Sono molti gli aspetti ancora oscuri del GDPR, la nuova sigla che da qualche settimana fa tremare i polsi a imprenditori, consulenti e soggetti pubblici e che entrerà pienamente in vigore a partire dal 25 maggio del 2018. Il nuovo Regolamento Generale per la protezione dei dati (in inglese “General Data Protection Regulation” – Regolamento UE 2016/679), varato dall’Unione Europea nel 2016 con lo scopo di uniformare e regolamentare il trattamento dei dati personali all’interno dei paesi membri, è infatti accompagnato da dubbi e incertezze, che riguardano il suo contenuto, le modalità di adeguamento e persino la data di inizio dell’applicazione. Per orientarci meglio all’interno delle nuove disposizioni e dei requisiti che bisogna soddisfare per essere in regola, abbiamo contattato l’Avvocato Francesco De Sanzuane a cui abbiamo rivolto qualche domanda.
D: Dal Regolamento europeo emergono alcune parole chiave come: privacy by design, accountability, data breach, portabilità del dato, data protection officer. Proviamo a spiegare il contenuto del GDPR 2018 a partire da queste ultime?
R: Certo, partiamo dalla privacy by design, che ci aiuta a dare un po’ di informazioni generali. Si tratta nello specifico dell’articolo 25 del GDPR in cui si dice che, a seconda della natura, del contesto e delle finalità del trattamento, il Titolare del trattamento dei dati è tenuto a mettere in atto le misure (tecniche, organizzative, la pseudonimizzazione, etc.) e gli strumenti che possano proteggere i dati in maniera efficace, anche in riferimento alla loro minimizzazione – ovvero alla riduzione minima del quantitativo dei dati richiesti.
In altre parole, la privacy by design non è altro che l’adattamento della procedura di raccolta dati alla qualità del dato o al tipo di user che si rivolge al portale e significa che: nel momento della progettazione di una determinata azione o sistema online, ad esempio una campagna di marketing con raccolta dati degli utenti, l’azienda (o l’agenzia o l’ente pubblico che lo mette in piedi) dovrà cercare di prevedere il rischio di data breach dei dati stessi, il flusso di ricezione (da dove arrivano: online o offline?) e la qualità del dato (si tratta di dati “solo” personali, come nome cognome e mail, o anche sensibili come i dati biometrici, ad esempio). Una volta individuati questi elementi, potrà progettare l’interfaccia o qualunque altro strumento intenda utilizzare per raccogliere i dati.
E’ necessario quindi che sia uno studio proattivo, con cui prevenire i problemi che possono insorgere nella gestione dei dati, considerando la privacy come un fattore centrale del progetto nel momento in cui si progetta un portale o un’azione specifica online e considerando anche una procedura per minimizzare i dati ricevuti. L’idea di base del Regolamento è, infatti, che ci sia il più possibile una contrazione dei dati che vengono trattati, anche a vantaggio dell’impresa stessa che, avendo meno dati ha di conseguenza meno obblighi da rispettare e quindi meno incombenze, con anche un’ottimizzazione dei costi di tutto il processo. E’ poi sempre obbligatorio capire per quanto è tempo necessario gestire questi dati prima di cancellarli. E’ chiaro che la privacy by design è molto più stringente per chi opera su internet rispetto a chi lavora offline.
E l’accountability, cos’è?
E’ un altro principio introdotto dal Regolamento e molto legato alla privacy by design: alcuni lo hanno tradotto come “responsabilità”: con questo termine si fa riferimento a quella valutazione che il titolare deve fare per poi potersi organizzare al meglio e garantire la sicurezza dei dati personali, ovviamente in conformità al regolamento. L’accountability è il concetto per il quale il titolare deve garantire l’attuazione di strumenti adeguati rispetto ai dati che tratta. Questa è la parte se vogliamo più “filosofica” o quanto meno discrezionale del GDPR 2018: la responsabilizzazione sulla base di una auto-valutazione, che può essere vista anche in senso positivo.
In generale, possiamo dire che se alla base del cappello introduttivo che tutte le aziende fanno per dare conto all’utente di come vengono trattati i suoi dati, si spiega con chiarezza e si dimostra il perché di una certa azione, allora questo dimostra che l’azienda ha valutato con attenzione il rischio e ha agito nel rispetto del principio di accountability. E’ una specie di controprova: se si riesce a spiegare bene il processo, ecco che dovremmo essere considerati conformi.
GDPR 2018: l’informativa e la raccolta del consenso
Soffermiamoci brevemente su quel “cappello introduttivo”: l’informativa per la raccolta del consenso. Esiste un modello europeo o quanto meno italiano a cui conformarsi?
No, purtroppo non c’è un modello, non ancora o almeno io non ne sono a conoscenza. Rimane tuttavia l’indicazione di base: il GDPR dice che l’informativa deve essere facile e comprensibile (il che, se vogliamo, fa sorridere perchè dipende sempre da chi lo legge). Però diciamo che sì, l’informativa deve essere il più possibile snella e scritta in modo semplice, perché l’utente interessato deve essere in grado di capire che cosa comporta lasciare i propri dati, per questo bisogna usare un linguaggio inequivocabile, per “educarlo” a capire cosa viene fatto con i propri dati. Mentre prima si avevano informative molto articolate, ora si tende a fare un’informativa più agile, ad esempio una griglia con una parte testuale e una parte con i riferimenti degli articoli più specifici per chi vuole approfondire.
Se non erro, soprattutto all’estero, alcune aziende stanno affrontando la questione anche in senso più creativo, per esempio affidando ad un video o ad una infografica la spiegazione del trattamento dei dati, e rimandando a d uno step successivo il testo più tecnico. Una specie di informativa in due tempi.
Sì, anche questo è possibile. In generale, è vero che l’azienda è titolare dei dati, però questo non significa deresponsabilizzare l’utente che deve comunque prendersi la briga di leggere ciò che viene inserito nell’informativa. A livello di contenuti poi l’informativa non cambia molto: l’articolo 7 del Codice della Privacy – che a mio parere era già un buon testo – è stato spacchettato in più articoli e i principi base sono stati conservati. L’informativa cambia solo perchè deve essere il più possibile facile e comprensibile, non so se anche a livello visivo.
Rimaniamo ancora un attimo sul tema Informativa e raccolta del consenso, facciamo qualche esempio pratico? Un’azienda che raccolga attraverso il suo sito dati personali dell’utente (mail, nome e cognome) per inviare comunicazioni mail, come deve comportarsi?
Questo è un classico esempio di privacy by design: secondo il nuovo regolamento il consenso deve essere informato, specifico, libero e revocabile. Quindi le finalità del trattamento devono essere chiare, ad esempio con la dicitura “Iscrivendoti al nostro sito ci dai la possibilità di inviarti mail periodiche con le nostre news” e il check box spuntabile SI’/NO. E’ importante che la spunta sia impostata già sul NO: l’utente per accettare deve cliccare sulla parte di “Acconsento/Sì” e quindi cambiare dal NO, in questo modo il consenso è anche consapevole. Questo per rispondere al caso specifico. Dopo di che, sotto al modulo di raccolta dati ci potrebbero essere:
- Il check box per il consenso al trattamento
- Il check box relativo alla ricezione di newsletter
- il check box per la ricezione di informazioni commerciali
E così via uno per ogni finalità di trattamento. Se per esempio si svolgono attività di direct marketing/contatto diretto deve essere specificata la modalità di contatto (“Desidero essere contattato via mail/ sms/ etc… sempre in modalità Sì/No e sempre con la spunta prefissata sul NO), con successiva possibilità di essere revocato.
Si capisce bene come tutto questo obblighi l’azienda che intende fare un’attività di e-mail marketing ad adattare i suoi strumenti e i campi del modulo al minimo dei dati che tratterà, ovvero ad adattare il design alla privacy. Una spunta a parte deve essere poi dedicata al caso in cui si intenda comunicare i dati a terze parti: in questo caso potrebbe essere utile avere un registro dei trattamenti, che va tenuto separato dai dati consegnati dati a terzi.
A proposito di terzi, anzi di intermediari: poniamo il caso che l’azienda dia mandato ad un’agenzia di creare il sito e impostare il modulo di raccolta dati per l’invio di newsletter tramite software di invio (mailchimp, mail-up, etc), come ci si comporta in questi casi?
Per chi gestisce i dati in qualità di tramite tra utente e titolare, è sufficiente una lettera di incaricato: questo soggetto infatti non è il titolare dei dati, non può divulgare i dati ma può comunque vederli. L’utilizzare un sistema come Mailchimp o altro del tipo, invece, è un po’ particolare, l’agenzia non è titolare ma utilizza i dati per il proprio lavoro: probabilmente, in questo caso, per evitare ulteriori incombenze, suggerirei di produrre sempre la lettera di incaricato ma nel contratto tra azienda e agenzia inserirei la possibilità di manleva in caso di smarrimento dei dati, oltre che l’indicazione specifica che vengono utilizzati degli strumenti automatici di invio che danno certe garanzie, chiedendo all’azienda esplicita autorizzazione a impiegarli (una specie di scarico di responsabilità). E’ chiaro che siamo un po’ al limite: si tratta di una situazione che va valutata caso per caso.
Si tenga poi conto che i “terzi” possono essere tanti: il commercialista, l’avvocato, lo sviluppatore e anche l’agenzia di comunicazione che lavora per l’azienda. Quindi va valutato di volta in volta il tipo di influenza che il terzo ha nel trattamento dei dati, anche in considerazione della novità introdotta dal GDPR circa co-titolarità. Ad esempio: nel caso ci siano due soggetti giuridici distinti che condividono i dati (come uno Studio commercialista e il centro di elaborazione dati) ma che li utilizzano per finalità diverse, questi possono essere sottoposti a regime di doppia titolarità dei dati.
Se i dati sono poi utilizzati anche dall’agenzia ad esempio per profilazioni a fini statistici, avremmo bisogno di spiegarlo all’utente, specificando obbligatoriamente il termine temporale entro cui possono essere conservati. La profilazione per fini statistici pone inoltre anche un’ulteriore questione, che è quella del consenso “espresso”, per cui è consiogliabile avere il DPO.
Il DPO? Ovvero?
E’ un’altra delle parole chiave che menzionavamo all’inizio. L’acronimo sta per Data Protection Officer, ed è quella figura, non obbligatoria per tutti (si parla di aziende con un minimo di 250 dipendenti – ndr) che si ipotizza avrà una doppia funzione di vigilanza e controllo da una parte, e di consulenza dall’altra. Sono molti ora i corsi che si propongono sul mercato, perché di fatto si tratta di una nuova professione. Ci sarà da stare attenti probabilmente perchè in molti si proporranno presi dall’entusiasmo più che dall’esperienza. In teoria è stato detto che sarà una figura di contatto con l’AGCOM – posto che c’è già adesso la possibilità per chiunque di contattare l’AGCOM – ma è evidente che se sarà proprio l’AGCOM a formare i DPO, questo darà loro la possibilità di comunicare con l’Autorità più facilmente, o di recepirne più facilmente le indicazioni interagendo direttamente.
Possiamo considerarla un po’ come una figura figlia della “logica della scatola nera”, ovvero della nostra memoria, della nostra coscienza informatica che ci deve dire se stiamo o no facendo bene. Il DPO tiene traccia di tutto, informa e consiglia il titolare o il responsabile del trattamento su tutti gli obblighi verificandone l’attuazione. Come si diceva, non è obbligatorio per tutte le aziende: la cosa più importante è verificare il concetto di “trattamento su larga scala”, perchè quando i titolari hanno necessità per l’attività che svolgono di monitorare in maniera sistematica, periodica, continuativa i dati degli utenti allora si parla di trattamento di larga scala. Per esempio, tra i pareri che stanno circolando tra i Gruppi di studio dell’AGCOM è che le catene di alberghi molto grandi dovrebbero dotarsi di un DPO perché raccolgono dati su larga scala. Nella larga scala rientrano tutti i dati compresi quelli sensibili come il conto corrente, la frequenza di accesso alla struttura, gli accompagnatori, la geolocalizzazione: quando questi dati vengono raccolti allora è necessario dotarsi di un DPO.
Parlando di AGCOM, in questi giorni si è parlato molto di un “periodo di grazia” (grace period): di cosa si tratta esattamente?
Il periodo di grazia è un periodo in cui non si sospendendo le sanzioni ma fondamentalmente gli organismi che sono deputati a verificare la corretta applicazione sospendono l’attività di controllo, concedendo un periodo di grazia per permettere ai soggetti obbligati di una determinata nazione di adeguarsi, dotandosi di quel sistema di protezione di dati personali richiesto dal regolamento.
Sul grace period in questo momento non c’è grande chiarezza perché, da una parte è venuta fuori una notizia che anche l’AGCOM aveva dichiarato di voler concedere un periodo di grazia perché effettivamente era in attesa dell’emanazione del Decreto legislativo definitivo (al momento è stato divulgato solo il progetto, ma la Dott.ssa Finocchiaro ha assicurato che il definitivo arriverà in tempo utile) e che, per questo, intendeva concedere un po’ di tempo per eventuali correzioni dell’ultimo minuto, perché comunque al di là dell’obbligo è necessario un po’ di tempo per le azioni che devono essere intraprese dalle aziende. Sarebbe anche una questione di giustizia, tuttavia è una notizia un po’ tendenziosa perché è una interpretazione che è stata data ad un provvedimento dell’AGCOM che appunto diceva che avrebbe considerato di non esercitare i propri poteri sulla scorta del CNIL – che è il corrispondente francese dell’AGCOM italiana – che invece lo ha dichiarato apertamente di voler concedere questo periodo di grazia. Per cui anche in questo caso, sempre un po’ all’italiana, al 90% sì, potremmo usufruirne, però non è sicuro. Perchè in effetti non è ufficiale.
Continuiamo con le parole chiave, il data breach come si traduce invece?
E’ la violazione dei dati personali, ed è un principio che è stato introdotto recentemente ed è strettamente connesso con l’archiviazione dei dati. Può essere sia legato ad un attacco hacker che si conclude con il furto dei dati (per cui la responsabilità del titolare è abbastanza evidente perché non era dotato di un antivirus, di un firewall, etc), oppure ad una modifica non voluta dei dati, lo alla loro divulgazione non autorizzata o smarrimento.
Il data breach è una delle norme più importanti e quella che incide di più sul comportamento delle aziende perché comporta alcune azioni in più sul loro sistema interno. I dati sensibili (o quantomeno quelli trattati) devono essere protetti da una password o da altro strumento idoneo (partizione del disco) utile ad evitare che vengano divulgati in maniera non autorizzata. Ad esempio, se si utilizzano dei pc aziendali o se è in uso un gestionale deve essere impostata una doppia password o nel caso di dati in locale, la partizione del disco fisso può ridurre questo rischio.
Quando avviene la violazione, scattano degli obblighi ben precisi: il titolare è obbligato a comunicare la violazione al Garante della Privacy entro 72h dalla conoscenza della stessa, successivamente entro 24h bisogna dare le informazioni necessarie al Garante perché possa effettuare la valutazione sull’entità della violazione, e poi entro altri 3 giorni dovrà essere completata la documentazione con tutte le informazioni. Si tratta quindi di un obbligo piuttosto stringente e da cui derivano le sanzioni pecuniarie peggiori: nel caso in cui un’impresa – ma vale anche per le pubbliche amministrazioni – non rispetti questi obblighi ci sono sanzioni che arrivano fino a 10 milioni di euro o fino al 4% del fatturato mondiale annuo. Oppure altre sanzioni specifiche in caso di mancata o incompleta comunicazione, o l’omessa comunicazione agli utenti (che devono essere informati dell’avvenuta violazione), o la mancata compilazione di un registro con tutte le violazioni.
Cosa si intende per portabilità dei dati?
E’ un diritto nuovo, come il diritto all’oblio, e coincide con la facoltà data all’interessato di ricevere dal titolare i propri dati in un formato che sia “strutturato, di uso comune e leggibile dal dispositivo automatico” che deve essere trasmesso dal titolare del trattamento senza impedimenti. Si ricalca un po’ l’idea del numero di telefono: se si vuole cambiare operatore, deve essere sufficiente comunicarlo alla compagnia telefonica per effettuare l’operazione o per ricevere i propri dati. Ed è sempre basato sulla concezione che l’utente diventi sempre più informato e consapevole dell’importanza di proteggere i propri dati senza dimenticarsi quindi di chiederli a chi li gestisce. Questo poi la norma non lo dice, ma la richiesta dei dati in qualche modo comporta o stimola la cancellazione dei dati da parte del titolare.
Si tratta di un provvedimento retroattivo? Cosa succede ai dati già in possesso dell’azienda/ente, devono essere raccolti nuovamente?
Il problema qualcuno se l’è posto: per quei consensi che sono stati presi prima, vanno richiesti ancora? La risposta è stata, in maniera un po’ salomonica, che se erano stati raccolti in modo conforme alla precedente normativa, allora possono essere considerati conformi anche a questa.
Le azioni da mettere in pratica
Quindi, in sintesi, cosa deve fare un’azienda per mettersi in regola?
Sicuramente, è necessario iniziare da una ricognizione ad ampio raggio su tutte le modalità utilizzate per raccogliere i dati e una valutazione del rischio. Poi, all’atto pratico, si dovrà procedere con:
- Redazione delle informative pertinenti e adeguamento dei consensi al trattamento per ogni pagina del sito in cui è richiesto;
- Redazione di lettere d’incarico specifiche a seconda di ogni trattamento (finalità di marketing, ufficio contabilità, etc.) per i dipendenti che hanno accesso ai dati;
- Elaborazione di lettere di responsabilità per i consulenti (dall’avvocato, al consulente del lavoro, all’informatico) che gestiscono i dati (esterni che diventano in qualche modo responsabili dei dati);
- Compilazione dei registri delle attività di trattamento (non obbligatorio ma sempre utile), delle attività di trattamento (non obbligatorio ma sempre utile fare) e di quello delle violazioni in caso ve ne fossero.
- Eventuali altra documentazione che può riguardare i dispositivi offline, come la videosorveglianza, etc.
E’ evidente che ogni caso avrà delle specificità proprie, ma la necessità di adeguamento riguarda tutti. L’unica differenza è quella relativa al rischio: il centro Medico molto grosso che ha una serie di dati sensibili, addirittura legati alle preferenze sessuali della persona, avrà certe necessità di trattamento; mentre un avvocato potrebbe avere documenti sensibili ma, – posto che c’è già l’obbligo di segretezza – non ho le stesse finalità del centro medico, e così via.
Come giudica, nel complesso, il GDPR 2018?
Quello che noto è una particolare dicotomia: da un lato viene lasciata al titolare del dati la libertà di gestire il trattamento come meglio crede a seconda delle sue capacità, dei dati trattati, del rischio che lo stesso giudica ci sia. Dall’altro lato, introduce una serie di adempimenti che bisogna quanto meno conoscere per poi decidere se effettivamente adottare sistema. Quindi è un’impostazione un po’ nuova.
Se siete interessati ad approfondire le corrette modalità di adeguamento dei vostri strumenti e canali online al GDPR 2018, scrivete a sara@noetica.it per ricevere indicazioni e richiedere una consulenza personalizzata.