Pag.1 Circolare n. 12 del 19 aprile 2018 Gli adempimenti per il rispetto della privacy ora diventano sostanziali Gentili Clienti, proseguiamo con la pubblicazione dei brevi testi redatti dall Avv. Fabrizio Mutti dello Studio Legale Mutti, con lo scopo di aiutarvi a comprendere meglio la rivoluzione che sta avvenendo sul tema della privacy e del trattamento dei dati personali, a cui tutti gli operatori economici sono tenuti ad adeguarsi entro il prossimo 25 maggio 2018. Il testo di oggi si focalizza sul concetto di accountability, che possiamo tradurre come responsabilizzazione del titolare e del responsabile del trattamento dei dati personali a fare in modo che i dati personali dei propri clienti siano effettivamente al sicuro: tra poche settimane non sarà infatti più sufficiente a evitare sanzioni l approccio spesso solo formale previsto dall attuale Codice della Privacy. Ricordiamo che per richiedere approfondimenti o una consulenza personalizzata, potete contattare direttamente lo Studio Legale Mutti, sia telefonicamente al numero 02/51824085 o via posta elettronica all indirizzo e- mail info@studiolegalemutti.it. Alla luce delle numerose richieste di approfondimenti a appuntamenti che sono già pervenute, vi suggeriamo di fare in ogni caso una telefonata per evitare che venga perso del tempo prezioso, vista la prossimità della scadenza del 25 maggio. Buona lettura. Dott. Mosè T. Begotti
Pag.2 LA NUOVA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI ED IL QUADRO DELINEATO IN MATERIA DAL LEGISLATORE EUROPEO La disciplina introdotta dal GDPR in materia di protezione dei dati personali si caratterizza per l attenzione che viene posta sulla responsabilizzazione ( accountability ) dei titolari e dei responsabili del trattamento dei dati personali. In particolare, il quadro normativo delineato dal Legislatore Europeo delinea un sistema risk-based nel quale la valutazione dei rischi per i diritti e per le libertà degli interessati, derivanti dalle specifiche attività di trattamento dei dati personali, e tutte le misure concrete che andranno poste in essere sulla base di tale valutazione sono rimesse direttamente in capo a ciascun titolare. Saranno loro, quindi, e non i singoli legislatori o le Autorità Garanti nazionali, a dover determinare ed adottare in prima persona le misure e le procedure necessarie al fine di garantire una corretta applicazione del Regolamento. Dal testo del Regolamento emerge chiaramente, infatti, che è un preciso intento del Legislatore Europeo quello di responsabilizzare i titolari del trattamento (e quindi di spostare su di essi la responsabilità delle scelte e delle azioni relative al trattamento dei dati personali). A ciò consegue che i titolari saranno tenuti ad adottare, innanzitutto, dei comportamenti proattivi in grado di garantire il rispetto del Regolamento stesso in tutte le fasi del trattamento: spetta, in poche parole, ai titolari decidere autonomamente le modalità, le garanzie ed i limiti da applicare ai trattamenti dei dati personali effettuati.
Pag.3 Con l espressione inglese privacy by default and by design si fa proprio riferimento a due criteri introdotti dal Regolamento che i titolari dovranno seguire ed a cui dovranno sempre attenersi nell applicazione pratica della disciplina. In particolare, con l espressione privacy by design, il Regolamento Europeo richiama l attenzione dei titolari sull esigenza che la protezione dei dati personali venga garantita fin dalla progettazione. A questo proposito, l articolo 25 paragrafo 1 del Regolamento stabilisce che: il titolare del trattamento dei dati personali deve adottare delle misure tecniche ed organizzative idonee a dare concreta attuazione a quelle che sono le disposizioni ed i principi in materia di protezione dei dati e garantire, in questo modo, i diritti degli interessati. Una delle particolarità di questa norma sta nel fatto che la predisposizione delle misure necessarie è prescritta sia nel momento in cui il titolare del trattamento deve determinare i mezzi del trattamento stesso, sia quando pone in essere le vere e proprie operazioni di trattamento. Va ricordato, ad ogni modo, che ciascun titolare, nell attuare le misure previste, dovrà sempre tener conto dello stato dell arte, dei costi di attuazione, della natura, dell ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei diversi rischi aventi probabilità e gravità variabili per i diritti e le libertà delle persone fisiche. Questo significa, in concreto, che il titolare non sarà compliant (in regola) se applicherà delle misure standard e predeterminate a diverse tipologie di
Pag.4 trattamento, ma dovrà sempre procedere ad un analisi realistica e specifica del singolo contesto di riferimento. Il secondo concetto introdotto dal GDPR, sempre all articolo 25, è invece quello di privacy by default. Con questa espressione il legislatore europeo ha affermato la necessità che la protezione dei dati personali sia garantita per impostazione pre-definita. Intanto, ne deriva che tutte le valutazioni che il titolare del trattamento deve affrontare in tema di protezione dei dati personali devono essere compiute a monte, cioè prima di procedere al trattamento dei dati vero e proprio. Seguendo il criterio della privacy by default, infatti, il titolare deve svolgere un analisi preventiva della situazione complessiva ed adottare un approccio pratico che si dovrà, a sua volta, concretizzare in una serie di attività specifiche e dimostrabili. Le soluzioni a cui il titolare del trattamento potrà affidarsi potranno consistere, ad esempio, nella riduzione al minimo del trattamento dei dati personali, nella pseudonimizzazione dei dati personali, nella massima finalità, nella massima trasparenza sulle finalità e sulle modalità del trattamento di dati personali, nel consentire all interessato di controllarne il trattamento rendendo facilmente ed effettivamente esercitabili i diritti previsti dal Regolamento. Inoltre, il titolare dovrà attenersi a questi criteri in tutte le fasi di trattamento: nella fase dello sviluppo, della progettazione, della raccolta, della selezione e dell utilizzo di dati personali e sempre alla luce di un attenta analisi del contesto specifico di riferimento.
Pag.5 Infine, l articolo 25 del GDPR incoraggia l adozione di appositi meccanismi di certificazione (nonché di sigilli o marchi specifici) della protezione dei dati personali, aventi la precisa funzione di consentire ai titolari ed ai responsabili del trattamento dei dati di dimostrare la conformità dei trattamenti che sono stati posti in essere dal Regolamento. Meccanismi di certificazione che, per il momento, non sono ancora stati previsti né definiti in modo più concreto, ma che, qualora resi reali, potranno senz altro costituire un importante punto di riferimento per le aziende e uno strumento fondamentale per dimostrare la propria compliance. Cordialmente. Avv. Fabrizio Mutti