Il GDPR porta maggior libertà e responsabilità

Il tema della protezione dei dati personali, più noto come privacy, ha trovato una sensibilità mediamente tiepida a fronte di una legislazione tutto sommato robusta, il D.lgs 196/2003 e s.m.i. Dopo 15 anni di validità, il Decreto legislativo andrà definitivamente in pensione il 25 maggio 2018, quando sarà applicabile solo il Regolamento UE 2016/679, noto come GDPR (General Data Protecion Regulation).

Possibilità di scelta e inasprimento delle sanzioni

Cambia infatti l’impostazione che da elenco di adempimenti, che le imprese applicavano in modo più o meno diligente e completo, passa a un sistema il cui livello di severità è stabilito dalla singola azienda in funzione dei rischi che derivano all’interessato in caso di perdita, manomissione, commercio dei dati e altri atti illegali operati da soggetti non autorizzati. L’ipotesi di atti illegali, che fino a pochi anni fa poteva essere ritenuta un’eventualità da film di fantascienza, oggi è quanto mai reale e basta leggere i normali giornali, senza neanche ricorrere alle riviste specializzate, per averne evidenza.

La ragione principale è la crescita smisurata che ha avuto negli ultimi anni internet e tutta la tecnologia ICT; oggi infatti si parla tranquillamente di profilazione, Impresa 4.0, Big data e altro, ma tutto ciò che la tecnologia consente di fare oggi, con quale livello di sicurezza può essere fatto? È evidente che le misure minime di sicurezza prescritte dal D.lgs 196/2003 con l’allegato B (29 punti poi ridotti a 27) sono oggi assolutamente inadeguate.

A fronte di questa constatazione il Legislatore aveva due scelte: fare una lista infinita di misure da attuare, lista sicuramente eccessiva per alcune realtà e destinata comunque a diventare obsoleta in breve tempo, oppure responsabilizzare il Titolare del trattamento obbligandolo a fare un’analisi dei rischi legati ai trattamenti da lui effettuati e a disegnare un sistema di sicurezza dei dati coerente con detta analisi. È evidente che l’unica scelta percorribile era la seconda.

Per controbilanciare una simile libertà di scelta, e non solo per questo, il Legislatore ha inasprito le pene in modo molto pesante: nel GDPR le sanzioni amministrative, per esempio, possono arrivare fino a 20 milioni di euro o al 4% del fatturato del gruppo!

La metodologia del Risk management

Con questa impostazione, la legislazione sulla privacy si allinea alla tendenza in atto in molti altri sistemi. Facciamo gli esempi più comuni: l’edizione 2015 della norma ISO 9001 sui Sistemi Qualità è impostata sull’analisi preventiva dei rischi per la qualità e sul conseguente dimensionamento del sistema in funzione dei rischi definiti, lo stesso vale per la ISO 14001 relativa ai sistemi di gestione ambientale e lo stesso varrà per la ISO 45001 relativa ai Sistemi di gestione della salute e sicurezza sul lavoro (SGSSL) di imminente pubblicazione in sostituzione della OHSAS 18001.

Anche il D.lgs 231/01 relativo alla responsabilità amministrativa delle persone giuridiche è fortemente impostato sulla metodologia del Risk management; prevede infatti la definizione di un modello in cui sono analizzati i rischi di commissione di reati e sono stabilite le corrispondenti misure di prevenzione oltre alla creazione di un organismo che vigili sull’applicazione e sull’adeguatezza del modello.

Questi vari sistemi di Risk management sono anche tra di loro collegati. Per esempio l’adozione e la dimostrabile efficace attuazione di un SGSSL riconosciuto ha valore esimente della responsabilità amministrativa dell’ente di cui al D.lgs 231/2001; in pratica in caso di incidente sul lavoro grave (sulla base del D.lgs 231/2001), l’azienda è esentata dalle pene interdittive se può dimostrare di avere definito ed efficacemente attuato un SGSSL “riconosciuto”, cioè dei tipi definiti all’art. 30 del D.lgs 81/2008.

Un concetto simile, anche se non analogo, ritroviamo nel GDPR: una delle novità introdotte dal GDPR rispetto al D.lgs 196/2003 è che in caso di violazione dei dati personali (data breach) che comporti un rischio per i diritti degli interessati, l’azienda ha l’obbligo di notificare l’accaduto al Garante e, se il rischio per gli interessati è elevato, ha l’obbligo di notifica anche agli interessati, con danno di immagine incalcolabile; ebbene, l’obbligo decade se l’azienda ha messo in atto misure preventive che rendono incomprensibili i dati (art. 34, comma 3).

Per tutte queste ragioni il GDPR prescrive (art. 35) che l’analisi dei rischi sia condotta in termini di valutazione dell’impatto che un incidente sui dati ha sull’interessato. Il WP29 a livello europeo e il Garante per la protezione dei dati personali a livello italiano sono attivi per definire metodologie di effettuazione della Valutazione di Impatto, e hanno già emanato documenti che indicano in quali casi e con quale metodo condurre una DPIA (Data Protection Impact Assesment). Sul metodo si può dire che i documenti in questione sono ancora piuttosto acerbi.

Orientarsi al miglioramento continuo

Si tratta veramente di gestire un sistema, ovvero analizzare i rischi, pianificare misure di prevenzione, operare secondo dette misure, controllare, reagire agli scostamenti; il tutto ha come conseguenza anche il miglioramento continuo del sistema. Per gestire un sistema occorre un gestore ed ecco che il GDPR prescrive, quando ricorrono determinate condizioni, la nomina di un Data Protection Officer (DPO) che supporti il titolare del trattamento nella individuazione delle soluzioni più idonee e nella loro attuazione.

Molte sono le conseguenze dell’impostazione sul Risk management sul testo del Regolamento, che prescrive alcuni adempimenti nuovi nei contenuti e soprattutto nella concezione, quali per esempio la privacy by design e la privacy by default: ogni volta che viene disegnato un processo gestionale che richiede il trattamento di dati personali, già in fase di progettazione del processo si deve tener conto dei requisiti del GDPR, al contrario di quanto si è generalmente fatto finora.

In conclusione: maggiori responsabilità nel decidere come attuare gli adempimenti, maggiore complessità del sistema, maggiori sanzioni in caso di inadempienza. E il 25 maggio 2018 è alle porte. Chi non lo avesse ancora fatto conviene che si metta all’opera subito. È importante anche evitare di cadere nella trappola opposta, cioè di imbastire un sistema troppo complesso, con tutte le conseguenze in termini di costi e di tempi.