Il giorno 4 ottobre ho avuto il piacere di partecipare in qualità di relatrice ad un incontro di informazione organizzato dal Collegio Provinciale dei Geometri e Geometri Laureati di Ancona presso l’Ego Hotel di Ancona e, alla presenza del Presidente Diego Sbaffi, ho avuto modo di presentare le novità della nuova normativa “privacy”.

Il G.D.P.R. finalmente armonizza la disciplina italiana in materia di trattamento dei dati personali (precedente contenuta nel D.Lgs. 196/2003) con quella europea del Reg. UE 2016/679 (meglio noto come Regolamento Generale della protezione dei dati – GDPR)

Cosa cambia con sostanzialmente con i nuovi obblighi di legge?

Innanzitutto viene ampliato l’ambito di applicazione: il GDPR si rivolge a tutte le aziende pubbliche e private, professionisti, enti non profit, in definitiva a chiunque tratti dati sia in supporto informatico che cartaceo all’interno dell’Unione Europea, omologando la normativa per tutti i Paesi Membri.

Inoltre con la nuova normativa viene a galla la necessità di individuare una serie di soggetti, interni ma anche esterni all’azienda, coinvolti nelle attività di adempimento.

Il primo coinvolto è ovviamente il Titolare del Trattamento, già individuato dalla vecchia normativa, il quale ha l’obbligo di autoresponsabilità e deve perciò informare gli interessati del trattamento (cioè i “legittimi proprietari” dei dati trattati) sui diritti a loro tutela, fornendo anche garanzie sul modo di trattarli.

La figura del Responsabile del Trattamento dei dati, che continua ad essere facoltativa e deve essere dal titolare nominata, ha il compito di trattare i dati per conto di quest’ultimo e di vigilare sulle modalità del trattamento dei dati nell’azienda.

Novità assoluta è invece il Responsabile della protezione dei dati (Data Protection Officer – DPO): il DPO è un professionista esterno che opera come consulente del Titolare del Trattamento e del Responsabile del Trattamento nel sorvegliare l’osservanza del GDPR.  La nomina di questo professionista è obbligatoria per gli organismi pubblici e per i soggetti che trattano dati particolari o dati relativi a condanne penali su larga scala (misura ancora non specificata dalla norma); negli altri casi non c’è obbligo, anche se è sempre caldamente consigliata dall’Autority, visto che il suo ruolo è di riferimento per l’organo di controllo.

Per quanto riguarda la tutela degli interessati e dei loro diritti, prende particolare protagonismo la cosiddetta informativa sul trattamento, strumento di trasparenza con cui il Titolare informa, all’inizio del rapporto, sulle modalità di trattamento di forma completa e chiara, chiedendo all’interessato il relativo consenso al trattamento che le propone.

Sia chiaro che il consenso deve essere fornito in modo esplicito e per ogni finalità di trattamento che si intenda realizzare.

Il titolare deve conservare il consenso ed anche essere pronto a rispettare i vecchi e i nuovi diritti degli interessati.

Il diritto alla rettifica o aggiornamento del dato, previsto già dal vecchio Codice della Privacy.

Il diritto alla portabilità (art 20 GDPR) è una delle novità più interessanti: consiste nel diritto a ricevere “in un formato strutturato e di uso comune” i propri dati personali forniti ad un Titolare, così da poterli girare ad altri Titolari senza impedimenti.

In questo modo non si devono dare sempre i medesimi dati già comunicati, ad esempio nel sistema bancario quando chiediamo di spostare un mutuo o un conto da un istituto ad un altro, ma anche in altre casistiche come le cartelle sanitarie o la telefonia.

E’ consigliabile tenere conto della portabilità anche nella realizzazione dei nostri contratti professionali, dove i dati dell’interessato/cliente si arricchiscono con la conoscenza del professionista: dobbiamo essere molto cauti al momento della stipula, per rispettare il diritto e allo stesso tempo evitare di ledere la nostra proprietà intellettuale.

Il diritto all’oblio (art.17) è il diritto dell’interessato di ottenere dal Titolare del Trattamento la cancellazione dei propri dati in maniera totale.

La particolarità nella formulazione di questo diritto è che esso, come dice espressamente il testo del Regolamento europeo, non si applica nella misura in cui il trattamento sia necessario per l’esercizio della libertà d’espressione e di informazione, per l’esercizio del diritto di difesa, per l’adempimento degli obblighi giuridici e per esigenze di tutela di interessi generali (ad esempio questioni di sanità, di pubblica sicurezza o fini di ricerca).

Per riuscire ad orientarsi in questa complessa giungla normativa e assicurarsi di essere in regola, abbiamo parlato all’incontro di una serie di attività che è bene compiere.

La prima attività da realizzare è l’analisi dei trattamenti effettuati in azienda. E’ fondamentale chiarire dove inizia e finisce un trattamento dal punto di vista temporale, fare l’analisi delle eventuali vulnerabilità, e stabilire quali sono le figure interne autorizzate al trattamento (cioè i dipendenti e collaboratori aziendali che possono avere acceso ai dati o possono modificarli). A compimento di questa analisi sarà possibile redigere una privacy policy che descriva modalità e logiche dei trattamenti da noi effettuati.

Quando poi, i dati in nostro possesso, siano trattati anche da soggetti terzi (professionisti, aziende fornitrici di servizi, ecc.) è importante verificare il livello di responsabilità e incaricarli con una lettera contenente le modalità dei trattamenti che ciascuno effettua.

Bisogna tutelarsi contro le aggressioni informatiche utilizzando sistemi di sicurezza che garantiscano l’invulnerabilità dei nostri computer, con antivirus e firewall costantemente aggiornati, con password adeguate, con procedure di progressiva anonimizzazione dei dati, e anche con cloud e caselle pec verificando che siano collocati all’interno dello spazio UE.

Se però, nonostante le cautele seguite, subiamo un’aggressione informatica, dobbiamo mettere in atto la procedura di Data Breach (art 33 GDPR), che prevede la comunicazione dell’accaduto al Garante della Privacy entro 72 ore senza ingiustificato ritardo. Anche gli interessati devono essere informati, a meno che il Titolare valuti che queste aggressioni non rechino loro danni.

E’ importante tenere presenti questi obblighi e collaborare con l’Autorità Garante, anche informandola dei problemi verificatisi, sia nell’ottica di cooperare con senso civico alla tutela di quello che è un diritto tra i più preziosi ma anche tra i più calpestati, il diritto a che le proprie informazioni personali siano sempre trattate in maniera consona e nel rispetto della propria dignità personale, sia in un’ottica pratica per ricevere un miglior trattamento qualora si incorra comunque in sanzioni, amministrative o penali che siano.

In conclusione ringrazio il Presidente Diego Sbaffi e tutto il collettivo di Ancona per la numerosa partecipazione e per avermi dato la opportunità di affrontare questo rilevante tema.

di  Maria Luisa Rodrìguez Montalvo.