Quante volte abbiamo sentito nominare la sigla GDPR? E quante volte dopo aver sentito nominare questa sigla abbiamo sentito parlare di protezione dei dati, di Data Protection Officer, di Unione Europea, sanzioni e via dicendo senza capirci assolutamente nulla? Beh, quei tempi sono finiti, perché per vostra fortuna abbiamo pensato di raggiungere l’avvocato Nadia Martini, associate partner e head of Data Protection di Rödl & Partner Italy e farci spiegare una volta per tutte di cosa si parla quando si parla di GDPR (General Data Protection Regulation) e quali saranno i vantaggi della nuova Regolamentazione applicabile dal 25 maggio 2018.
Prima di parlare di GDPR è opportuno fare un passo indietro, o meglio parlare del presente. Qual è e come funziona l’attuale direttiva europea sulla protezione dei dati e quali sono state le motivazioni che hanno spinto l’Unione Europea a cambiare le regole del gioco?
La direttiva oggi in vigore 95/46/CE rappresenta il principale strumento giuridico dell’Unione Europea in materia di protezione dei dati. Il suo scopo è sempre stato quello di definire un equilibrio tra la tutela della vita privata delle persone e la libera circolazione dei dati personali all’interno dell’UE. L’obiettivo a cui mirava la Direttiva era quello di rendere equivalente in tutti gli Stati membri il livello di tutela dei diritti e delle libertà delle persone con riguardo al trattamento dei dati personali, stabilendone i principi cardine: i dati – corretti – devono essere trattati lealmente e lecitamente, rilevati – previo consenso salvo deroghe espresse – per finalità determinate, esplicite e legittime di cui gli interessati – che possiedono i diritti di accesso e di opposizione – devono essere fedelmente informati.
Il raggiungimento di un livello di protezione coerente in tutta l’UE che garantisca la certezza del diritto e l’abbattimento degli ostacoli alla libera circolazione dei dati rappresenta lo zoccolo duro anche del GDPR, come sancito dal Considerando 13 dello stesso Regolamento. Ciò che muta, però, è il contesto: la continua evoluzione tecnologica e la crescente globalizzazione degli ultimi anni hanno portato nuove sfide da affrontare per la protezione dei dati e che richiedono un “quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno” (Considerando 7 GDPR). Questo è il GDPR.
Quali sono le novità che verranno introdotte con il GDPR e cosa invece resta della vecchia direttiva?
Come appena detto, la Direttiva costituisce la base su cui poggiare i nuovi pilastri del GDPR, da cui ne eredita i principi fondamentali di liceità, correttezza e proporzionalità del trattamento. Tuttavia, il GDPR impone nuovi adempimenti in tema di informative, consensi, diritti degli interessati, trasferimenti di dati extra UE, misure tecniche e organizzative, nomine, registri, formazione e Data Protection Officer, data breach, tempi di conservazione dei dati, privacy by design e by default. Ma soprattutto il GDPR introduce un rivoluzionario cambio culturale: si passa da una privacy percepita formale dove bastava fare il minimo previsto dalla legge, a una privacy sostanziale dove invece occorre fare quanto il Titolare e il Responsabile stessi valutano e dimostrano essere la soluzione più adeguata al loro caso concreto, tenendo conto dei trattamenti posti in essere e del relativo livello di rischio, dando prova che le soluzioni adottate siano le misure tecniche e organizzative adeguate al proprio caso concreto di rischio. E’ il c.d. principio dell’Accountability o di responsabilizzazione sancito dall’art. 5 GDPR. Il principio di Accountability fonda il nuovo valore della Privacy: da mera compliance a valore competitivo, economico, reputazionale e asset business delle aziende.
Cos’è il Data Protection Officer e quali sono i suoi compiti?
Il Data Protection Officer, o brevemente DPO, è la nuova figura privacy introdotta dal GDPR agli artt. 37 – 39.
Si tratta del Responsabile della protezione dei dati che dovrà assicurare il rispetto della normativa privacy da parte della società o ente nell’ambito del quale viene designato. Dovrà rivestire – come spiega l’Autorità Garante nella sua Relazione Annuale del 2015 – “il ruolo di presidio avanzato del rispetto dei principi e degli adempimenti in materia” nonché essere il nesso di collegamento con l’Autorità.
Ai sensi dell’art. 37 del GDPR, la designazione del DPO è obbligatoria in tre ipotesi specifiche:
(i) Qualora il trattamento dei dati sia effettuato da un’autorità o da un ente pubblico;
(ii) Qualora il trattamento dei dati effettuato da qualsiasi titolare e/o responsabile richieda un regolare e sistematico controllo su larga scala delle persone interessate;
(iii) Qualora il trattamento dei dati effettuato coinvolga su larga scala speciali categorie di dati o dati personali connessi a condanne e illeciti penali.
Negli articoli seguenti, il GDPR elenca le caratteristiche che il DPO deve avere, tra cui, in particolare, la professionalità, l’indipendenza e l’autonomia (anche di spesa). Il DPO, infatti, “deve essere nominato sulla base di determinate qualità professionali, in particolare la conoscenza approfondita delle disposizioni in tema di protezione dati e la capacità ed abilità a svolgere i compiti” a lui assegnati ed essere in grado di esercitare i propri compiti con un sufficiente grado di autonomia all’interno dell’organismo. In particolare, titolare e responsabile devono garantire che il DPO “non riceva alcuna disposizione riguardante l’esercizio dei propri compiti”. L’art. 38 consente al DPO la possibilità di adempiere ad “altri compiti e doveri”, che, però, “non risultino in conflitto di interessi”. Infine, titolare e responsabile devono supportare il DPO “fornendogli le risorse necessarie per svolgere le proprie funzioni, accedere ai dati personali e alle operazioni di trattamento e mantenere le sue conoscenze specifiche”.
Chi può rivestire questo ruolo?
Una volta chiariti ruoli e funzioni del DPO – grazie anche all’aiuto dato dal WP29 con le sue linee guida di Dicembre 2016 – occorre, giustamente, soffermarsi su chi può concretamente rivestire tale ruolo: un soggetto interno all’azienda? Un consulente esterno? Legale o tecnico informatico? A tal proposito, le soluzioni appena sopra illustrate presentano pregi e difetti. Infatti, la persona può essere un dipendente dell’azienda, ma deve riferire direttamente al “board”; può essere un consulente esterno, ma deve conoscere – o essere informato a sufficienza – tutte le particolarità dei trattamenti effettuati e del business aziendale; deve avere la professionalità e le competenze necessarie per svolgere questo ruolo e, pertanto, avere conoscenze sia legali sia tecniche informatiche.
Per questi motivi, la figura che meglio racchiude gli elementi essenziali del DPO è ibrida, ovvero, un organismo creato ad hoc e composto da membri – legali, IT e di business – interni che conoscano nel dettaglio i trattamenti posti in essere ed esterni che garantiscano indipendenza ed autonomia.
Potranno i governi locali avere la possibilità di aggiungere o adattare disposizioni per rispondere a esigenze particolari di protezione dei dati?
Certo; il GDPR ha previsto un margine di flessibilità lasciato agli Stati membri per – come confermato dal Considerando 10 – “precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali”. Gli Stati membri possono, pertanto, prevedere disposizioni più specifiche per taluni aspetti particolari del trattamento dei dati – o mantenere quelle già in essere e adottate con propri provvedimenti specifici – sempre in ossequio al principio di proporzionalità del trattamento.
Le modifiche dovranno essere fatte prima del 25 maggio 2018 o potranno essere effettuate anche in un secondo momento?
Il GDPR, in vigore già da maggio 2016, sarà applicabile a partire dal 25 maggio 2018. Questo significa che le aziende – a cui la Commissione ha dato 2 anni per prepararsi – dovranno essere pronte per quella data avendo rimediato ed implementato tutte le misure tecniche ed organizzative adeguate e in conformità con quanto disposto dal GDPR.
Quali sono i principali punti critici che dovranno affrontare gli attori coinvolti dalla Regolamentazione durante la sua implementazione?
I punti di maggiore criticità da implementare con il GDPR riguardano certamente l’adeguamento dei sistemi ai principi di privacy by design e by default, che impongono – insieme al principio di minimizzazione dei dati – la conservazione dei dati sino a che sono necessari e, pertanto, la cancellazione dopo che non saranno più necessari. A tal proposito, infatti, andranno adottate idonee misure tecniche ed organizzative – tra cui ruolo fondamentale è assunto dalle procedure in merito – per assicurare che i dati vengano conservati per il periodo di tempo prestabilito, al termine del quale dovranno essere cancellati o, ove possibile, rinfrescati. Altro punto critico, poi, è il dotarsi di una metodologia di Privacy Impact Assessment, da applicarsi ad ogni trattamento dati rilevante, e di un tool di portabilità dei dati, che permetterà il trasferimento dati a terzi su richiesta dell’interessato.
Qual è la figura che si occuperà di far rispettare la Regolamentazione nei singoli Paesi dell’Unione e a chi dovranno rispondere le singole aziende?
La privacy rimarrà presidio delle Autorità di controllo di ogni Stato membro – e, in particolare, in Italia dell’Autorità Garante per la protezione dei dati – le quali hanno il compito di sorvegliare, assicurare e promuovere l’applicazione della normativa in collaborazione le une con le altre. A tal fine, il GDPR fornisce loro i poteri e gli strumenti necessari a svolgere il proprio ruolo di “controllo”.
Sono previsti degli organi che avranno il compito di verificare l’allineamento delle aziende alla Regolamentazione?
Le stesse Autorità di controllo di cui sopra sono provviste di tutti i poteri di indagine ed esame utili alla verifica del rispetto della nuova normativa da parte delle aziende. Nello specifico in Italia, il Garante Privacy – con il supporto del nucleo speciale della Guardia di Finanza – metterà in atto un piano di controlli mirati all’accertamento che il trattamento di dati sia svolto in linea con il GDPR. Le aziende italiane, e non solo, dovranno dimostrare di aver adottato tutte le misure di sicurezza, tecniche ed organizzative, adeguate al proprio concreto livello di rischio.
Quali sono le sanzioni previste dall’UE in caso di violazione del GDPR e come verranno messe in atto?
Il GDPR ha aumentato l’ammontare delle sanzioni pecuniarie che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato mondiale annuo di Gruppo. Il GDPR però – anche in questo caso – lascia agli Stati membri la possibilità di adottare ulteriori norme in tema. Ovviamente gli Stati membri nel sancire le nuove sanzioni dovranno attenersi ai principi di effettività e proporzionalità delle stesse.
Con Dcommerce ci occupiamo prevalentemente di commercio digitale. Quali saranno le ripercussioni immediate per un’azienda che vende online e come cambierà la raccolta dati per la profilazione dei clienti?
Le regole imposte dal GDPR sono, almeno sulla carta, più leggere rispetto a quelle nazionali. Ad es. per la profilazione, la disciplina attuale impone gli obblighi di informativa, consenso, conservazione dati per 1 anno, notificazione e la verifica preliminare con l’Autorità se necessaria. Il GDPR invece impone solo l’obbligo di informativa e consenso, che può essere omesso nel caso di trattamento per fini di servizio; nonché per i casi più critici un “post check” con l’Autorità. Così per il marketing, la norma nazionale impone di regola informativa e consenso. Stando invece alla lettera del Considerando 47 del GDPR, trattare i dati per finalità di marketing diretto potrebbe essere ricompreso nel “legittimo interesse” dell’azienda ed escludere il consenso in alcuni casi. Ora sta alle Autorità dei singoli Stati membri dare la giusta interpretazione e applicazione.
Il GDPR porterà più vantaggi o svantaggi all’ecommerce europeo?
Nell’era della digitalizzazione e della globalizzazione sicuramente il GDPR porterà dei vantaggi in qualsiasi aspetto che ruoti attorno al trattamento dei (big) data. Infatti, il GDPR non deve essere recepito come strumento di mera compliance, ma come un’opportunità di business per le aziende, poiché ha lo scopo di disciplinare l’enorme di flusso di dati che ogni giorno viene trattato, semplificando quanto ancora oscuro ed eliminando gli ostacoli alla libera circolazione dei dati nel nostro mercato unico ancora presenti. Le aziende potranno, infatti, effettuare i trattamenti di dati necessari al proprio business senza dover rimanere incastrate tra i paletti della normativa di settore, ma calibrandoli in base alle loro necessità e adottando le misure tecniche ed organizzative più idonee a diminuire il rischio per le libertà individuali.
Che tipo di influenza avrà invece il GDPR, anche in vista della PSD2, verso tutte le nuove fintech che operano nel settore bancario, e più in generale dei pagamenti?
La PSD2, come il GDPR, mira a promuovere lo sviluppo del mercato interno rafforzando la sicurezza, l’efficienza e la competitività dei servizi di pagamento elettronici. Essa rafforza la tutela degli utenti dei servizi di pagamento, sostenendone al contempo l’innovazione e dà la possibilità di sviluppare prodotti e servizi finanziari innovativi, offrire una customer experience sicura e agevole durante le operazioni di pagamento, rivoluzionando così le modalità del retail banking. Entrambe le normative vertono nell’ottica di creare un mercato unico europeo dei dati – anche di pagamento – più efficiente e, pertanto, non potranno che essere di aiuto una all’altra alle aziende nel raggiungimento di questo obiettivo.
