al titolare del trattamento e quindi ovviamente è  interessato che i propri dati personali siano trattati – a termine di legge – in modo lecito, necessario e proporzionato allo scopo.

Ma, considerando che il GDPR è composto da undici capitoli per un totale di centottantasette  pagine come possiamo re-agire per evitare di esserne  sopraffatti, cercando di salvaguardare ove possibile quanto già reso operativo nel Codice della Privacy  e non in contrasto con il Regolamento? Come salvare gli investimenti già messi in campo?

Cercando di evitare un approccio tecnico-operativo, sovradimensionato per questo intervento, mi limiterei ad una semplice (!) distinzione tra diritti e doveri: diritti dell’individuo vs. doveri d’impresa: quali sono i nostri diritti di cittadini in una società democratica e quali i nostri doveri di impresa, intesa come persona fisica o giuridica che, indipendentemente dalla forma giuridica rivestita, eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica.

In una ventina di pagine del GDPR, nell’omologo Capo III composto da 5 sezioni,  dall’articolo 12 all’articolo 23, sono   trattati  i diritti dell’interessato  non molto diversamente da quanto già sappiamo dal DLvo 196/2003: da notare che,  per quanto riguarda l’informativa, i contenuti, più ampi, sono elencati in modo tassativo così come i diritti all’accesso dei propri dati personali.

Le innovazioni più rilevanti nei diritti riguardano invece:

· il diritto alla cancellazione, ormai più noto come “diritto all’oblio”,

· il diritto alla portabilità dei dati,

· il diritto all’opposizione a processi decisionali automatizzati compresa la cosiddetta “profilazione”: quando con immediatezza, non appena chiediamo una qualche semplice informazione sul WEB, il nostro schermo è invaso da concrete offerte commerciali intese a soddisfare la nostra curiosità, inviti da cogliere al volo che sembravano lì ad aspettare solo noi.

Altra cosa riguarda i doveri delle imprese in special modo  per quanto riguarda le responsabilità. Per efficace analogia voglio fare riferimento al diritto alla sicurezza e salute sui luoghi di lavoro, ben più noto in Italia con la ancorchè abrogata 626/94 oggi sostituita dal 81/08, in cui la responsabilità principale ricade sul Datore di Lavoro che, con la propria organizzazione, attenua se non riesce ad eliminarlo del tutto il rischio di infortunio o di malattia professionale di lavoratori. La vera e dirimente differenza tra il Responsabile della Protezione dei Dati (DPO) richiamato nel GDPR e il RSPP del 81/08 è che il primo non fornisce solo consulenza, ma assume responsabilità operative del sistema di tutele, dovendo infatti verificarne anche la corretta attuazione (art. 39).

A parte ciò, il Regolamento introduce in modo del tutto analogo il concetto di rischio, attribuendo al Titolare del Trattamento la responsabilità di tutelare i dati personali a lui affidati, valutando appunto il rischio di perdita dei dati (data leak) in ogni fase del trattamento affidatogli, progettando ed implementando la propria struttura organizzativa secondo le best practice e i migliori standard di gestione del rischio, come già ampiamenti trattati dalle norme tecniche di riferimento, tra tutte le ISO 9000 per i sistemi qualità, le ISO 31000 per la gestione del rischio, IEC/ISO 27000 per la ICT.

Mi sembra opportuno ricordare che, come in ogni sistema di gestione del rischio, dopo la fase di assessment sarà necessario attivare le fasi di prevenzione (Data Loss Prevention) e di protezione in caso violazioni e divulgazione dei dati personali (Data Breach Protection). L’approccio proattivo del GDPR si fonda sulla responsabilizzazione (accountability) dei titolari che, tenuto conto della natura, del settore di applicazione, del contesto e delle finalità del trattamento dei dati, nonché dei rischi per i diritti e le libertà delle persone fisiche, rende operative le misure tecniche e organizzative più adeguate– non solo – per garantirne la compliance  ma anche di renderla documentata per eventuali audit esterni.

Con le consolidate metodologie dei sistemi qualità, ogni titolare decide autonomamente (art.5 c.1 EX ANTE – analogie con il DVR) al momento di determinare gli strumenti del trattamento e renderle evidenti in una serie di attività specifiche e dimostrabili (art.5 c.2 EX POST – formalizzazioni e deleghe)

Con poca attenzione alla prevenzione che non paga subito, normalmente vista come una spesa superflua su cui poter fare economie, il management italiano sembra più orientato al sistema di protezione affidandolo normalmente a studi legali che, al più, cercano di attenuare le sanzioni visto che nel GDPR risultano molto pesanti (fino al 4% del fatturato annuale o 20 milioni di euro se è maggiore).

Chiedetevi quindi il perché i corsi di formazione  sul GDPR, proposti dal mercato in quantità sempre maggiori con l’avvicinarsi della scadenza di maggio, offrono quasi sempre un panel di docenze  di estrazione giuridica, in cui la matrice professionale di security ISO 31000 risulta assai poco rappresentata o il perchè, visti  i tentativi di monopolizzare il mercato da parte dei professionisti dell’ICT con la recentissima UNINFO EN 11697 o l’ingresso sul mercato di schemi proprietari di certificazione, il Garante Privacy con Accredia abbia rinviato alla definizione di criteri e requisiti comuni per la conformità delle certificazioni al Regolamento UE 2016/679, evidenziando altresì che ad oggi non è previsto né l’obbligo di attestazione delle competenze né tantomeno nessun albo professionale dei DPO.

Forse è il caso finalmente di comprendere ed accettare che il GDPR è aggredibile con efficacia solo in un complesso sistema di competenze, non monopolizzabili da nessuno per motivi commerciali, che necessitano invece di un’etica professionale in cui la crescita di competenze multidisciplinari trovi la sua piena applicazione per quanto auspicato nel Regolamento: l’adozione di Codici di Condotta elaborati da associazioni o da altri organismi rappresentanti le categorie di Titolari e Responsabili.

Per quanto riguarda infine nello specifico le associazioni del CoLAP, queste necessitano del titolare del trattamento solo quando la tipologia dei dati trattati è  personale e non riferita ad imprese, solo quando evidentemente gli interessati (art. 4) sono persone fisiche con le ovvie deroghe dell’art. 10 (condanne penali e reati). Sono previste alcune semplificazioni per le comunicazioni elettroniche agli abbonati/soci con finalità di marketing (4-5 mila contatti), ricordando inoltre che l’informativa è sempre preventiva del trattamento e deve essere aggiornata al cambiare delle regole e/o delle finalità e, in caso di marketing, occorre anche esplicito consenso.