Alla vigilia dell’entrata in vigore del Regolamento europeo in materia di protezione dei dati personali (Regolamento UE/2016/679), anche conosciuto con il suo acronimo inglese GDPR (General Data Protection Regulation– Regolamento UE 2016/679), si è svolto ieri a Bologna l’incontro dei Responsabili della Protezione dei Dati (RPD) con il Garante per la protezione dei dati personali dal titolo: “Il Garante incontra i Responsabili della Protezione dei Dati (RPD). Prime indicazioni per l’attuazione dei compiti e per la definizione delle modalità di relazione con l’Autorità”
Obiettivo dell’iniziativa è stato offrire a queste nuove figure, considerate centrali nel processo di attuazione del principio di “responsabilizzazione” (accountability), le prime indicazioni utili per l’attuazione dei compiti e per la definizione delle modalità di relazione con l’Autorità.
L’appuntamento, organizzato in collaborazione con Regione Emilia Romagna e Lepida SpA, ha visto la partecipazione dei Responsabili della protezione dei dati, sia pubblici che privati, rientrava in un più ampio progetto promosso dall’Autorità per favorire la conoscenza delle nuove norme e offrire supporto nell’attuazione degli adempimenti previsti dal GDPR.
“L’Emilia Romagna si è dotata dell’ADER, l’Agenda digitale per lo sviluppo della società digitale al 100% entro il 2025. Dobbiamo riuscire a far convivere il progresso tecnologico e l’innovazione con la protezione dei dati personali – ha affermato nei saluti istituzionali Andrea Orlando, Capo Gabinetto Presidenza Giunta regionale Emilia Romagna – dobbiamo creare una comunità di enti pubblici che condivida esperienze e buone pratiche, in grado di confrontarsi sul tema della privacy e del GDPR, coinvolgendo tutti gli enti, anche quelli più lontani”.
“Una nuova professione nasce direttamente dal nuovo regolamento europeo sul trattamento dei dati, con l’esigenza di sottolineare la centralità del ruolo nel nuovo sistema di garanzie reso possibile dal GDPR e testimoniare il nostro impegno per un rapporto di collaborazione amichevole e non episodico. Un rapporto destinato a crescere ed intensificarsi, dal momento che nel nuovo quadro giuridico siamo indotti tutti a ripensare i nostri ruoli, a spingersi oltre la mera osservanza della norma vissuta come un adempimento burocratico.
Una tentazione che ancora emerge in questi giorni.
Nel corso di questi ultimi due anni abbiamo fatto tanti incontri con le imprese, le organizzazioni, le amministrazioni a ogni livello, ma gli interessati a questa riforma sono i cittadini europei, non ci sono categorie, perché al centro del provvedimento c’è un diritto fondamentale e come tale appartiene a tutti, indistintamente”, ha affermato Antonello Soro, Presidente del Garante per la protezione dei dati personali, nel suo intervento dal titolo “Il ruolo del responsabile della protezione dei dati nel nuovo assetto normativo”..
“Siamo di fronte ad un processo di aggiornamento dell’ordinamento in un ambito internazionale, ad un tentativo di governo dei processi di trasformazione digitale che era mancato per una sorta di sottostima da parte dei decisori globali, rispetto allo sviluppo impetuoso delle tecnologie che sta cambiando il mondo.
È un mutamento che si snoderà lungo un percorso che il Garante cercherà di governare, nella consapevolezza delle difficoltà e delle opportunità che esso comporta, per consentire alle amministrazioni e le organizzazioni di stare al passo con l’innovazione e le sfide di un’economia fondata sui dati.
I dati sono le persone, rappresentano la loro vita, quindi tutelarli è un diritto fondamentale e noi dobbiamo cogliere tutto quello che di positivo potrà venire”, ha precisato Soro.
“Il diritto alla protezione rappresenta una garanzia di libertà nella società digitale e vive in dialettica con una realtà in continua evoluzione perché esposta all’innovazione tecnologica.
Esiste quindi l’esigenza di adeguare il diritto ad una realtà profondamente mutata dalla sostanziale trasposizione dell’offline sull’online, che ha finito questa nuova dimensione per costituire una dimensione della vita. Una dimensione in cui si dispiega tutta la nostra esistenza, giuridica e pubblica.
Il GDPR include nel suo raggio di azione anche i grandi attori dell’economia digitale, che hanno sinora operato in regimi di autonomia, in virtù della loro attrazione verso ordinamenti più inclini al mercato. Tale aspetto evidenzia un processo di universalizzazione del diritto alla tutela dei dati personali.
Ne deriva un modello giuridico di garanzia basato su autorità indipendenti, snodi di una rete dell’Unione e parti di un comune progetto costituzionale europeo. Le autorità assumono anche un ruolo regolatorio di questo interesse generale e del suo bilanciamento con altri interessi primari, tra cui la sicurezza pubblica, nazionale e cibernetica, un’iniziativa libera tanto quanto rispettosa della dignità, un mercato concorrenziale, l’efficacia di scienza e medicina, l’autonomia dell’informazione.
Il trattamento dei dati deve essere posto al servizio dell’uomo, della persona”.
“C’è l’impegno verso le piccole e micro imprese di grande collaborazione per vivere questa riforma come una grande occasione per guadagnare competitività e reputazione. È un passo indispensabile per vivere nel modo giusto la trasformazione digitale”.
Il Presidente del Garante ha poi parlato del decreto legislativo in materia di privacy, in discussione in Parlamento. “Il mio auspicio è che si definisca prestissimo”, ha spiegato.
“In realtà io confidavo che si potesse arrivare alla data del 25 maggio con il nuovo decreto legislativo approvato perché il tempo di lavorazione da parte dei vari ministeri è stato molto lungo, la commissione lo sta esaminando. Capisco le esigenze di approfondimenti, ma rivolgo un appello al Parlamento con molto rispetto e sommessamente: che si faccia presto”.
“L’idea che da domani ci possa essere una sopravvivenza di norme sulle quali il legislatore è in cammino, non va bene”.
“Abbiamo avuto due anni per prepararci a questo momento. Il 24 maggio è arrivato e in troppi si sono ricordati tardi di questo passaggio, sulla comunicazione da fare entro la vigilia. Antonello Soro mandò una lettera a tutti i vertici degli enti istituzionali, dicendo alla Pubblica amministrazione guardate che manca un anno e c’è una serie di cose da fare e vi diamo delle priorità. Al primo posto c’era la nomina del Responsabile della protezione dati”, ha ricordato Francesco Modafferi, Dirigente Dipartimento realtà pubbliche e Dipartimento sanità e ricerca, nel suo intervento dal titolo “La mappa degli obblighi del titolare e del responsabile derivanti dal regolamento dopo la riforma”.
“Il Rapporto tra l’Autorità e i Responsabili della protezione dei dati è la vera novità di questo Regolamento europeo, un rapporto che deve essere aperto, cordiale e continuo. Pubblico e privato usano i dati in egual misura e lo faranno in misura crescente. La differenza è che pensando al dato si può immaginare o una persona o una risorsa. Noi dobbiamo sempre porsi nell’ottica che dietro il dato c’è sempre una persona. Il regolamento tra poche ore entra in vigore e si passa dalla teoria alla pratica. I Responsabili della protezione dei dati dovranno essere i veri protagonisti di questa esperienza”.
I DPO devono fare rete, ha poi precisato Modafferi perché “il trattamento dei dati è un gioco di squadra, un confronto collettivo e solo dopo un lavoro del genere è possibile chiedere eventualmente supporto al Garante”.
È inoltre fondamentale anche usare un linguaggio semplice, esplicito e chiaro, “a partire dall’uso delle parole in italiano e non in inglese, in riferimento alla sigla GDPR ad esempio o DPO”.
Riguardo le regole, “il legislatore italiano è arrivato in ritardo all’appuntamento e non abbiamo avuto il decreto attuativo del GDPR, ma il regolamento non ha bisogno di questo passaggio per la sua entrata in vigore”, ha sottolineato il dirigente.
Quando parliamo di protezione dati parliamo di una dimensione europea e globale, “parliamo di imprese e persone che vivono e lavorano in tutto il mondo”. La protezione dei dati è ormai disciplina rispetto alla quale il legislatore europeo ha superato il suo corrispettivo nazionale.
“Chi tratta i dati tratta la vita nostra e dei nostri figli”.
Una delle prime parole chiave è “accountability”, intesa con le parole del Garante privacy, nel senso di “adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento”. “Prima la disciplina del codice si basava su verifiche preliminari ora spetta al titolare, che ha maggiore autonomia ma anche l’onere di dimostrare il valore delle proprie decisioni”, ha detto Modafferi.
“Bisogna concentrarsi sul metodo, nella ricerca di un metodo per affrontare le questioni relative al nuovo Regolamento.
Regolamento che prevede anche le clausole di flessibilità, forse il suo aspetto più complesso, per meglio permettere al testo di adeguarsi alle diverse particolarità dei singoli Stati, che in certi ambiti devono avere una maggiore autonomia di intervento”.
A non poter essere più utilizzate sono le norme preesistenti incompatibili con il nuovo Regolamento, le altre continueranno ad esistere e ad essere applicate.
Avere una bozza ufficiale del decreto attuativo è meglio di niente. Un lavoro eseguito da una commissione di esperti, che ci dice appunto quali sono gli articoli compatibili o meno con il Regolamento.
Altro elemento fondamentale è “mantenere il controllo della situazione”. Sta all’autorità e ai Responsabili mantenere la calma e concentrarsi sulla fase organizzativa. Riguardo agli “obblighi”, questi non sono più “solamente” in capo al titolare, ma anche dei Responsabili. Il Regolamento cita entrambe le figure.
Modafferi ha poi citato la “privacy by design”, una visione per la protezione dei dati personali che portano a modeli efficaci e su misura: “che riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche di supporto. Questo implica la messa in atto di determinati meccanismi i quali garantiscono il trattamento esclusivo di dati personali necessari per quella specifica progettazione”.
“A partire dal 25 maggio diventeremo tutti autorità di controllo. Lo sportello unico semplificherà il rapporto con tali autorità”, ha affermato Antonio Caselli, Servizio relazioni internazionali e con l’Unione europea nel suo intervento “La dimensione europea del trattamento”.
Tre gli argomenti chiave: trasferimento di dati verso Paesi terzi, governance e sanzioni. Riguardo il trasferimento dati, se ne parla solo nel caso di un processo verso un Paese terzo, ad esmepio un fornitore di servizi cloud. In questo caso si ha un trasferimento di dati e in questo caso servono delle tutele, con garanzie chiare anche in caso di determinate deroghe.
Per le sanzioni, quelle pecuniarie stabilite nell’articolo 83 RGPD sono previste nel caso in cui il Responsabile individua violazioni di principi fondamentali del trattemento dei diritti interessati, fiono al 2% e al 4% del fatturato mondiale totale annuo, sempre tenendo in considerazione il livello di collaborazione del soggetto.
In tema di sicurezza, si osserva che l’articolo 32 del Regolamento prevede diversi aspetti e strumenti: registri dei trattamenti, analisi dei rischi, misure di sicurezza, gestione dei data breach, condici di condotti, certificiazioni, data protection by design/by default.
Quando parliamo di sicurezza, ha spiegato Cosimo Comella, Dirigente Dipartimento tecnologie digitali e sicurezza informatica, nel suo intervento su “La dimensione tecnologica del trattamento”, la troviamo declinata in vari modi e anche nelle premesse del regolamento se ne fa riferimento.
Per avere un quadro generale più completo, si deve arrivare all’articolo 5, in cui si vede che i dati devono essere trattati con la massima sicurezza, anche mediante misure specifiche.
Nell’articolo 30 c’è uno degli strumenti più efficaci nelle attività di trattamento, mentre misure di siurezza vere e prioprie sono nellarticolo 32.
“La pseudonimizzazione potrebbe abilitare determinati trattamenti in passato non permesse dal codice.
Le vecchie misure di sicurezza termineranno alla mezzanotte di oggi, fermo restando cosa accadrà soprattutto in ambiti specifici, perché saranno sostituite dal nuovo Regolamento”.
L’analisi dei rischi è propedeuticaalla valutazione delle misure da intraprendere. Non è una misura nuova, essendo stata prevista per anni quale obbligo e misura minima di sicurezza.
“Il data breach, la violazione dei dati personali, comporta la distruzione, la perdita, la modifica, la divulgazione non autoraizzata o l’accesso ai dati personali tramsessi, conservati o trattati”, ha ricordato Comella.
“Il regolamento Ue estende l’obbligo di notificazione dei data breach a qualsiasi settore. Fondamentale la trasparenza, nella tenuta dei registri, nella motivazione delle scelte”.
“La sicurezza”, ha precisato il dirigente, “non ha la missione di proteggere il dato o il sistema informatico, gli strumenti non sono gli antivirus o i firewall, ma il perimetro della sicurezza è molto più ampio e deve avere come riferimento la protezione complessiva del trattamento e assumono importanza gli aspetti organizzativi non solo tecnici”.
Nella seconda parte della giornata, alla ripresa dei lavori, Gianluca Mazzini, Direttore generale di Lepida S.p.A., ha introdotto gli interventi del pomeriggio sul GDPR, evidenziando che: “Stiamo affrontando delle norme complicate, che incidono sia sul pubblico, sia sul privato, e l’attenzione deve essere posta anche sul pubblico e privato ‘piccolo’. Noi siamo una società in house di 435 soci, con grandi comuni e grandi aziende sanitarie, che sul DPO possono anche muoversi autonomamente, sebbene siamo un sistema integrato con forti scambi, ma la preoccupazione principale va agli enti piccoli, va alle piccole imprese. Se facciamo un focus sugli enti piccoli, dobbiamo considerare che in Emilia Romagna, dal Comune di Zerba, di 85 abitanti, al Comune di Bologna che ne ha 350 mila, il GDPR è lo stesso e gli adempimenti sono gli stessi per tutti”.
“Per questo è necessario realizzare dei vademecum chiari per comprendere nel dettaglio come muoversi e cosa fare. È assolutamente fondamentale per noi aver realizzato un meccanismo di offerta ai soci per la funzione di DPO e la parte dei registri di trattamento, nonché per la parte del data breach, ma anche per aiutarli a migliorare i processi. La sfida del digitale non è trasformare in digitale il preesistente, ma cambiare il modo di pensare, di farlo nativamente in digitale.
E in questo senso, quando si dice security by design, quando si inizia a pensare al cloud by design, quando si inizia a pensare che la progettazione in originale delle infrastrutture, dei sistemi, dei processi, dei software deve tenere conto dal giorno zero di tutte queste cose, allora stiamo cambiando proprio il modo di ragionare e di costruire.
Il GDPR va visto come un’opportunità, non solo per il presente, ma soprattutto per il futuro, di cambiare il nostro modo di scrivere, progettare e immaginare, e in questo senso, stiamo cercando di mettere insieme il piccolo e il grande, perché molte cose che fa il piccolo sono analoghe a quello che fa il grande”
Riguardo l’attività ispettiva, ha dichiarato Claudio Filippi, Dirigente Dipartimento attività ispettive nel suo intervento dal titolo “I poteri di controllo del Garante e il regime delle responsabilità connesse al trattamento dei dati”, “essa può essere definita come attività di accertamento in loco di situazioni di fatto, anche per fenomeni nuovi, in vista di una successiva regolazione da parte del Garante attraverso provvedimenti generali. Sono state 275 le ispezioni portata a termine nel 2017”.
Nel GDPR il Garante può chiedere a tutti qualsiasi tipo di informazioni, “anche con riferimento al contenuto di banche dati”.
È possibile fare “operazioni congiunte” con operatori di altri Paesi e “ogni azione ha bisogno di garanzie appropriate nello svolgimento di attività ispettive e di controllo”.
L’ispezione è possibile anche su retui di comunicazione accessibili al pubblico. Particolari accertamenti possono avvenire rispetto alle basi dati detenute dai servizi di informazione, “anche in caso di dati coperti da segreto di Stato”.
“L’azione ispettiva del Garante – ha proseguito Filippi – va pianificata attraverso una programmazione: si individuano i soggetti e le aree e poi le categorie produttive. L’ufficio individua i titolari dei trattamenti da sottoporre a controllo. Tutto è reso pubblico attraverso lo stesso sito del Garante.
L’azione è postata avanti non dal garante da solo, ma assieme ad altri soggetti, come la Guardia di Finanza, che aiuta nel reperimento di dati e informazioni, partecipando agli accessi, collaborando con l’autorità giudiziaria, fino alla disponibilità di un nuclero speciale frodi tecnologiche”.
Per l’applicazioni delle sanzioni ci sono una serie di principi: natura, gravita, durata, trattamento, numero di interessati e livello di danno. Queste sono alcune delle varibiali utili a capire che tipo di sanzioni applicare. Ci sono poi altri casi, come il grado di responsabilità, il grado di cooperazione, la categoria di dati interessati, il modo in cui l’autorità è venuta a conoscenza della violazione, l’adesione al codice di condotta, eventuali aggravanti.
Compiti, funzioni e ruolo del responsbaile protezione dei dati (RDP): “nei confronti del titolare, informare e fornire consulenza in merito agli obblighi derivanti dal regolamento; sorvegliare l’osservanza dello stesso, delle altre disposizioni rilevanti. Un Rpd insomma visto come figura poliedrica e trasversale, che deve conoscere l’attualità e i nuovi percorsi dell’innovazione tecnologica”, ha riferito Daniele De Paoli, Dirigente Dipartimento realtà economiche e produttive, nel suo speech “La gestione del rapporto del RPD con il Titolare/Responsabile del trattamento”.
“Grande valore hanno anchele associazioni di categoria, soprattutto quelle relative ai titolari di trattamento, con le quali va aperto un canale di comunicazione privilegiato, anche lavorando su nuove iniziative, o organizzando incontri con categorie più specializzate, dalla finanza alla ricerca, alle farmacie.
Sono tutti spazi particolari che vanno coperti e che possono aiutare a migliorare l’accountability”.
L’RPD deve essere couinvolto in tutte le questioni riguardanti la progettazione dei dati personali. È onore e dovere del titolare: sostenere l’Rpd nell’esecuzione dei suoi compiti, fornigli le risorse necessarie, permettere l’accesso ai dati personali e ai trattamenti, assicurare autonomia e libertà d’azione al Rpd.
Tra gli ambiti in cui l’RPD può esercitare da subito le proprie funzioni di informazione, consulenza e sorveglianza, troviamo: aggiornare le informative, designare i Responsabili del trattamento, provvedere alla redazione del registro dei trattamenti, a cui il DPO dovrà prestare particolare attenzione.
Il registro è un obbligo generalizzato e graverà anche sulla rete delle Pmi e le micro imprese.
Riguardo la valutazione d’impatto, all’RPD è stato affidato un compito particolare, cioè fornire un parere in merito alla stessa sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi della’rticolo 35.
Nell’intervento “La gestione del rapporto del RPD con gli interessati”, Riccardo Acciai, Dirigente Dipartimento reti telematiche e marketing e Dipartimento libertà di manifestazione del pensiero e cyberbullismo, ha elencato la lunga lista di diritti in gioco.
C’è il diritto di essere informati: “L’RPD è chiamato a collaborare nella redazione di quella che è la base di tutti i successivi diritti dell’interessato, ossia l’informativa.
Curerà anche le informative determinando quelle necessarie, curando la completezza e la sintesi, la comprensibilità e la loro facile reperibilità”.
Ci sono i diritti di tipo conoscitivo: “Il primo è quello di accesso. Rispetto al passato ci sono novità nel tempo di conservazione dei dati o riguardo i criteri per determinarli; e la possibilità di accedere ai dati trattati e ottenerne copia.
Il diritto d’intervento, noti come la rettifica dell’integrazione dei dati, della cancellazione dei dati, se trattati in maniera illecita, se non sono più necessari, se revocato il consenso.
Il nuovo elemento riguarda la cancellazione generalizzata dei dati raccolti nell’ambito dei servizi offerti da società dell’informazione”.
Sul diritto all’oblio c’è ancora tempo per ragionarci sopra e seguire la via dell’interpretazione, anche consideranto rapidità e cambiamenti dell’innovazione tecnologica.
Riguardo ai diritti legati all’evoluzione tecnologica, Acciai parla di “Diritto a non essere sottoposto ad un processo decisionale automatizzato, compresa la profilazione, che produca effetti giuridici o incida significativamente sulla persona, a meno che non sia necessaria per la conclusione di un contratto tra l’interessato e un titolare del trattamento; a meno che si basi sul consenso esplicito; a meno che non sia autorizzato dal diritto dell’Ue o dello Stato membro”.
C’è poi il diritto alla portabilità dei dati: “L’interessato, qualora il trattamento si basi sul consenso, o su un contratto, e sia effettuato con mezzi automatici, ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati persoanli che lo riguardano forniti a un titolare e di trasmetterli ad altro.
Non si applica però al trattamento necessario per l’esecuzione di un compito di interesse pubblico”.
È nelle modalità di esercizio dei diritti che l’RPD assume maggiore rilevanza: “Saranno date informative e comunicazioni n forma concisa, trasparente e intelleginile, facilmente accessibile, con un linguaggio chiaro e semplice; le informazioni sono fornite per iscritto, anche attraverso mezzi elettronici; se richiesto dall’interessato, le informazioni possono essere fornite oralmente.
Novità sono presenti sotto il profilo dei tempi, sino ad oggi il titolare aveva 15 giorni di tempo per rispondere all’interessato, il nuovo regolamento, per uniformare i termini, vuole un riscontro all’esercizio dei diritti entro 30 giorni”.
Sull’attività dell’RPD nell’ambito dell’esercizio dei diritti, suo ruolo è svolgere attività di contatto per le richieste dell’interessato: “L’interessato, in caso di reclami, ha il diritto di chiamare in causa l’autorità di controllo. I reclami saranno gratuiti e si ampliano i termini, cosa che fa entrare il procedimento in concorrenza con l’azione giudiziaria.
In occasione di ricorsi è chiesta la collaborazione dell’RPD nella predisposizione della difesa.
Oltre il 50% dei ricorsi sono relativi a non luogo a procedere.
L’RPD oltre ad essere un mediatore, funge anche da contatto tra titolare/responsabile e Autorità”.
Ultimo intervento è stato quello di Mario De Bernart, Dirigente Servizio affari legislativi e istituzionali: “La gestione del rapporto del RPD con il Garante”.
Il Responsabile per la protezione dei dati è citato in 10 norme. Soprattutto gli articoli 37-38-39, ma anche il 33 e 35, in relazione al data breach, altri ancora nel 47, sulle clausole vincolanti di impresa, nel 57, per quanto riguarda i conti del Garante, poi le linee guida dell’articolo 29.
I compiti relativi al rapporto col Garante: “cooperazione e punto di contatto, entrambi nell’articolo 39.
L’RPD facilita l’accesso del Garante a documenti e informazioni necessarie per l’adempimento dei compiti e dei poteri assegnati (articoli 57 e 58)”.
L’RPD è destinatario di chiarimenti su specifici adempimenti in capo al titolare/responsabile, tra cui la tenuta dei registri, la notificazione di eventuali data breach, o sulle istanze da questi presentate e coopera anche con il Garante nel corso di controlli, quindi ispezioni, verifiche e accessi.
Rilevante anche il ruolo del RPD in caso di consultazione preventiva: “L’RPD potrebbe aver espresso una valutazione diversa da quella del titolare e quest’ultimo deve tenere traccia dell’eventuale dissenso e delle motivazioni che l’hanno determinato”.
Riguardo le consultazioni, l’RDP può effettuarle relativamente a qualsiasi questione:
riguardo casi specifici all’attenzione dell’RPD per lo svolgimento dei propri compiti; preceduta da un’attenta disamina della questione e dei profili giuridici e applicativi; in caso di questioni aventi potenzialmente un impatto generale, è auspicabile che la consultazione avvenga all’esito di approfondimenti congiunti con altri DPO nelle sedi disponibili.
Come ben sappiamo, il decreto attuativo è in ritardo: “Il Governo l’ha presentato alle commissioni e ora inizieranno le audizioni, ma i tempi di allungano. Il decreto legislativo vedrà una prima scadenza della delega ad agosto 2018, ma c’è stata una proroga. Il nuovo Governo potrà attuare in definitiva lo schema di regolamento già per giugno, quando avrà in mano i pareri delle commissioni”.
