Ci siamo. Oggi diventa applicabile, senza rinvii, il tanto atteso Regolamento UE 2016/679 sulla protezione e libera circolazione dei dati personali (il GDPR), che sta rivoluzionando l’approccio alla materia della privacy, in un’ottica non solo di difesa, ma soprattutto di valorizzazione del dato personale, inteso quale risorsa economica centrale e strategica per lo sviluppo e la crescita delle imprese e del mercato unico digitale.
L’adeguamento è impellente, per evitare di subire le sanzioni (anche penali) previste, e per non incorrere in provvedimenti correttivi del Garante che vanno dall’ammonimento, alla limitazione, al divieto di trattamento.
Il Regolamento, infatti, ha portata generale ed è direttamente operativo in tutti gli Stati membri, con conseguente disapplicazione della normativa nazionale incompatibile. Non è, quindi, necessaria un’attività di recepimento da parte degli Stati, che possono comunque decidere di rivedere la propria legislazione interna allo scopo di completarla ed armonizzarla con il nuovo quadro giuridico europeo. Ed è così che sta avvenendo in Italia, dove siamo in attesa dell’approvazione dello schema di Decreto legislativo di attuazione A.G. N. 22, tutt’ora al vaglio delle Commissioni Parlamentari competenti e che ha ricevuto ieri il parere del Garante della Privacy.
Lo schema di Decreto mira a garantire la continuità con il precedente regime, facendo salvi per un certo periodo i provvedimenti, le autorizzazioni ed i codici deontologici del Garante, che saranno oggetto di un successivo riesame.
La nuova (complessa) disciplina dei dati personali sarà, infatti, così strutturata: al GDPR si affiancherà il Codice Privacy rivisitato e corretto nelle parti inconciliabili con il Regolamento europeo ed il Decreto legislativo che deve coordinare il quadro UE con quello nazionale.
Cosa fare, quindi, nell’immediato? Nonostante le criticità e le persistenti incertezze applicative che stanno rallentando le frenetiche attività di Compliance, vi sono comunque alcuni adempimenti certi che devono essere intrapresi, poiché fondati su precise disposizioni del regolamento che non lasciano spazio ad interventi legislativi.
Innanzitutto, si rende necessaria la messa a punto del Registro dei trattamenti, da parte di coloro che vi sono obbligati ai sensi dell’art. 30 GDPR, o comunque la predisposizione di una mappatura dei trattamenti da effettuarsi, che ne individui le caratteristiche e documenti i dati personali raccolti.
In seconda battuta, dovrà procedersi alla strutturazione di un idoneo impianto procedurale, ovvero di un modello organizzativo, che consenta l’esercizio dei diritti degli interessati e la corretta gestione dei data breach (la cui comunicazione deve essere effettuata, ad opera del titolare, entro 72 ore dalla scoperta).
Il registro (o la mappatura) sono fondamentali per procedere, successivamente, alla valutazione ed analisi del rischio sotteso al trattamento e predisporre le adeguate e corrette misure di sicurezza.
Inoltre, è inevitabile l’aggiornamento di tutto l’impianto documentale richiesto, comprensivo di clausole contrattuali, nomine ed informative privacy.
Con particolare riferimento alle informative privacy da fornire agli interessati, che sono condizione di liceità del trattamento, spetterà ai titolari verificarne la rispondenza ai criteri delineati nel GDPR, procedendo alla loro modifica ed integrazione sulla scorta dei contenuti obbligatori individuati dalla normativa europea. L’informativa deve essere chiara e semplice e deve tassativamente contenere tutti gli elementi previsti agli artt. 13 e 14 GDPR, tra i quali: i dati di contatto DPO, la base giuridica del trattamento, la modalità di trasferimento dei dati in paesi terzi, il periodo di conservazione dei dati, il diritto di reclamo nei confronti dell’autorità di controllo e le categorie di dati trattati in caso in cui i dati non siano raccolti presso l’interessato. In alcuni casi sarà necessario richiedere il consenso agli interessati.
Infatti, il consenso precedentemente raccolto sotto la vigenza del Codice Privacy, resta valido solo se conforme al GDPR, ovvero se sia stato liberamente rilasciato a seguito di un’adeguata informativa, attraverso un’azione positiva inequivocabile ed esplicita, con riferimento ad ogni specifica finalità del trattamento, e se il titolare sia in grado di dimostrarne l’esistenza. In caso contrario, si dovrà procedere ad una nuova richiesta di consenso, pena l’illegittimità del relativo trattamento.
Inoltre, gli enti pubblici e gli enti privati che trattano dati di natura delicata, sensibili o giudiziari, o monitorano su larga scala ed in maniera sistematica gli individui, saranno obbligati a nominare un DPO, ai sensi dell’art. 37 del GDPR. Senza dimenticare che, come sottolineato dal Garante, la designazione di un Data Protection Officer è raccomandata anche in quelle situazioni dove non sussiste uno specifico obbligo, nell’ottica del principio di accountability su cui fa perno il regolamento europeo. A tale proposito, si è aperta questa settimana la procedura che consente ai titolari ed ai responsabili del trattamento di comunicare al Garante privacy l’avvenuta designazione del DPO, tramite la compilazione del modulo on line sul sito dell’Autorità. All’esito della procedura il nominativo del DPO sarà inserito nell’apposito elenco nazionale.
Infine, sarà necessario effettuare la DPIA per tutti quei trattamenti che, per via della loro natura, oggetto, finalità, contesto e per l’uso di determinate tecnologie, potrebbero generare un rischio elevato per i diritti e le libertà fondamentali dei soggetti interessati, ai sensi dell’art. 35 del Regolamento e delle relative Linee Guida adottate il 4 aprile 2017 dal Gruppo ex Art. 29.
Il 25 maggio 2018 resta comunque solo il principio, l’inizio di un percorso, che si svilupperà nei prossimi mesi.
Inizia ora, infatti, il lavoro del Garante privacy, cui lo schema di Decreto legislativo ha demandato l’adozione di specifici pareri e provvedimenti, necessari per allineare alla nuova normativa europea e nazionale, tutti i codici di condotta ed i Provvedimenti generali che disciplinano il trattamento dei dati in particolari ambiti. Dalla data di entrata in vigore del Decreto (prevista per il 25 maggio 2018), parte quindi la fase transitoria, durante la quale continueranno a produrre effetto gli attuali provvedimenti del Garante.
