GDPR

GDPR

Come è noto, il 25 Maggio 2018 entrerà in vigore il Regolamento Generale Europeo sulla Protezione dei Dati (Regulation 2016/679), conosciuto con l’acronimo inglese GDPR (General Data Protection Regulation), oppure italiano RGPD (Regolamento Generale sulla Protezione dei Dati).

Esso è un argomento che coinvolge in maniera ampia i Consulenti Informatici Forensi, i quali, in base alle competenze maturate nel settore Informatico ed in quello Giuridico, sono spesso chiamati a risolvere o ad indagare su tali problematiche (si veda anche: servizi).

Si tiene a precisare, cosa non sempre condivisa, che il Regolamento oltre a proteggere i dati oggetto di privacy per i soggetti fisici, costituisce anche una tutela per le aziende nei confronti di terzi ed una protezione del loro patrimonio principale: i dati.

Punti Principali

Senza avere la pretesa di fare una specifica trattazione della materia (è sufficiente ricercare il copioso materiale disponibile in rete tramite un motore di ricerca web), si vuole qui riassumere alcuni punti indicativi, ma certamente non esaustivi, in relazione a tale Regolamento, in un modo, si spera, semplice e comprensibile anche ai non addetti ai lavori. Possiamo dire che:

  1. Non vi è esplicita abolizione della attuale Legge sulla Privacy, ma solo l’implicita abrogazione di quei punti superati, o in conflitto, con la nuova normativa.
  2. Vi è invece l’introduzione di nuovi elementi tecnici:
    • Valutazione del rischio relativo ai vari trattamenti dati effettuati.
    • Valutazione delle misure di prevenzione atte alla protezione dei dati (in base alle risultanze del punto a.).
    • Valutazione delle azioni da effettuare e correttivi da riportare nel caso di “incidente privacy”.
    • Si eliminano le informative banali con inutili consensi per trattamenti contrattuali (ad esempio, il consenso è ovvio per i dati relativi ad una fattura di vendita) che talvolta nascondevano delle comunicazioni di dati a terzi (a scopo di lucro).
    • Si introducono invece informative motivate, le quali riportano il vero scopo del trattamento dei dati soggetta al consenso.
    • Diritto del Soggetto alla modifica ed aggiornamento dei dati su richiesta (già presente nella attuale normativa) con ulteriore e nuovo obbligo di propagazione di tale variazione a soggetti terzi, ai quali siano stati trasmessi tali dati.
    • Diritto all’oblio, cioè cancellazione dei dati su richiesta del soggetto e relativa propagazione.
    • Diritto del Soggetto alla remissione del consenso in un secondo momento con la successiva propagazione ai terzi coinvolti.
    • Registrazione dei consensi ricevuti.
    • Registrazione delle Evidenze di “Compliance”.
    • Introduzione della figura del DPO (Data Protection Officer) quale Responsabile della Protezione dei Dati ed utile interfaccia nei confronti dell’Autorità Giudiziaria nel caso di richieste o contenziosi. Tale figura risulta obbligatoria in certe situazioni (trattamento di dati Sensibili e/o Giudiziari, Pubbliche Amministrazioni, ed altre) e consigliata in generale dal Garante per una maggiore tranquillità da parte del Titolare.
  3. La nuova normativa possiede quindi un carattere evolutivo rispetto a quella precedente, soprattutto in base al punto 2, sub a, b, c.
  4. Vi è l’introduzione di nuovi elementi di sanzione amministrativa:
    • Sanzioni sino al 2% - 4% del fatturato aziendale (affinché le aziende non minimizzino il problema).
    • Rischio di blocco immediato del trattamento oggetto della contestazione (con conseguente paralisi dell’attività aziendale).
    • Rischio di richiesta danni da parte del soggetto coinvolto o di terzi (questo, insieme al punto precedente, è un elemento che spesso nel nostro paese si tende a sottovalutare).
    • Danni alla reputazione aziendale.
  5. Non vi è esplicita menzione a responsabilità penali all’interno del Regolamento, ma in funzione del tipo di violazione, è possibile che possa essere ravvisato anche un aspetto penale.  Inoltre le problematiche connesse con il trattamento dei dati informatici, coinvolgono spesso responsabilità penali, a maggior ragione nel caso di dati sensibili.
  6. Tutela dell’Azienda che rispetta la conformità al GDPR, cioè difesa e de-responsabilizzazione dell’Azienda nei confronti di:
    • Soggetti che possano richiedere danni e risarcimenti derivanti dal trattamento (o non cancellazione) dei dati.
    • Infedeltà o comportamenti illeciti da parte di collaboratori interni o esterni (anche non espressamente nell’ambito del trattamento autorizzato dei dati).
    • Collaboratori interni o esterni che comunichino a terzi dati senza autorizzazione.
    • Aziende alle quali siano stati conferiti dati, che non rispettino la remissione del consenso o l’aggiornamento dei medesimi.
    • Difesa dell’Azienda in qualsiasi sede civile e penale.
    • Organizzazione aziendale e suoi impatti sulla sicurezza ed efficienza nella reperibilità del dato.
    • Difesa dell’Azienda nel momento che terzi non propaghino le variazioni o il ritiro dei consensi relativi ai dati personali (questo in base al punto 2. sub g, h).
    • Possibilità non cancellare i dati richiesti o non annullare il consenso, qualora queste azioni contrastino con altre normative che ne richiedano la conservazione (es. cancellazione di una anagrafica nell’archivio, prima del tempo legale di mantenimento delle fatture e delle scritture contabili).
    • Tutela nei confronti di soggetti che neghino il consenso dato, o affermino la negazione di un consenso.
    • Difesa della reputazione aziendale.
  7. Possibilità di azione legale nei confronti di soggetti (tipicamente enti ed aziende) che possano recare danno ad un trattamento di dati in corso, in quanto ciò potrebbe danneggiare anche i soggetti al trattamento.

Punti Salienti

In base a quanto detto, acquisiscono particolare importanza i seguenti punti:

  • Il concetto di “Privacy by Design”, cioè la progettazione del trattamento dati già secondo i principi del nuovo Regolamento, poiché in questo modo risulterà sicuramente più facile risolvere gli elementi più critici al punto 2.
  • L’aspetto tutelare rappresentato dal una buona documentazione di "compliance" al GDPR.
  • L’intervento di un Consulente Informatico Forense che è in grado di dare il proprio contributo all’interno del GDPR, sia nella fase di preparazione, sia nel suo aggiornamento, che nel caso di problemi di carattere tecnico e giuridico
  • Le strutture non obbligate a nominare un DPO, che non desiderano nemmeno designarlo su base volontaria, possono comunque utilizzare uno staff o consulenti esterni, con compiti relativi al trattamento dei dati personali.  Per evitare confusione, tali consulenti non devono essere qualificati come DPO

I commenti sono chiusi