Dubbi sul nuovo GDPR? Ecco le risposte dall'avvocato Elena Zambon

Il General Data Protection Regulation, spesso abbreviato in GDPR, entrerà in vigore il 25 maggio 2018,

e porterà un importante cambiamento nella modalità di gestione dei dati da parte di privati ed aziende: abbiamo risolto i nostri dubbi grazie all'avvocato Elena Zambon, che ha accettato di rispondere alle nostre domande a riguardo.

1. A livello di impostazione generale, quali sono le due filosofie relative al decreto della privacy precedente e a quello attuale?

In generale, il Regolamento UE 2016/679, o GDPR, cambia profondamente l’approccio alla protezione dei dati personali, introducendo un innalzamento del diritto alla protezione di tali dati quale diritto fondamentale della persona umana.

Con il GDPR si passa da un sistema in cui le imprese dovevano adeguarsi alle cd misure minime di sicurezza ad un sistema di responsabilizzazione in cui ciascun titolare del trattamento è responsabile, secondo il principio di accountability, della adeguatezza delle misure che adotta nella sua impresa (o ente) in funzione dei tipi di dati che tratta e dei trattamenti che effettua.

Inoltre GDPR introduce una normativa uniforme in tutti i paesi dell’Unione Europea con lo scopo eliminare la frammentazione interna e questo porterà talune semplificazioni a tutti i cittadini (e alle imprese) sotto il profilo dei rapporti con le Autorità Garanti.

2. Quali sono i cambiamenti più importanti del GDPR, rispetto alle normative precedenti?

Il regolamento ha portato molteplici innovazioni non solo per i cittadini ma anche per le aziende, gli enti, le associazioni e i liberi professionisti.

Una delle novità rilevanti è l’introduzione del principio di accountability, cioè di responsabilizzazione del titolare e di nuovi diritti per i soggetti coinvolti, tra cui il diritto all’oblio e alla portabilità dei dati. Il GDPR introduce inoltre l’obbligatorietà, ad alcune condizioni, della figura del DPO (Data Protection Officer); prevede i principi di “Privacy by Design” e “Privacy by Default”, i quali implicano che i trattamenti dei dati debbano essere concepiti sin dal momento della loro ideazione nel rispetto dei requisiti del Regolamento; introduce anche l’obbligo per il titolare del trattamento dei dati di comunicare le violazioni del GDPR sia all’Autorità Garante entro massimo 72 ore dal momento in cui ne è venuto a conoscenza, sia al soggetto interessato, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà.

3. Con le nuove normative sulla privacy, per le piccole e medie aziende sarà necessario avvalersi di un consulente esterno, con conseguente aumento dei costi amministrativi?

Probabilmente le piccole e medie aziende dovranno affrontare dei costi per adeguarsi al GDPR derivanti anche dalla necessità di farsi assistere da consulenti esterni nell’implementare le misure adeguate all’interno dell’impresa, in assenza di specifiche professionalità interne.

Il coinvolgimento di esperti esterni legal ed IT in tema di data protection è spesso ineludibile.

Ci potranno essere anche dei costi derivanti dall’adeguamento tecnologico necessario per garantire la sicurezza dei dati; inoltre, a talune condizioni, i titolari del trattamento dovranno anche nominare il DPO, Data Protection Officer.

Tuttavia è necessario anche chiedersi: quanto costerà a un’azienda non adeguarsi?

Il Regolamento prevede sanzioni anche molto pesanti arrivando a multe pari al valore più alto tra 20 Milioni € e il 4% del fatturato mondiale dell’impresa (o ente) che non è in regola con le norme.

4. Quale tipo di specifica formazione devono possedere i responsabili aziendali per soddisfare le normative del nuovo GDPR?

La formazione richiesta implica competenze di tipo legale, specifiche in materia di Data Protection.

Il GDPR considera anche la formazione di tutto il personale in materia di “data protection” un’importante misura di sicurezza per la protezione dei dati personali.

Il Regolamento, infatti, pone in capo al titolare e al responsabile del trattamento dei dati degli obblighi di formazione del personale aziendale in materia di privacy, il cui assolvimento è sorvegliato dal DPO, ove tale figura sia presente. L’obbligo di una formazione generale in tema di data protection riguarda tutto il personale coinvolto ai vari livelli nel trattamento dei dati ed è più stringente per coloro che devono gestire o hanno ruoli di responsabilità in tema di protezione dati.

5. Quante persone, all’interno dell’azienda, è consigliabile che siano impegnate nella gestione del nuovo GDPR?

Non c’è una risposta “universale” alla domanda, valida per tutti.

Il Regolamento prevede che sia il titolare del trattamento dei dati a determinare le finalità e i mezzi del trattamento di dati personali. Qualora si tratti di una persona giuridica (ad esempio, una società), titolare del trattamento è sempre la persona giuridica.

In linea di principio è opportuno che vi sia almeno un soggetto apicale responsabile di gestire e coordinare le attività connesse con il GDPR (il cosiddetto GDPR Manager); la persona o il team individuato può essere un soggetto interno od anche esterno (quindi un amministratore o dipendente qualificato o un professionista esterno); ciò che conta è che abbia le necessarie competenze specifiche in materia di GDPR. E’ poi necessario coinvolgere anche il responsabile IT dell’impresa (sia esso interno o esterno) per i profili legati alla sicurezza tecnologica dei dati e, nelle organizzazioni più complesse, il responsabile organizzativo. La normativa, infine, prevede in determinati casi l’obbligo della designazione di un DPO.

In tutti i casi va ricordato che tutti coloro che trattano i dati per conto del titolare devono essere formati ed istruiti sul trattamento in modo conforme al GDPR e sono quindi a vario titolo coinvolti nella “gestione” del GDPR.

6. Chi è la nuova figura del DPO, quando è necessaria, quali compiti assolve e come è possibile individuarla all’interno di un’azienda?

Il DPO è un soggetto che deve avere specifiche conoscenze legali in materia di data protection. Può anche essere una risorsa esterna all’azienda od un team di professionisti. Il DPO ha il compito di informare e consigliare il titolare o il responsabile del trattamento ed i dipendenti in merito agli obblighi riguardanti la protezione dei dati, verificando il rispetto e l’implementazione della normativa.

E’ necessario ricordare, tuttavia, che la nomina del DPO è obbligatoria solo nei casi in cui le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala oppure consistono nel trattamento, su larga scala, di dati sensibili o di taluni dati giudiziari.

7. Il registro dei trattamenti dati del nuovo GDPR, obbligatorio in casi di aziende con 250 dipendenti e in imprese che trattano dati sensibili, è preferibile anche per altri tipi di imprese?

Il GDPR prevede l’obbligo di redazione e adozione del registro dei trattamenti dati per imprese o organizzazioni con più di 250 dipendenti o che trattino dati sensibili, tuttavia la sua redazione può essere utile anche ad altri tipi di imprese, in quanto tale adempimento può essere un valido strumento volto alla pianificazione e controllo della politica della sicurezza dati interna all’azienda e alla documentazione dela attività svolte. Si tratta di una scelta demandata a ciascun titolare, che va di volta in volta valutata.

8. La normativa mira a responsabilizzare chi tratta i dati e a lasciarlo libero di decidere quali misure adottare, ma questa libertà non rischia di creare incertezza sulla validità dei trattamenti scelti?

Il GDPR non parla di “misure minime” e non definisce misure specifiche da adottare lasciando al titolare del trattamento ampia discrezionalità nella definizione e scelta delle misure più efficaci per garantire la sicurezza dei dati. Tale approccio, apparentemente molto discrezionale, va letto in relazione alla preventiva valutazione dei rischi che il titolare deve fare. Le misure da adottare dunque saranno proporzionali ai tipi di trattamento effettuati e ai rischi specifici che tali trattamenti comportano.

9. Per mettersi in regola con il nuovo GDPR, che prevede l’utilizzo dei dati solo strettamente necessari all’operatività, un’azienda come può giustificare gli investimenti di marketing?

E’ normale quindi che tutte le imprese si chiedano quale impatto avrà il nuovo GDPR sulle attività di marketing. Tuttavia l’introduzione del GDPR non impedisce in alcun modo l’attività di marketing, si limita a richiedere il rispetto delle regole sottolineando anche il concetto (al considerando 47) che il titolare del trattamento può avere un legittimo interesse a “trattare dati personali per finalità di marketing diretto”. Per certi versi, il GDPR semplifica l’attività di coloro che si occupano di marketing: basti pensare che si potrà far riferimento ad un’unica Autorità per ogni questione correlata al trattamento dati personali, non importa quanti e quali paesi della Ue siano coinvolti.

Tali nuove disposizioni possono rappresentare in effetti un'opportunità per migliorare la qualità dei servizi offerti dalle aziende di marketing, in un’ottica di trasparenza e rispetto dei clienti.