Industria 4.0. Il nuovo regolamento europeo sulla privacy 04 Agosto 2017

i Linka Zangara* Negli anni, raccolta e analisi dei dati personali hanno sempre più rappresentato un asset strategico sia per gli Stati che per le grandi imprese come Amazon, Apple, Google, Facebook ed altre.

L’Agenzia Europea che si occupa di crimini su internet, ha recentemente stimato che il giro d’affari del cyber crime supera quello del traffico internazionale di droga. Spesso si legge di attacchi informatici diffusi a livello mondiale.

Il diritto alla protezione dei dati personali ha assunto in Italia il valore di un diritto fondamentale per la difesa dell’individuo da forme intrusive di controllo e di manipolazione. Nessuno è esentato dal rispetto della normativa.

Anche una delle direttive del Piano Nazionale Industria 4.0 emanato dal Ministero dello Sviluppo Economico, in considerazione della quarta rivoluzione industriale in corso caratterizzata da connessione tra sistemi fisici e digitali, prevede che le infrastrutture abilitanti garantiscano la sicurezza e la protezione dei dati.

Con l’entrata in vigore, il 25 maggio 2018, del Regolamento UE 2016/679, imprese e professionisti sono costretti a sensibilizzarsi alla normativa sulla privacy anche in virtù delle elevate sanzioni amministrative pecuniarie previste: fino a 20 milioni di Euro e per le società fino al 4% del fatturato mondiale annuo.

Ogni Stato membro è libero di introdurre ulteriori sanzioni amministrative pecuniarie. Detto Regolamento non prevede però illeciti penali come il vigente Codice in materia di protezione dei dati (Decreto legislativo 30.6.2003, n. 196).

Il Regolamento rivoluziona 20 anni di legislazione italiana.

Viene meno la figura del Responsabile per la privacy preposta dal Titolare al trattamento dei dati personali, che gran parte delle imprese, enti, studi professionali oltre agli organismi pubblici hanno nominato.

Non sono più previste, rimangono però suggerite, le figure degli Incaricati e cioè le persone fisiche autorizzate a trattare i dati.

Non è più previsto l’obbligo di notifica di particolari trattamenti o l’obbligo di sottoporre a verifica preliminare i trattamenti considerati a rischio.

Sono introdotti: il principio di accountability per il quale è il Titolare del trattamento dati a dovere dimostrare l’adozione di politiche privacy e di misure adeguate in conformità al Regolamento. Il principio della privacy by default, che stabilisce che i dati devono essere trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini. Il principio privacy by design dal quale discende l’attuazione di adeguate misure tecniche ed organizzative sia all’atto della progettazione del trattamento dati che durante l’implementazione dello stesso.

All’interessato viene riconosciuto il diritto alla portabilità dei dati in virtù del quale ha diritto di ottenere la restituzione dei propri dati personali trasmessi ed alla risposta scritta in caso di richiesta sul trattamento dati posto in essere. La risposta – che è obbligatoria e da dare entro il termine di un mese (estensibile fino a tre mesi in casi di particolari complessità) – deve essere concisa, trasparente e chiara. Esclusivamente in caso di richiesta eccessiva o infondata, il Titolare può eventualmente richiedere un congruo contributo.

Confermato l’obbligo di rendere l’informativa. Deve essere concisa, trasparente, intellegibile, facilmente accessibile, indicare il fondamento giuridico del trattamento, l’interesse legittimo, se i dati sono trasferiti in Paesi terzi ed in caso affermativo attraverso quali strumenti. Ogni volta che le finalità del trattamento mutano occorrerà informarne l’interessato prima di procedere in merito.

Il consenso al trattamento dei dati dovrà essere preventivo ed inequivocabile (per iscritto o anche oralmente). In caso di dati sensibili dovrà essere anche esplicito. Il consenso potrà essere revocato in qualsiasi momento. I soggetti pubblici di regola non devono chiedere il consenso. I consensi raccolti ante Regolamento rimangono validi. Il consenso del minore è valido a partire dall’età di 16 anni.

In caso di ricorso a tecnologie a rischio per i diritti della persona, il trattamento dati deve essere testato con una valutazione d’impatto privacy ed eventualmente con consultazione preventiva dell’Autorità di controllo.

E’ riconosciuto il diritto all’oblio che può essere limitato per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria e per tutelare un interesse pubblico generale come la salute. L’interessato può decidere che vengano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o in caso di opposizione al trattamento.

In caso di data breach e cioè di violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati se da detta violazione è probabile che derivino rischi per i diritti e le libertà degli interessati, il Titolare dei dati trattati, deve notificare all’Autorità di controllo senza ingiustificato ritardo e, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, l’avvenuta lesione.

E’ obbligatoria, ma comunque sempre consigliabile, in caso di più di 250 dipendenti o di trattamento di dati “a rischio” la tenuta del registro dei trattamenti che deve descrivere i trattamenti espletati e le loro caratteristiche.

Nuova figura chiave è il DPO – Data Protection Officer (nella versione in Italiano del Regolamento: Responsabile della protezione dei dati) con il compito di garantire il corretto trattamento dei dati personali da parte del Titolare che tratta i dati.

La sua nomina è obbligatoria se il trattamento è svolto da un organismo pubblico, se le attività principali del Titolare consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala o se le attività principali del Titolare consistono nel trattamento su larga scala di categorie di dati sensibili o di dati personali relativi a condanne penali o reati.

Può essere un dipendente interno, ma sussiste conflitto ove questi rivesta ruoli manageriali di vertice. In caso di nomina esterna non può essere colui che è stato il consulente per la privacy.

Deve avere conoscenze giuridiche nazionali ed europee in materia di privacy, conoscenze informatiche e di sicurezza e familiarità con il tipo di dati trattati dall’impresa o dall’ente.

In attesa dell’entrata in vigore della nuova normativa rimangono nodi da dipanare. Sarebbe per esempio auspicabile il suggerimento di misure di sicurezza da adottare o l’elencazione dettagliata dei casi di conflitto di interesse per la figura DPO.

Confidiamo che la collaborazione in atto fra il nostro Garante per la privacy e le altre Autorità privacy europee produca e consenta la divulgazione di comuni linee guida di agevole indirizzo.

*Avvocato

2017-08-05T17:28:32+00:00 5 Agosto, 2017|Press|