GDPR e misure di sicurezza La responsabilizzazione delle imprese e l’addio alle regole minime Nadia Martini, Deborah Paracchini e Nicolò Maria Salvi
A fronte dell’inadeguatezza della Direttiva 95/46/CE, il legislatore comunitario ha elaborato un nuovo testo normativo volto a disciplinare la protezione dei dati personali: si tratta del Regolamento UE 2016/679 che, già entrato in vigore, troverà concreta applicazione a partire dal 25 maggio 2018. La portata innovativa del nuovo Regolamento è immensa: infatti, mentre la Direttiva era stata concepita in un mondo nel quale ancora non esisteva intenet, il nuovo testo risponde all’esigenza, nata con l’attuale evoluzione tecnologica e con la sua globalizzazione, di un “quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno” (Considerando 7 GDPR). Questo è, appunto, il GDPR.
IDEE
Ottobre 2017
Tuttavia, anche se il 25 maggio 2018 è ormai alle porte, sono ancora poche le imprese che comprendono la rivoluzione culturale introdotta dal GDPR: si passa, infatti, da una privacy percepita in maniera meramente formale, per la quale era sufficiente adeguarsi a quelle regole minime sancite dalla legge, ad una privacy che diviene invece sostanziale, ove – in un’ottica di responsabilizzazione dell’imprenditore – si lascia una maggiore libertà di azione al Titolare ed al Responsabile. Questi dovranno quindi tenere quei comportamenti e adottare quelle misure che essi stessi valutano e ritengono essere la soluzione più
adeguata al singolo caso, a seguito di un esame a 360 gradi di quelli che sono i dati trattati, i trattamenti eseguiti e il relativo livello di rischio, dando prova altresì che tali soluzioni rappresentino le misure tecniche e organizzative adeguate al proprio caso concreto di rischio. È questo il così detto principio dell’Accountability, o di responsabilizzazione, che muta diametralmente l’idea stessa di Data Protection: da mera Compliance a valore di business competitivo, economico e reputazionale, nonché Asset Business delle aziende. Principio la cui violazione può in astratto esporre ad una sanzione fino al 4% del fatturato di Gruppo. Solo tenendo bene a mente tale rivoluzione e il contesto di espansione tecnologica in cui viviamo è possibile comprendere il motivo per cui il legislatore comunitario non abbia voluto indicare e cristallizzare una serie di misure di sicurezza che potessero valere come minimo comun denominatore di adeguatezza alla nuova disciplina: le misure che possono oggi dirsi sufficienti e idonee a garantire un adeguato livello di protezione dei dati ben potrebbero infatti fra pochi anni – o addirittura fra pochi mesi – rivelarsi del tutto obsolete e insufficienti. Di conseguenza, il nuovo Regolamento prevede che il Titolare ed il Responsabile sono tenuti a mettere in atto tutte quelle misure tecniche e organizzative che risultino idonee e adeguate alla luce di una valutazione dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Non sorprende dunque che il nuovo testo normativo menzioni solo in via esemplificativa alcune misure, con la precisazione che, a differenza di quanto accade nel Codice Privacy – il cui Allegato “B” annovera le misure minime di sicurezza – queste costituiscono delle indicazioni non esaustive e che devono essere individuate da ogni società sulla base del proprio caso concreto di rischio. Si tratta di una lista aperta nella quale rientrano le procedure finalizzate alla pseudonimizzazione e alla cifratura dei dati personali; quelle volte a garantire la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; quelle finalizzate ad assicurare la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; nonché quelle che prevedono una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate. Non è tutto. Il principio di responsabilizzazione si manifesta, soprattutto, con riferimento al tema di misure di sicurezza in caso di Data Breach: infatti, il Titolare è tenuto all’obbligo di comunicare agli interessati la violazione o la perdita subita, salvo che dimostri di aver messo in atto quelle misure tecniche e organizzative di protezione idonee a rendere illeggibili i dati. Insomma, misure adeguate.
Energia Media - Ottobre 2017
2
Ciò significa, in altre parole, che, in un mondo ove la reputazione costituisce un vero e proprio valore competitivo per le imprese, queste dovrebbero essere le prime ad avere un grande interesse “business” a scongiurare il rischio di dover comunicare ai propri clienti – informandoli singolarmente o, se necessario, tramite un comunicato stampa – che i loro dati personali sono stati danneggiati, alterati o sottratti da soggetti terzi. Per evitare ciò, il Regolamento richiede semplicemente che gli imprenditori valutino quali siano le misure di sicurezza necessarie per il loro caso concreto e le mettano in atto, tenendo a mente che potrebbe essere sufficiente anche l’adozione di una soluzione di pseudonimizzazione o di cifratura dei dati, soluzioni infatti idonee a renderli incomprensibili a chiunque non sia autorizzato ad accedervi. In tal senso anche il Garante per la Protezione dei Dati Personali, con l’intento di non cancellare i risultati ottenuti negli ultimi anni e di armonizzare l’attuale disciplina con i dettami del Regolamento, ha manifestato la volontà di elaborare delle linee-guida che potrebbero indicare quelle misure di sicurezza teoricamente idonee per determinate tipologie di trattamenti. Alla luce di ciò non rimane che chiedersi per quale ragione molte imprese non abbiano ancora intrapreso un percorso per conformarsi ad un Regolamento che le pone al centro dell’intera disciplina, imponendo rilevanti sanzioni e richiedendo loro di valutare da sé le proprie esigenze e di mettere in atto le adeguate misure di sicurezza al fine di evitare conseguenze non solo pecuniarie, ma anche reputazionali. Forse il GDPR ha ben compreso il punto: che l’Accountability debba nascere proprio da una maggiore informazione delle imprese.
Gli Autori Nadia Martini è Associate Partner, Head of Data Protection Department, IP & IT Specialist presso lo Studio Legale Rödl & Partner nadia.martini@roedl.it Deborah Paracchini è Dottoressa presso lo Studio Legale Rödl & Partner deborah.paracchini@roedl.it Nicolò Maria Salvi è Dottore presso lo Studio Legale Rödl & Partner nicolo-maria.salvi@roedl.it
3
Energia Media Milano / Roma comunicazione@energiamedia.it www.energiamedia.it