Riguarda anche gli editori, che entro tale data dovranno adeguarsi alla nuova normativa, la quale stabilisce che sia il gestore dei dati ad individuare quelle misure che possano in maniera adeguata tutelare gli interessati al trattamento (gestione abbonamenti, diritto all’oblio, marketing online…). E’ prevista la revisione della documentazione predisposta per l’acquisizione del consenso.
Uno studio dell’ Avv. Marianna Quaranta, specialista nel settore imprese di comunicazione, – che di seguito sintetizziamo – ci aiuta a capire il Regolamento e come adeguarsi alle nuove norme. Invitiamo tutti i lettori a prenderne attenta visione, data la complessità dell’argomento.
Si chiama General Data Protection Regulation (GDPR) il “Regolamento Generale sulla Protezione dei Dati” (RGPD – Regolamento UE 2016/679) e riguarda la nuova normativa Ue sulla privacy online: un nuovo pacchetto di regole che riguarderà principalmente i social network e le società pubblicitarie, i principali soggetti alle prese con traffico dati e richieste di consenso al trattamento di essi.
Il testo, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia dal 25 maggio 2018.
Attenzione, dunque, perché anche per gli editori le ricadute possono essere significative, come evidenzia dettagliatamente un report del centro studi Tow della Scuola di giornalismo della Columbia University.
A preoccupare le redazioni, secondo l’Ateneo americano, sarà soprattutto il timore di incappare in multe salatissime, che possono raggiungere i 20 milioni di euro o il 4% dei ricavi. Infatti, anche se non sono certo i giornali ad essere i principali destinatari del nuovo regolamento, si tratta pur sempre di aziende che utilizzano strumenti e ospitano pubblicità che servono a raccogliere dati sui lettori.
Liceità del trattamento e dati sensibili
Anzitutto, va dato atto che il nuovo Regolamento Europeo ribadisce la centralità di un principio, sposato dal vecchio Codice, ovvero quello della liceità del trattamento. Naturalmente, per i dati sensibili, il consenso deve essere esplicito ed, in particolare, il nuovo Regolamento ribadisce l’importanza della raccolta del consenso informato, laddove, vi siano trattamenti automatizzati, specie ove sia prevista la profilazione. In tutti i casi, il consenso deve essere libero specifico, informato ed inequivocabile, mentre, non è ammesso il consenso tacito, presunto, né con l’uso di caselle spuntate su modulo.
Giova rimarcare che la richiesta di consenso deve essere chiaramente distinguibile rispetto ad altre richieste o dichiarazioni somministrate di volta in volta, all’interessato e la formulazione utilizzata deve essere comprensibile, semplice e chiara.
L’autoresponsabilizzazione
La valutazione sul bilanciamento tra legittimo interesse del titolare o di un terzo ed i diritti e libertà dell’interessato non spetta all’Autorità (nello specifico al Garante per la protezione dei dati personali), ma diventa essa stessa compito del titolare del trattamento in ossequio al principio di responsabilizzazione introdotto dal nuovo pacchetto protezione dati.
Con il nuovo sistema dell’accountability il regime delle responsabilità si sbilancia fortemente a carico del titolare del trattamento, il quale se, da un lato, può individuare, in base al tipo di trattamento eseguito e alla sua struttura, le migliori modalità per l’esecuzione del trattamento e la raccolta del dato, dall’altro, deve preoccuparsi di dimostrare di aver adottato misure sufficienti sotto il profilo tecnico ed organizzativo, adeguate a consentire il rispetto dei diritti dell’interessato.
Un supporto significativo, in tal senso, viene offerto dal responsabile del trattamento il quale dovrà essere incaricato dal titolare che dovrà darsi carico di specificare, in maniera chiara, i compiti specifici attribuitigli.
Per agevolare il compito non semplice del titolare del trattamento e del suo responsabile di dare atto di aver adottato misure adeguate, il Regolamento prevede l’adesione a codici deontologici, ovvero, l’adesione a schemi di certificazione che possano aiutare il responsabile del trattamento a dimostrare di aver adottato le cautele per eseguire, in sicurezza, il trattamento affidatogli. Allo stato, il Garante sta valutando la diffusività dei codici, già attualmente vigenti per alcune tipologie di trattamento, rivisti alla luce dei requisiti fissati dal Regolamento, mentre, non vi sono ancora “schemi di certificazione” (Art. 42) per i quali occorre l’intervento del legislatore che dovrà stabilire le modalità di accreditamento dei soggetti certificatori.
L’informativa
Con riferimento all’informativa, il Regolamento presenta contenuti più ampi rispetto al vecchio Codice della privacy. In particolare, devono sempre essere specificati i dati di contatto del Responsabile per la protezione dei dati e, laddove previsto, del Data Protection Officer (DPO) e deve essere specificata la base giuridica del trattamento. Nel caso, poi, che i dati personali vengano trasferiti in Paesi terzi, vanno specificati la modalità e gli strumenti del trattamento.
Il titolare dovrà, altresì, darsi cura di specificare (nell’informativa) il periodo di conservazione dei dati, nonché, il diritto di presentare reclamo all’Autorità di controllo.
Inoltre, se il trattamento comporta processi decisionali automatizzati, l’informativa deve specificarlo, indicando, altresì, la logica di tali processi e le eventuali conseguenze sull’interessato.
L’informativa deve essere somministrata contestualmente all’acquisizione del consenso o in un tempo successivo che non può, in ogni caso, superare un mese dalla raccolta.
La normativa europea, infine, supporta chiaramente il concetto di “informativa stratificata” già, più volte, adottato dal Garante per la protezione dei dati personali. In particolare, viene favorita l’adozione di informative che man, mano che il trattamento diventa più pervasivo, informano l’interessato delle dinamiche del trattamento.
Diritti degli interessati
Con riferimento al diritto di accesso ai dati dell’interessato, si sottolinea che deve essere dato riscontro all’interessato entro un mese dalla richiesta, estendibile a tre mesi in caso di particolare complessità. In caso di diniego, deve essere, comunque, dato riscontro all’interessato entro un mese dalla richiesta. Il riscontro dovrà avvenire in forma scritta, ma potrà essere predisposto anche attraverso l’uso di strumenti elettronici che favoriscano l’accessibilità.
Il diritto all’oblio
L’articolo 17 del Regolamento rafforza il cosiddetto “diritto all’oblio”: cioè il diritto alla cancellazione dei propri dati personali. Difatti, viene introdotto l’obbligo per i titolari del trattamento che hanno reso pubblici i dati dell’interessato (pubblicandoli, ad esempio, attraverso un sito web) di informare della richiesta di cancellazione pervenuta dall’interessato gli altri titolari che trattano i medesimi dati personali cancellati, compresi qualsiasi link, copia o riproduzione.
Tale previsione interessa, in maniera significativa, soprattutto coloro che diffondono notizie on line ovvero che usino blog o testate giornalistiche telematiche che con la diffusione massiva dei contenuti, pressoché illimitata, sono i soggetti prioritariamente destinatari dell’incombente (fatto salvo il bilanciamento con altri diritti ed interessi, si pensi al diritto di cronaca, al diritto alla conservazione per finalità di ricerca, etc.).
Limitazioni al trattamento
L’articolo 18 del Regolamento consente limitazioni al trattamento dei dati. Si tratta di una facoltà ben più significativa ed ampia rispetto al mero blocco del trattamento di cui all’articolo 7, comma 3, lettera a) del Codice. Tale diritto, infatti, è esercitabile non solo laddove ricorrono violazioni dei presupposti di liceità del trattamento, ma anche laddove l’interessato chieda la rettifica del dato o si oppone al trattamento. Allorquando, pervenga una segnalazione da parte del titolare relativa alla limitazione del trattamento, la normativa in oggetto prevede che il dato personale sia contrassegnato in attesa di determinazioni ulteriori. Pertanto è opportuno che i titolari del trattamento nel predisporre il sistema di verifica dei dati sia esso elettronico oppure no, adottino misure idonee a tale scopo.
La portabilità del dato
E’ una delle innovazioni introdotte dal Regolamento ai diritti dell’interessato e consente all’interessato di mantenere il consenso, così come prestato, rispetto al dato trattato anche verso altri interlocutori. Naturalmente, la previsione ha senso solo con riferimento ai trattamenti automatizzati, pertanto, se ne esclude l’applicabilità agli archivi o ai registri cartacei.
Sono portabili solo i dati trattati acquisiti con il consenso dell’interessato, e quei dati che siano stati raccolti in base ad un contratto stipulato con l’interessato. In altri termini, vengono esclusi i trattamenti che si fondano sul mero interesse pubblico o sull’ interesse legittimo del titolare.
Il registro delle attività di trattamento
E’ fatto obbligo a tutti i titolari e responsabili di trattamento, eccetto gli organismi con meno di 250 dipendenti e sempre che non effettuino trattamenti a rischio, di tenere un registro delle operazioni di trattamento i cui contenuti sono specificati all’articolo 30 del GDPR.
Si tratta di uno strumento che consente di predisporre all’interno dell’azienda, di un quadro aggiornato dei trattamenti in corso ed è indispensabile per ogni valutazione ed analisi del rischio. Il registro può avere forma scritta anche elettronica e deve essere esibito su richiesta del Garante, ovvero, dei suoi ausiliari, consentendo all’Autorità di supervisionare il trattamento e verificarne la compatibilità con il Regolamento.
Naturalmente, si dovrà dare atto nel medesimo registro di aver adottato garanzie adeguate, suffragando le attività con idonea documentazione; infine, dovranno essere indicati, laddove sia possibile, i termini previsti per la cancellazione dei dati e una descrizione generale delle misure di sicurezza tecniche ed organizzative adottate.
La tenuta del registro non costituisce un adempimento formale, ma al contrario esso costituisce parte integrante di un sistema di corretta gestione del dato personale, pertanto, i titolari del trattamento ed i responsabili, a prescindere dalle dimensioni dell’organizzazione, devono compiere i passi necessari per dotarsi di tale registro ed, in ogni caso, occorre compiere un’accurata ricognizione dei trattamenti per verificarne la compatibilità con il Regolamento
La pseudonimizzazione e la cifratura dei dati
La normativa incoraggia la pseudonimizzazione e la cifratura dei dati personali, attraverso sistemi che assicurino, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Il sistema adottato dovrà, altresì, rispondere ad un’esigenza fondamentale ovvero quello di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico, ovvero, adottare tutte le cautele necessarie in caso di attacco informatico onde consentire di limitare i danni da aggressioni non previste e non prevedibili
Il titolare del trattamento, in ogni caso, dovrà preoccuparsi di documentare le violazioni dei dati personali subite, anche se non ne ha data comunicazione all’Autorità di controllo e non abbia ritenuto necessario allertare gli interessati. Analogamente, per le violazioni subite, dovrà darsi conto delle circostanze, delle conseguenze e dei provvedimenti che, all’esito, il titolare del trattamento ha adottato.
Il “Data Protection Officer” (DPO)
Il completamento naturale del nuovo impianto normativo si sintetizza nella previsione di un Responsabile della protezione dei dati, meglio noto come Data Protection Officer (DPO). Si tratta di una nuova figura professionale che il Regolamento prevede sia adottata obbligatoriamente per alcune categorie di soggetti e con riferimento a talune tipologie di trattamento.
Compito precipuo del DPO è la sensibilizzazione e la formazione del personale, nonché, la sorveglianza sullo svolgimento della valutazione di impatto del trattamento, secondo quanto previsto dall’articolo 35 del Regolamento.
Le imprese editoriali
Per quel che concerne le imprese che operano nel settore editoriale va dato atto che, al pari delle altre imprese, devono provvedere ad un trattamento di dati sicuro con l’adozione di tutte le misure tecniche e organizzative necessarie a garantire un approccio sereno al trattamento dei dati per tipologia di dato trattato e per la specificità delle attività poste in essere.
Va, altresì, monitorata, con particolare attenzione, la gestione del diritto all’oblio, specie per quei soggetti che fanno attività di informazione online.
Analogamente, devono essere attenzionate le attività di marketing online che costituiscono certamente attività a rischio per la tutela dell’interessato e necessitano di interventi sotto il profilo, non solo della sicurezza del trattamento, ma anche e soprattutto, della revisione della documentazione predisposta per l’acquisizione del consenso, ovvero: un’idonea informativa anche attraverso procedure, cosiddette stratificate, che consentano di isolare diversi trattamenti e di ottenere un consenso mirato.
Da ultimo, vogliamo ringraziare l’Avv. Marianna Quaranta per il suo approfondito studio (dal quale abbiamo tratto l’articolo qui sopra), corredato da alcune slide esemplificative, che di seguito pubblichiamo per esteso.
Invitiamo tutti i lettori a prenderne attenta visione, data la complessità dell’argomento.
Vedi, per approfondire:
1) Studio dell’Avv. Marianna Quaranta;
2) Slide esemplificative;
3) Regolamento UE n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016;
4) Regolamento UE 2016 679. Con riferimenti ai considerando;
5) Garante Privacy: Guida all’applicazione del Regolamento UE 2016/67.