Sap ha dedicato una giornata per fare il punto con le aziende sul loro stato di preparazione all’entrata in vigore del nuovo regolamento europeo sulla privacy, il Gdpr.
Come ha detto Stefano Ceccarelli, dell’Innovation team di Sap Italia “Parlando con molti dei nostri settemila clienti ci siamo accorti che ci sono punti non chiari, interpretativi, e a livello tecnologico“.
Ecco perché la società ha invitato a parlare Luigi Neirotti, avvocato, Senior Legal Counsel, CIPP/E di EY Law.
Neirotti, che si definisce “un avvocato d’affari” che da molto tempo si occupa di digital law e data protection, ha trattato gli argomenti più importanti, con particolare attenzione alla componente procedurale per organizzarsi al meglio e orientarsi nel labirinto dei requisiti.
GDPR, il 25 maggio inizia una nuova storia
Il GDPR diventerà efficace il 25 maggio, «ma non sarà il giorno del giudizio – ha detto Neirotti -. I garanti ricordano che si comincia da quel giorno un nuovo percorso. Quindi agli imprenditori dico di arrivarci preparati, ma sereni».
Analizzare il GDPR a tre mesi dall’entrata in vigore significa quindi esaminare da un lato i concetti generali del regolamento e dall’altro le linee guida approvate dai Garanti UE.
Il regolamento, infatti, contiene un nucleo di regole che incidono sulla normativa nazionale, ma non la sostituiscono completament: alcune rimangono in vigore. E la situazione di aggiornamento delle norme di completamento in Italia non è ancora terminata, come in Spagna.
A livello di concetto generale, il regolamento GDPR innanzitutto protegge i dati personali dei cittadini, per tutelarli dall’invadenza dello Stato prima, e poi delle imprese.
Dati sensibili e non
Perciò oltre a quelle tradizionali, da uso di nuove definizioni di dati personali. Ora diventa dato personale anche un identificativo online, oltre alle solite categorie di dati sensibili. Non sono ritenuti sensibili, invece, i dati economici e l’età. I dati genetici e biometrici lo sono, sia quelli statici (iride) sia quelli dinamici, come la camminata.
Una recente interpretazione dice che i dati delle imprese non rientrano nella categoria dei dati personali (fatturazione, iscrizione albi) ma essendo queste fatto di persone, hanno dentro i dati personali.
Il principio dell’accountability
Principio base del GDPR è l’accountability, che è fatto di responsabilizzazione e documentazione. Si tratta di un principio che supera l’asettico, eccessivamernte burocratico, trattamento della privacy del passato e ruota attorno le figure del titolare, del responsabile del trattamento e del Data Protection Officer (Dpo).
Con il GDPR si demanda al titolare del trattamento dei dati di scegliere quali sono gli strumenti adatti per implementare il regolamento. C’è quindi un’azione personale.
Come si applica il principio?
Il titolare del trattamento rimane tale, ma ora deve decidere come muoversi e documentare le siue azioni.
Il responsabile del trattamento è colui che lavora i dati. Ma i responsabili, osserva Neirotti, praticamente non ci saranno più internamente all’azienda, saranno esterni, in outsourcing. Con in più il fatto che la loronomina ora deve avvenire attraverso un contratto dettagliato.
Il Data Protection Officer è una figura consulenziale, dialoga con il titolare del trattamento e lo consiglia.
Principi da applicare in sequenza
Con il GDPR l’informativa e la base giuridica del trattamento dei dati rimangono, compreso il consenso, che però dovrà essere un’eccezione, in quanto in base a quanto detta ik regolamento non sarà facile ottenerno. Nella maggior parte delle ipotesi le imprese useranno i dati su un impianto che non prevederà l’acquisizione del consenso.
Approccio basato sul rischio: dato che il detentore dei dati personali è responsabilizzato, prima deve fare un assessment, sapere che dati personali ha in casa, poi creare il registro dei trattamenti e fare la valutazione di rischio dei vari trattamenti. E in questo contesto non esiste più il rischio minimo, ma il concetto di misura di sicurezza necessaria allo scopo.
Dopodiché si applicano i concetti richiesti di privacy by design e by default, che se fatti bene, osserva Neirotti, possono creare nuovi servizi di profilazione nel rispetto del regolamento.
Il log della trasmissione dei dati
La richiesta di accesso ai dati e di diritto all’oblio da parte del cittadino si applicano non solamente all’azienda chi riceve la richiesta, ma anche a coloro a cui quei dati sono stati trasmessi. In pratica, per ottemperare alla richiesta di cancellazione bisogna tenere il log della trasmissione dei dati. E quindi serve avere una infrastruttura di trasmissione dati il più possibile standard.
Attacchi, furti, smarrimenti, e sanzioni
Quando si subisce un attacco, va trasmessa al garante la cosiddetta Data breach notification. Ma non si parla solamente di un attacco infromatico. Diventa una data breach notificabile anche la banale perdita del computer: entro le 72 ore anche quesrta va notificata al garante l’evento, con dettaglio di quanto successo e sulle attività di mitigazione. Ma se il computer era crittato l’obbligo di notificazione non scatta.
E poi in alcuni frangenti, c’è da tenere la valutazione di impatto privacy: al ricorrere di determinate condizioni occorre descrivere i trattamenti e le misure di sicurezza con cui si intende trovare la soluzione: si va dal garante e si sottopone la valutazione di impatto.
Se non si fanno tutte queste cose, l’autorità applica le tanto temute sanzioni che, è bene ripeterlo, nella logica del regolatore non devono esseere punitive, ma dissuasive.
Per la Pubblica amministrazione si va su una scala che parte dalla diffida amministrativa, passa dalla tappa significativa dei 10 milioni di euro e arriva fino a 20 milioni di euro.
Per le imprese si va dal 2 al 4% del fatturato totale mondiale annuo.
Teniamo presente, osserva Neirotti, che nelle linee guida tradotte dal garante, il concetto di impresa è ampio e si guarda l’unitarietà di impresa, cioè al gruppo. Pertanto viene scoraggiato “isolare” le responsabilità di trattamento di dati a periferie del gruppo o a società controllate: la valutazione sarà fatta coralmente.
Situazione normativa italiana
Il Governo italiano ha ricevuto la delega dal Parlamento per abrogare le disposizioni del codice privacy incompatibili con il GDPR, modificare il codice privacy ove necessario, coordinare le disposizioni, adottate specifici provvedimenti. La delega scade il 21 maggio, sempre che si riesca a esercitarla, per via del rinnovo del Parlamento dopo le elezioni del 4 marzo.
Le sette cose da fare entro il 25 maggio
Gli adempimenti indispensabili da mettere in atto entro il 25 maggio secondo l’avvocato Neirotti sono sette.
Preparare il registro dei trattamenti scritto.
Verificare le informative e i consensi.
Fare un risk assessment.
Verificare di avere preparato misure di sicurezza adeguate.
Definire la governance privacy, ossia la squadra GDPR: il Titolare, i Responsabili del trattamento, il Data Protection Officer.
Prepararsi alla valutazione di impatto privacy definendo una metodologia.
Adozione di procedure in caso di perdita dei dati, portabilità e di richieste da parte degli utenti interessati (diritto all’oblio), che sono da soddisfare entro 30 giorni dall’arrivo della richiesta.