Aumentano le sanzioni per le imprese che non si adeguano. L’avvocato Paolo Balboni, presidente della European Privacy Association (EPA) e Founding Partner di ICT Legal Consulting avverte: «Errori nella gestione della protezione dei dati personali potrebbero in un sol colpo mettere in ginocchio un’azienda»
Avvocato, il nuovo Regolamento UE 2016/679 sulla protezione dei dati personali implica innanzitutto un cambio di orizzonte per le aziende? È così?
Si, decisamente. Occorre, infatti, un cambio di mentalità da parte delle aziende con riferimento all’approccio all’allineamento con la normativa in materia di protezione dei dati personali (per brevità: “privacy compliance”). Si passa da una privacy compliance fatta di policy (“carta”) a una privacy compliance basata su metodologie di valutazione del rischio, che deve essere integrata nei processi aziendali. In altre parole, le aziende sono chiamate a un esercizio rigoroso e sistematico di analisi e disegno di processi, che si può riassumere nei seguenti step: (i) analisi dei trattamenti, (ii) identificazione delle tipologie di dati trattati e dei soggetti coinvolti, (iii) mappatura dei flussi di dati, con particolare attenzione a quelli transfrontalieri; (iv) valutazione del rischio privacy e di sicurezza sui dati e identificazione delle contromisure per mitigare i rischi identificati; (v) disegno dei processi privacy aziendali corretti, allineati alla normativa e efficaci in termini di valorizzazione della basi dati aziendali. Infatti occorre ricordarsi che un database (per esempio di clienti e potenziali clienti) ben costituito – ossia formato da dati raccolti in conformità alla normativa – che abiliti lecitamente l’azienda a inviare comunicazioni promozionali e a profilare i soggetti interessati rappresenta un “asset” (valore) estremamente rilevante e chiaramente valorizzabile anche in sede di possibili acquisizioni da parte di altre società.
Ci sono novità in tema di principi che riguardano le condizioni applicabili al consenso?
Varie sono le novità in tema di presupposti del trattamento, in questa sede mi pare rilevante menzionare un’interessante apertura in materia di trattamento per finalità di marketing, che potrà infatti essere basato sull’interesse legittimo in alternativa – per esempio – al “consenso” del soggetto interessato.
Nuova è anche la figura del responsabile della protezione dei dati.
Sì, il responsabile della protezione dei dati personali (Data Protection Officer – per brevità: “DPO”) diventerà una figura chiave per le aziende al fine di assicurare un allineamento alla normativa in materia di protezione dei dati personali. Il Regolamento identifica casistiche specifiche in cui è obbligatorio la nomina del DPO, ossia quanto: (i) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, (ii) le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; (iii) le attività principali del titolare o del responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali. Tuttavia, soprattutto grandi aziende non potranno fare a meno di un DPO, anche se non rientrano nei casi stabiliti dalla normativa, in quanto, come descritto in precedenza, l’allineamento alla normativa richiede un costante, rigoroso e sistematico esercizio di analisi e disegno di processi. Sul punto, è importante capire che per un allineamento alla nuova normativa non bastano solo competenze giuridiche ma sono necessarie competenze anche in materia di IT e IT security. Quindi più che a un Data Protection Officer sarebbe più corretto pensare a un Data Protection Office, ossia a un ufficio privacy che raccoglie competenze multidisciplinari (legali e IT/security), sotto il coordinamento del DPO. Dal momento che tali competenze specifiche e multidisciplinari non sono sempre presenti in una azienda, queste possono anche essere reperite all’esterno attraverso contratti continuativi di consulenza specializzata in materia di protezione dei dati personali. Lo schema infatti potrebbe essere di nominare un DPO interno all’azienda e di strutturare un supporto specializzato e multidisciplinare dall’esterno (ufficio privacy esternalizzato) per coadiuvare le attività del DPO.
Cambia anche il regime sanzionatorio per chi non si adegua?
Le sanzioni raggiungono degli ordini di grandezza mai immaginati prima. Si può infatti arrivare a sanzioni amministrative pecuniarie fino a euro 10.000.000, o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, in casi di violazione per esempio degli obblighi del titolare e del responsabile con riferimento alle condizioni applicabili al consenso dei minori; della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita; delle misure di sicurezza; della valutazione d’impatto sulla protezione dei dati. O addirittura si configurano sanzioni amministrative pecuniarie fino a euro 20.000.000, o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, in casi di violazioni per esempio dei principi di base del trattamento, comprese le condizioni relative al consenso; dei diritti degli interessati; dei presupposti del trasferimenti di dati personali a un destinatario in un paese extra europeo. Insomma la privacy, con sanzioni di questo calibro, entrerà inevitabilmente nel perimetro di attenzione dei livelli dirigenziali e dei consigli di amministrazioni, in quanto errori nella gestione della medesima potrebbero in un sol colpo mettere in ginocchio un’azienda.