La Privacy “europea” nello scenario aziendale: novità e adempimenti
Il susseguirsi di orientamenti interpretativi e di analisi della nuova normativa privacy di cui alla legislazione europea vigente, a cura di esperti della materia, lascia poco spazio a enti pubblici e a determinate categorie di aziende private e studi professionali, circa l’obbligatorietà di adottare misure organizzative e tecniche per mitigare, sensibilmente, il rischio di violazioni della riservatezza dei dati riguardanti persone fisiche e che, in ultima analisi, costituiscono il patrimonio informativo delle aziende interessate.
A ben guardare e per evidenti motivazioni espresse nel prosieguo del presente lavoro, non deve essere lo spauracchio delle sanzioni a formare la necessaria consapevolezza di adozione delle misure di cui sopra, bensì i conseguenti benefici che il rispetto delle norme contenute nel Regolamento UE 2016/679 determineranno nel proteggere i dati e le informazioni trattate.
In altri termini, il dato personale, diverrà l’elemento fondamentale da tenere in considerazione allorquando le entità e/o le persone fisiche che rivestono il ruolo di titolare e/o responsabile del trattamento, implementeranno policy, processi e indicatori di performance.
Andando più nel dettaglio, tutta l’impalcatura che ruota attorno alle operazioni di “trattamento” dei dati personali, si fonda sulla individuazione, analisi, valutazione e gestione del rischio di violazioni che, alla luce delle nuove norme in vigore, sono di assoluto rilievo e di diversa natura – amministrative e penali – oltre a prevedere azioni di responsabilità civile per danni cagionati a soggetti denominati “interessati”.
E pertanto, volendo identificare tale attività connessa al rischio, si potrà parlare di Privacy Impact Assessment quale individuazione delle potenziali insidie, minacce e punti di debolezza di cui il sistema informativo e informatico aziendale presenta nei processi gestionali.
Naturalmente, quanto sinora detto implica l’adozione di misure che impattano sull’organizzazione e sulla gestione nell’ambito delle singole aree dell’azienda. Risulteranno necessarie, oltre alla mappatura degli strumenti informatici e/o degli archivi cartacei, che gestiscono e contengono dati e informazioni personali, anche le misure finalizzate a rendere più ampio un trattamento per effetto dell’anonimizzazione e pseudonimizzazione dei dati personali, prevedendo livelli di sicurezza efficaci nei processi di data retention (conservazione dei dati): si pensi alla gestioni di sistemi biometrici, di videosorveglianza, di geolocalizzazione, per i quali il semplice funzionamento ad opera di un individuo comporta un forte rischio di lesione della dignità e della libertà se non accompagnato da misure adeguate e idonee di prevenzione.
Un ulteriore punto qualificante della nuova regolamentazione europea riguarda le ipotesi di trasferimento dei dati personali all’estero vale a dire, in Paesi extra-UE. Tale trasferimento si ritiene infatti lecito solo se operato verso Paesi che la Commissione Europea ritiene adeguatamente dotati di normativa privacy a garanzia dei diritti fondamentali dell’individuo, ovvero, allorquando l’individuo presta esplicito consenso informato per tale operazione di trasferimento e qualora si adottano clausole contrattuali standard. A titolo di esempio, si può citare la clamorosa vicenda che ha interessato il trasferimento dei dati dall’Unione Europea verso gli Stati Uniti che, ritenuto in prima battuta illecito, è stato oggi regolamentato mediante il c.d. Privacy Shield – cioè un’autocertificazione di origine statunitense che viene prodotta a favore dell’entità europea circa il rispetto dei principi e delle regole della normativa europea.
Per concludere tale esposizione, assolutamente non esaustiva ma introduttiva rispetto al complesso e articolato scenario di riferimento (per il quale si rinvia a successivi aggiornamenti informativi) circa la portabilità dei dati, la consultazione preventiva, il sistema sanzionatorio), non si può non delineare la figura del Data Protection Officer, già introdotta in un mio articolo apparso su www.snewsonline.com il 07 giugno 2016, in particolare, a seguito dell’emanazione di una puntuale e chiarificatrice Linea Guida del Working Party 29 (Gruppo di Lavoro dei Garanti della Privacy).
Il Data Protection Officer, i cui compiti, il cui ruolo e le cui responsabilità, singolarmente considerate o congiuntamente al titolare e/o responsabile del trattamento, sono già delineate dal Regolamento UE citato, si arricchisce di contenuto operativo per effetto della specifica linea guida che, mediante puntuali esempi aiuta a comprendere chi deve obbligatoriamente nominare tale figura.
E allora, mentre si deve necessariamente considerare obbligatoria la nomina di un Data Protection Officer da parte della Pubblica Amministrazione e degli enti pubblici e privati che con essa interagiscono, strutture sanitarie, farmaceutiche, aziende di trasporto pubblico, aziende assicurative e bancarie, motori di ricerca a fini pubblicitari, sistemi di geolocalizzazione di motori di ricerca e cellulari, studi professionali associati, non appare, al momento, obbligatoria la nomina in aziende individuali e di piccole dimensioni, ovvero di singoli professionisti.
a cura di Domenico Vozza,
Avvocato Stabilito, Privacy & Compliance Expert, Vice Presidente AssPriCom e membro Comitato Scientifico S News
Notizie correlate:
Privacy e Compliance con Asspricom alla Suprema Corte di Cassazione
