Con il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 inizia una nuova stagione per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Il regolamento costituisce un prezioso tentativo di armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.
Il regolamento costituisce con la direttiva Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati il c.d. “pacchetto protezione dati personali”.
LEGGI LO STATO DELL’ARTE SU GDPR
Il testo del regolamento abroga la direttiva la Direttiva 95/46/Ce in materia di protezione dei dati personali /privacy, concepita in un periodo nel quale solo una minima parte della popolazione europea (nella percentuale del 1%) utilizzava internet e non esistevano social media, tablet, app e gli scenari e gli effetti della moderna e l’ attuale società della sorveglianza elettronica nella quale sono gli stessi cittadini che pubblicano, più o meno inconsapevolmente i propri dati personali sulle piattaforme on line e social media.
Il regolamento è entrato in vigore il 24 maggio 2016[i] ma troverà applicazione negli Stati solo alla data del 25 maggio 2018[1]: le imprese e le pubbliche amministrazioni hanno pertanto due anni (un periodo di tempo congruo ma non troppo ampio) per organizzarsi e adeguarsi alle nuove regole.
Gli impatti del regolamento ue 2016/679 su cittadini e PA
Quali sono le principali novità per i cittadini? E quali sono gli impatti per la pubblica amministrazione?
I cittadini, con le nuove disposizioni, sono al centro del sistema; sono riconosciuti ai cittadini: il diritto alla portabilità dei dati, il diritto all’oblio (riconosciuto fino ad ora solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui suoi dati e di controllare, il diritto di essere informato sulle violazioni dei propri dati personali (“data breach”, notificazione di una violazione di dati). Il testo in esame riconosce, pertanto, un livello elevato e uniforme di tutela dei dati ed è finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei loro dati.
Il regolamento comporta un cambiamento anche culturale: difendere i dati, significa difendere le persone, l’ identità e la libertà delle stesse.
I cittadini hanno il diritto di essere avvertiti dalle pubbliche amministrazioni e dalle imprese delle violazioni dei loro dati personali (data breach notification) entro le 72 ore, obbligo previsto attualmente solo in alcuni settori (fascicolo e dossier sanitario, interscambio di dati fra le pubbliche amministrazioni, Tlc e settore bancario)[2].
I cittadini hanno il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per loro conto e di esercitare per loro conto i diritti sui propri dati (v. artt. 77, 78 e 79) nonché, il diritto di ottenere il risarcimento dei danni causato dalla violazione del regolamento.
Il testo impone alle imprese e alle pubbliche amministrazioni una forte responsabilizzazione, un cambio di passo, un approccio proattivo, la protezione dei dati personali diventa, finalmente, un asset strategico delle pubbliche amministrazioni che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi, (principi data protection by design” e “data protection by default) senza derive burocratiche che hanno negli anni passato relegato la protezione dei dati personali ad un mero adempimento formale di mettere una firma per presa visione dell’informativa o per il consenso al trattamento di dati sanitari: con il regolamento si torna alla concretezza.
Le pubbliche amministrazioni hanno, a seguito delle disposizioni del regolamento europeo, l’obbligo prima di procedere al trattamento, di effettuare una valutazione dell’impatto (“privacy impact assessment”), dei trattamenti previsti dal regolamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione di impatto privacy richiede una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati.
Il regolamento europeo introduce alcune semplificazioni degli oneri e adempimenti a carico delle pa.: viene abrogato l’adempimento della notificazione preliminare al Garante privacy, dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di trattamenti dati particolarmente delicati (es. dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria etc..).
Con il nuovo testo del regolamento in materia di protezione dei dati personali entra nel nostro ordinamento il “principio di accountability” (obbligo di rendicontazione): le pubbliche amministrazioni titolari del trattamento dei dati devono dimostrare:
– di avere adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati e, costantemente riviste e aggiornate e che le proprie attività;
– trattamenti sono conformi con i principi e le disposizioni del regolamento europeo, compresa l’efficacia delle misure.
Il regolamento prevede chel’adesione ai codici di condotta (v.art.40) o a un meccanismo di certificazione (v. art.42) può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento (altri elementi di forte innovazione rispetto alla normativa precedente).
Al fine di poter dimostrare la conformità alle disposizioni del regolamento, viene previsto l’obbligo del titolare o del responsabile di tenuta di registro delle attività di trattamento effettuate sotto la propria responsabilità con relativa descrizione delle misure di sicurezza (art. 30).
Il regolamento specifica che il registro (in formato anche elettronico) deve contenere una descrizione generale delle misure di sicurezza tecniche e organizzative e che su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento sono tenuti a mettere il registro a disposizione dell’autorità di controllo.
Si osservi che il sopra citato adempimento obbligatorio per le pubbliche amministrazioni è molto più rigoroso e puntuale del precedente obbligo di adozione del Documento programmatico per la sicurezza (DPS), adempimento abrogato dal Decreto Monti.(decreto-legge 9 febbraio 2012, n. 5).
In riferimento al profilo della sicurezza del trattamento, il regolamento prevede (v.art. 32) che il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Il profilo del costo di attuazione delle misure di sicurezza costituisce una novità importante per il nostro ordinamento.
Il dpo del regolamento ue 2016/679
Il regolamento introduce nel nostro ordinamento una nuova figura il “data protection officer” (responsabile della protezione dei dati personali) che le pubbliche amministrazioni hanno l’obbligo di nominare al proprio interno e deve sempre essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.
Il data protection officer (DPO) deve essere in possesso di specifici requisiti: competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse e dovrà presidiare i profili privacy organizzativi attraverso un’opera di sorveglianza sulla corretta applicazione del regolamento europeo, della normativa privacy e sulla normativa interna, sull’attribuzione delle responsabilità, informazione, sensibilizzazione e formazione del personale, informazione, consulenza e rilascio di pareri.
Il data protection officer che potrà essere sia interno che esterno all’ente sarà tenuto a presidiare i profili privacy, cooperare con l’Autorità Garante e riferisce direttamente al vertice gerarchico del titolare del trattamento.
Il Data protection officer costituisce un punto di riferimento e di contatto per i cittadini che possono rivolgersi per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal regolamento europeo. L’identità ed i dati di contatto del data protection officer devono essere riportati, nell’ottica di trasparenza verso i cittadini, nell’informativa privacy (art. 13, primo comma, lett.b) da rendere prima del conferimento dei dati da parte dei cittadini, devono essere pubblicati sul sito dell’ente (art.37) e contenuti anche nel registro dei trattamenti.
Nell’eseguire i propri compiti il data protection officer considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Il testo prevede inoltre un rafforzamento dei poteri delle Autorità Garanti nazionali e uninasprimento delle sanzioni amministrativo a carico di imprese e pubbliche amministrazioni: nel caso di violazioni dei principi e disposizioni del regolamento, le sanzioni, in casi particolari possono arrivare fino a 10 milioni di euro o per le imprese fino al 2%-4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Nei due anni di transizione verso l’applicazione del nuovo regolamento privacy, il Garante per la protezione dei dati personali svolgerà un ruolo chiave, nella complessa opera di armonizzazione delle normativa nazionale in materia di protezione dei dati personali oggi vigenti e dei propri precedenti provvedimenti generali dal forte impatto sulle pubbliche amministrazioni (posta elettronica ed internet, videosorveglianza, amministratori di sistema, trasparenza on line) rispetto ai nuovi principi, istituti e responsabilità previsti dal nuovo testo.
Il regolamento costituisce un punto di partenza verso il traguardo comune di un livello uniforme ed elevato di protezione dei dati personali dei cittadini al fine di rafforzare la fiducia, la certezza legale e la concorrenza nell’ottica di costruire un nuovo dialogo con i cittadini, sviluppare servizi on line, attraverso l’aumento della fiducia delle persone nelle transazioni o line.
La protezione dei dati personali, costituisce, alla luce del nuovo regolamento, una pietra angolare nella progettazione dei servizi, programmi, software e dei processi aziendali anche delle pubbliche amministrazioni.
Il regolamento richiede alle pubbliche amministrazioni di andare oltre le regole e gli aspetti formali: i dirigenti, funzionari devono essere attori di un profondo cambiamento culturale con forte impatto organizzativo nell’ottica di adeguare le norme di protezione dei dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie (cloud computing, digitalizzazione, social media, cooperazione applicativa, interconnessione di banche dati, pubblicazione automatizzata di dati on line) nelle organizzazioni pubbliche.
–
L’autore lavora presso l’Università degli Studi di Torino, fellow del Centro di ricerca su internet e società Nexa del Politecnico di Torino e direttore del Centro Studi di Informatica Giuridica di Ivrea Torino, ma scrive a titolo personale
[1] v. art. 99 del regolamento europeo in materia di protezione dei dati personali; comunicato stampa del Garante per la Protezione dei dati personali del 24 maggio 2016consultabile on line al link:http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5035744.
Tra gli articoli entrati in vigore dal 24 maggio 2016 si segnala l’art.92 rubricato “Esercizio della delega” che prevede il conferimento del potere di adottare atti delegati alla Commissione.
[2] Si segnala in materia di data breach, la recentissima iconografica pubblicata dal Garante per la protezione dei dati personali in data24 maggio 2016: ad oggetto “Violazioni di dati personali (data breach): gli adempimenti previsti – L’infografica del Garante privacy” consultabile al link:http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5033588