GDPR, la difficoltà di raccordo tra vecchie e nuove norme

By 20 dicembre 2018 News No Comments

Il cambio di paradigma introdotto dal GDPR nella protezione delle informazioni in rete e le difficoltà di raccordo tra le nuove norme e quelle preesistenti: il punto della situazione
Nel nostro Paese, nonostante le importanti novità introdotte dal GDPR in tema protezione della riservatezza dei dati in rete, si è preferito non abrogare e sostituire completamente il previgente Codice della Privacy del 2013 ma piuttosto modificarlo, adeguarlo e in parte eliminarlo, con il risultato di generare una certa difficoltà di raccordo tra le norme preesistenti e le nuove del GDPR.
Le difficoltà della protezione delle informazioni
Il contesto in cui queste novità si inseriscono è caratterizzato da due fattori incontrovertibili: la rapidità e l’invadenza delle recenti evoluzioni nel settore e la sempre maggiore facilità e velocità di trasferimento e distribuzione delle informazioni, anche in forma complessa e in quantità rilevanti, per il tramite di reti interne, private o pubbliche come Internet e il Web.
D’altra parte, l’accumulo e la concentrazione di un grande volume di informazioni nella disponibilità di soggetti che li raccolgono amplificano i rischi di accesso alle stesse da parte di chi non è autorizzato a disporne e perciò impone l’adozione di opportuni sistemi di protezione talvolta estremamente complessi e costosi.
Non va dimenticato che le reti informatiche sono per la loro stessa natura concepite allo scopo di condividere informazioni tra tutti i soggetti aventi accesso alla rete e che la esclusione dell’accesso da parte di taluni soltanto tra di essi comporta la creazione di sovrastrutture estremamente sofisticate e complesse, atteso che lo scopo è quello di evitare intrusioni dirette ad accedere ai dati che si vuole proteggere ma che sono e devono comunque essere presenti all’interno della stessa rete a disposizione degli utenti autorizzati a disporne.
La protezione della riservatezza dei dati messi in rete costituisce quindi da parecchio tempo una delle aree più delicate della legislazione nei singoli paesi e delle normative comunitarie europee, dalle quali però si può rilevare un recentissimo importante cambiamento di rotta, che corrisponde alla acquisita consapevolezza della impossibilità di adeguare le regole a tempo con gli sviluppi tecnici sempre più innovativi e pressanti.
L’entrata in vigore anche in Italia lo scorso 25 maggio 2018 del Regolamento (UE) 2016/679, noto come GDPR (ovvero General Data Protection Regulation), a due anni dalla sua approvazione da parte del Parlamento e del Consiglio Europeo, non ha avuto grande eco tra gli operatori, forse a motivo dei diversi temi politici in evidenza a quell’epoca nonché nella errata convinzione che solo con l’adozione della legislazione applicativa interna tramite decreto del governo gli effetti reali si sarebbero fatti sentire nel nostro paese.
Neppure la successiva emanazione del decreto di recepimento della nuova disciplina il 10 agosto scorso, pubblicato in Gazzetta Ufficiale il 4 settembre e quindi entrato in vigore 15 giorni dopo, il 19 settembre 2018, ha provocato grandi reazioni, se non tra gli addetti ai lavori, e questo anche perché un termine di grazia di otto mesi è stato esplicitamente previsto nel decreto stesso, nel corso del quale la applicazione delle sanzioni da parte del Garante dovrebbe “tenere in conto” la fase di prima applicazione delle nuove norme, in altre parole tenere la mano leggera in tema di sanzioni.
Sta di fatto però che sotto il regime del nuovo GDPR si è addossata ai singoli operatori, in qualità di titolari del trattamento ovvero in persona del Responsabile del trattamento, la piena responsabilità in merito al giudizio di adeguatezza delle misure di sicurezza adottate in concreto, avuto riguardo al tipo ed al livello di rischio che soltanto il particolare operatore è in grado di valutare e decidere.
Ciò non di meno, e nonostante le rilevantissime novità contenute nel soprammenzionato GDPR sia in tema di adempimenti che di regime sanzionatorio (hanno una portata senza precedenti e possono raggiungere nel massimo fino a 20 milioni di euro o fino al 4% del fatturato annuale di un’azienda), si è preferito non abrogare e sostituire completamente il previgente Codice della Privacy del 2013 ma piuttosto modificarlo, adeguarlo e in parte eliminarlo, con risultati non certo affidabilissimi sotto l’aspetto interpretativo.
Lo stesso Garante della protezione dei dati personali, nel pubblicare il testo coordinato del Codice della Privacy come risultante dopo le modifiche di adeguamento al GDPR europeo ha ritenuto di dover avvertire espressamente che “il presente testo coordinato è reso disponibile al solo scopo informativo e non ha valore ufficiale”, evidentemente a motivo delle numerose possibili contraddizioni e incongruenze riscontrabili.
La difficoltà di raccordo tra le norme preesistenti e le nuove contenute nel GDPR discende fondamentalmente appunto dalla differenza di impostazione generale cui si è fatto cenno sopra del criterio in base al quale viene riconosciuta la responsabilità, e quindi la applicazione delle eventuali sanzioni, in capo al soggetto che è in possesso di dati personali di terzi, e dei quali faccia uso in qualsiasi modo: archiviazione, organizzazione, elaborazione, gestione in genere.
Viene quindi lasciata all’operatore in possesso dei dati la valutazione dell’adeguatezza delle misure adottate in considerazione delle particolari condizioni in cui opera e delle modalità operative da lui scelte, e delle quali dovrà eventualmente dare conto nel caso un evento dannoso si verifichi.
Tale principio, denominato di ‘accountability’, con termine anglosassone non facilmente traducibile, ma reso dal legislatore italiano con la parola ‘responsabilizzazione’, riferita al titolare e al responsabile del trattamento (quest’ultimo divenuto non a caso di nomina obbligatoria e non più facoltativa come sotto la precedente disciplina) viene espresso chiaramente all’articolo 24 del Regolamento europeo in questi termini:
“Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
Viene quindi precisato nello stesso articolo che la eventuale adozione di codici di condotta ovvero di meccanismi di certificazione anche se debitamente riconosciuti e approvati non vale di per se ad escludere la responsabilità ma soltanto come uno degli elementi da valutare ai fini di escluderla.
E ancora, al successivo articolo 32 si dispone:
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio … “
e si aggiunge quindi una precisazione analoga a quanto esposto sopra riguardo a codici di condotta ovvero di meccanismi di certificazione eventualmente adottati.
Le obbligazioni imposte vengono quindi a sostituire i requisiti più spiccatamente formali previsti in precedenza, aggiungendo una responsabilità più estesa derivante dalle necessità valutate caso per caso e una giustificabilità delle scelte di sicurezza effettuate.
A completamento di quanto sopra, sono state introdotte altre prescrizioni assolute in ogni caso, quali l’obbligo di raccogliere e mantenere i dati in formato crittografato oltre ad ottenere il consenso ai trattamenti singolarmente per ciascuno di essi, con indicazione precisa delle finalità di raccolta e conservazione e con indicazione del Responsabile del trattamento.
Vengono prescritte inoltre modalità più esplicite quanto alla acquisizione dei consensi, escludendo accettazioni implicite o automatiche, e viene imposta l’archiviazione dei dati relativi con possibilità di accesso a tali dati da parte degli interessati.
Va infine sottolineato che la obbligatorietà del registro dei trattamenti previsto per le aziende con più di 250 dipendenti non esaurisce certamente le obbligazioni di responsabilizzazione per tale categoria di aziende, ma neppure esime le aziende più piccole, pur non tenute alla tenuta di tale Registro (a meno che non operino trattando dati c.d. cosiddetti sensibili), ad adeguare le misure di protezione in atto ai parametri di cui al nuovo GDPR.
Lo stesso Garante della Privacy propone un modello di registro semplificato ad uso PMI decisamente elementare e non molto complicato o impegnativo quanto alla regolare tenuta.
Sotto questo profilo è stato rilevato da parte della ICO, l’autorità che presiede alla protezione dei dati nel Regno Unito, che la tenuta di tale Registro, se ritenuta opportuna ed anche se non obbligatoria, può costituire in ogni caso un concreto sussidio per qualsiasi operatore nel campo di attività della gestione di dati al fine della valutazione della correttezza dei trattamenti effettuati in azienda e ciò in vista della dimostrazione della adeguatezza delle misure di protezione a norma del GDPR.

Articolo pubblicato su:

www.agendadigitale.eu/sicurezza/gdpr-la-difficolta-di-raccordo-tra-vecchie-e-nuove-norme

Leave a Reply