PERCHÉ SIAMO INVASI DA INSOPPORTABILI EMAIL SULLA PRIVACY? E SOPRATTUTTO: SIETE IN REGOLA CON IL REGOLAMENTO EUROPEO CHE ENTRA IN VIGORE OGGI? SE AVETE DATI DI CLIENTI, COLLEGHI, DIPENDENTI, ECC., POTRESTE ESSERE A RISCHIO DI ILLECITO PENALE. GLI AVVOCATI VI SPIEGANO COME FARE
Valentina Saini per www.glistatigenerali.it
Siete un libero professionista e non proteggete il vostro smartphone con un antivirus, né con la sequenza numerica per l’accesso? Oppure siete un’imprenditrice e in azienda tenete faldoni zeppi di contratti o liste clienti senza protezione, accessibili a chiunque? Allora sarà meglio informarsi un po’ perché, da domani, starete commettendo degli illeciti, anche penali.
Il 25 maggio, infatti, entra in vigore il GDPR, acronimo inglese che sta per General Data Protection Regulation (Regolamento generale sulla protezione dei dati). Sul sito della Commissione europea si legge che il regolamento punta a “rafforzare i diritti delle persone fisiche, rafforzare il mercato interno dell’UE, assicurare una maggiore applicazione delle norme, razionalizzare i trasferimenti internazionali di dati personali e definire degli standard globali in materia di protezione dei dati”.
Insomma, il GDPR riguarda tutti, inclusi i liberi professionisti, le PMI e le startup. E richiede delle azioni concrete per essere in regola. Non poche, per la verità. «Il principio fondamentale del GDPR è che i dati vanno trattati responsabilmente – dice a Gli Stati Generali l’avvocato Marco Maglio, uno dei massimi esperti italiani di privacy e protezione dei dati personali –. Tutto il regolamento è basato sull’analisi dei rischi e sulla prevenzione dei danni da trattamento dei dati».
Fondamentalmente, spiega l’avvocato lombardo, per trattare i dati in modo responsabile (e quindi in ottemperanza del GDPR) si deve «programmare bene la protezione dei dati onde evitare che si presentino delle conseguenze negative per coloro cui i dati sono riferiti. Analizzare i rischi che si determinano per tali soggetti quando vengono trattati i loro dati. E prevenire questi rischi con adeguate misure tecniche e organizzative». La normativa si rivolge a tutti: dalle multinazionali alle microimprese; dalle partita IVA alle pubbliche amministrazioni; dalle associazioni alle startup innovative. Riguarda le persone anche a prescindere dalla condizione lavorativa, perché «il GDPR ha applicazione estesa e tutela le ipotesi di trattamento dei dati anche al di fuori dell’ambito lavorativo» puntualizza Maglio.
Qualcuno potrebbe pensare che riguardi solo le aziende con una presenza in internet, ossia con un sito web. Non è così. Per capirlo, bisogna comprendere bene che cosa si intende per “dati personali”. «Secondo la definizione più generica il dato personale è qualunque informazione che riguarda una persona fisica, identificata o identificabile – spiega l’avvocato Tiziana Pica, esperta in privacy e data protection attiva a Roma – quindi ad esempio il nome, il cognome, il codice IBAN, il codice fiscale e anche una foto, se essa rende riconoscibili. Col GDPR però c’è una tutela maggiore, perché rientrano nei dati personali anche le impronte rilevate e registrate mediante i sistemi biometrici, o i dati che rilevano informazioni genetiche. Si pensi ad esempio ai sistemi di riconoscimento facciale».
Quindi anche installando un sistema di videosorveglianza senza i dovuti cartelli di avviso (peraltro già previsti in Italia dalle prescrizioni del Garante della privacy) si rischia di infrangere il GDPR. Del resto, il regolamento «si applica a prescindere dal fatto di disporre di un sito internet. Riguarda anche la semplice gestione di schedari, archivi cartacei, raccolte di fascicoli contenenti dati personali» nota Maglio.
Questo perché «in virtù del principio di accountability, cioè di responsabilizzazione – spiega Pica – ciascuno, all’interno di enti pubblici o privati, è richiamato alla massima attenzione: ognuno è responsabile del proprio operato. Faccio un esempio. Se una determinata persona all’interno di un’azienda o di una PA, sarà autorizzata al trattamento dei dati personali nell’area risorse umane, e nominata responsabile del trattamento di quei dati, sarà soggetta a una responsabilità solidale con il Titolare del trattamento (tipicamente l’ente). Inoltre, possono essere previste contrattualmente delle penali che responsabilizzano quella singola persona nell’eventualità di uno scorretto trattamento dei dati».
Ed ecco che dall’obbligo di tutelare i dati di cui si è titolari, nascono altri dati da proteggere, anche in formato cartaceo. Il GDPR infatti, prevede che i titolari del trattamento dei dati si dotino di un registro dei trattamenti, e che ne conservino una copia in formato digitale, e una cartacea. A questo punto «il Titolare del trattamento dei dati, anche in una piccola azienda, deve sapere quali dei suoi dipendenti hanno accesso, ad esempio, all’archivio nel seminterrato dove sono conservati i faldoni contenenti dati personali dei dipendenti, dei clienti, i registri delle transazioni commerciali e così via» nota Pica.
Occorre dotarsi, in poche parole, di un protocollo interno volto a sventare ab origine eventuali fughe di dati. «Ad esempio evitando di tenere archivi cartacei o faldoni accessibili a chiunque perché nel caso di un’intrusione da parte di terzi, una simile falla nella sicurezza può generare dei danni, anche molto gravi sia economicamente sia per l’immagine dell’ente pubblico o privato» aggiunge Pica.
Certo, un imprenditore o una professionista autonoma potrebbero pensare che piove sempre sul bagnato. Già in Italia fare business non è semplice: dall’eccesso di burocrazia alla pressione fiscale molto forte, dal costo del lavoro all’accesso al credito non proprio facile… l’arrivo di nuove norme da rispettare, e di nuovi provvedimenti da attuare, non è la più gradita delle novità. «Poco tempo fa ho dovuto investire per rendere il mio sito internet conforme alla normativa sui cookies – racconta il titolare di una srl unipersonale che preferisce restare anonimo –, e ora salta fuori che devo metter mano alla mia mailing list di clienti e proteggere tutti i dati di clienti e fornitori. Non è roba da poco, io sono praticamente da solo, faccio tutto io nella mia azienda».
Gli esperti sentiti da Gli Stati Generali invitano però alla calma, e sottolineano i molteplici aspetti positivi del regolamento. «Gli interventi di adeguamento devono essere commisurati alle dimensioni dell’azienda, ai costi sostenibili, allo stato dell’arte tecnologico – sottolinea Maglio. – . Il GDPR non richiede interventi radicali e spese folli, chiede solo di porre attenzione all’uso e alla conservazione dei dati raccolti. Occorre mappare i propri database, verificare se sono gestiti con adeguate misure di sicurezza tecniche e organizzative, attribuire adeguatamente i ruoli del trattamento dei dati, e documentare l’attività svolta».
Chi è iscritto a una newsletter negli ultimi tempi ha probabilmente ricevuto molte email contenenti la parola “privacy” nell’oggetto. Email in cui si chiede di esprimere nuovamente il consenso a ricevere la newsletter, e si chiarisce l’uso esatto che si farà dei dati personali dell’utente. Non è un caso. Ogni ente, pubblico o privato, con una lista di contatti per la propria mailing list deve adeguarsi al GDPR richiedendo un nuovo consenso al trattamento dei dati personali (se li sta trattando senza aver prima ottenuto il consenso secondo il decreto legislativo 196/2003, oppure nel caso in cui siano mutate o aumentate le finalità del trattamento).
A questo proposito «un altro aspetto importante del regolamento è il ruolo dell’informativa – spiega Pica –. Deve essere semplificata e concisa, ma al tempo stesso deve informare dell’utilizzo che si fa dei dati che si raccolgono. Se un’azienda trasferisce dati presso paesi terzi extra UE, o se tratta categorie particolari di dati, deve informarne gli interessati».
Con l’arrivo del GDPR infatti, si vuole evitare «che si creino i database dormienti di dati che di fatto non vengono neanche utilizzati dal loro titolare, ma che rappresentano comunque un rischio elevato – nota Pierluigi Perri, professore di informatica giuridica avanzata presso l’Università degli Studi di Milano –. Il punto è che detenere grandi quantità di dati aumenta chiaramente l’esposizione a rischi di data breach, ossia di violazione di dati. E qui stiamo parlando proprio di questo, di proteggere i dati».
Con la crescente diffusione di tecnologie come l’Internet of Things (IoT) e il machine learning, che si nutrono dei dati personali degli utenti per migliorare le loro performance, attrezzarsi per proteggere i dati di ciascuno è fondamentale. «Il GDPR nasce con l’idea di affrontare le sfide tecnologiche dei prossimi anni – afferma Perri –. Ad esempio, disciplina i processi decisionali automatizzati, pertanto i trattamenti di dati che portano a decisioni che incidono sulle persone, e che sicuramente vedremo crescere con applicazioni di machine learning, IA e simili».
Altro obiettivo è sventare casi come quello di Cambridge Analytica. «Si pone molta attenzione alla cosiddetta profilazione – continua Perri –, ossia all’analisi di comportamenti, preferenze e credenze degli utenti volta a incasellarli per scopi commerciali o di altro tipo, e che in effetti potrebbe anche condurre a una limitazione della libertà degli individui».
Anche Maglio esprime un giudizio positivo sul GDPR, sottolineando inoltre il valore economico dei dati nella knowledge economy (basti ricordare che nel 2011 l’allora commissaria europea per l’agenda digitale Neelie Kroes, aveva definito i dati “il nuovo oro”). «Le nuove norme portano le aziende, gli enti e le associazioni a valorizzare i dati, e a considerare il trattamento delle informazioni come un processo produttivo. Raccogliere e usare dati è un’attività fondamentale per la nuova economia e il GDPR nasce per favorire questo uso, non per limitarlo».
Perri nota che, attraverso il GDPR, l’UE punta anche a prendere il controllo dei dati prodotti al suo interno. «Oltre alle encomiabili intenzioni di proteggere i dati e le libertà ci sono certamente finalità economiche: pensiamo al famoso digital single market europeo. Ed è comprensibile, perché questi dati generano valore e proventi». In effetti, oltre a una maggiore e più informata cultura della privacy nell’era dell’iper-connessione, il GDPR comporta anche nuove opportunità di business, nonché figure professionali. Ad esempio il Data Protection Officer (DPO), un consulente incaricato di osservare, valutare e gestire il trattamento dei dati personali in modo da rispettare le norme sulla protezione dei dati.
Di cui però non dovranno dotarsi tutte le aziende, né i professionisti o le partite IVA. «Un ente pubblico sarà obbligato a nominare un DPO, mentre un ente privato dovrà farlo se ha dai 250 dipendenti in su – chiarisce Pica – oppure laddove sia più piccolo ma gestisca dei dati sensibili, le cosiddette “categorie particolari di dati” che confluiscono nell’articolo 9 del GDPR. Pensiamo ad esempio a un laboratorio di analisi oppure a un’azienda di 20 persone che fa marketing e profilazione, fornendo servizi come sondaggi sui gusti dei consumatori».
Se a livello europeo il GDPR sostituirà la direttiva sulla protezione dei dati in vigore dal 1998, in Italia avrà l’effetto di abrogare le norme incompatibili del codice per la protezione dei dati personali (il decreto legislativo 196/2003), e di unire ciò che di quel codice resta valido con le nuove previsioni del GDPR, che sarà applicabile in tutti gli Stati membri sin dal giorno della sua entrata in vigore, ossia questo venerdì. L’atto normativo interno (e definitivo) per l’Italia dovrebbe essere pronto entro pochi giorni.
In ogni caso il GDPR è solo l’inizio, e sarà seguito da altre normative comunitarie. «Arriveranno presto le norme sulla tutela dei dati in ambito elettronico – spiega Maglio –, poi norme sul trattamento dei dati in ambito pubblico e sanitario. Si tratta di un tema che avrà un enorme sviluppo in futuro, e la regolamentazione a riguardo è solo agli inizi. Ma è bene che sia così perché la nostra vita sarà sempre più condizionata dai dati, e per cogliere le opportunità che la tecnologia ci offre occorrono regole evolute e aggiornate che evitino gli abusi di chi detiene queste enormi quantità di informazioni sulla vita di ognuno di noi».
