Sebbene ancora lontano dall’essere approvato (si parla del 2015 come ipotesi più probabile per l’entrata in vigore), è meglio prepararsi per tempo alle novità imposte dal nuovo regolamento UE sulla protezione dei dati. Le multe sono salatissime…
La proposta per un regolamento generale di protezione dei dati della Commissione Europea rappresenta il più significativo sviluppo nella legge per la tutela dei dati dalla direttiva comunitaria sulla protezione dei dati.
Un “regolamento”, a differenza di una “direttiva”, sarà direttamente applicabile in tutti gli stati membri dell’Unione Europea senza la necessità di una legislazione nazionale di attuazione.
L’obiettivo della Commissione è di armonizzare la legge sulla protezione dei dati in tutti gli stati membri. Il processo legislativo, probabilmente, richiederà fino a due anni per essere completato. Con tutta la regolamentazione proposta, poi, saranno necessari altri due anni per l’entrata in vigore ed è, quindi, improbabile che sia in vigore prima del 2015. Mentre alcune delle attuali proposte saranno sicuramente modificate nel corso di questo lungo processo, questo articolo è incentrato su alcune delle misure pratiche che le aziende potrebbero utilmente prendere in considerazione già da ora.
Muoversi verso l’uniformità
Uno dei principali vantaggi della proposta di regolamento è che le aziende dovrebbero avere una sola autorità di regolamentazione che supervisiona le sue attività in tutti gli stati membri dell’UE. Si tratta dell’idea di Viviane Reding del “one-stop shop”. Le aziende con una presenza in diversi paesi europei dovrebbero, pertanto, valutare quale autorità di regolamentazione dovrebbe essere il proprio supervisore. Questa è la decisione principale da prendere per quanto riguarda le condizioni, le finalità e modalità del trattamento dei dati personali. In teoria, questo dovrebbe portare a un approccio armonizzato, visto che la proposta di regolamento è direttamente applicabile in tutti gli Stati membri e contiene un “meccanismo di coerenza” per cercare di garantire un approccio coerente da parte delle autorità di vigilanza. In pratica, tuttavia, ci potrebbero essere divergenze di atteggiamento delle autorità nazionali di regolamentazione (ad esempio verso l’applicazione). Questo può portare a “forum shopping”, in cui le imprese accentrano i propri processi decisionali in più giurisdizioni business-friendly.
Dividendole in macroargomenti, è possibile segmentare molti aspetti di conformità con il regolamento proposto in tre grandi categorie.
1. Le procedure interne
Siate responsabili
Uno dei temi chiave della proposta di regolamento è la responsabilità (in senso lato – assumersi la responsabilità per il trattamento dei dati). Questo concetto è molto probabile che rimanga un tema chiave. In pratica, ciò comporterà generare una cultura del monitoraggio, riesamina e valutazione delle procedure di elaborazione dei dati, con l’obiettivo di ridurre al minimo la loro elaborazione e conservazione, e la costruzione di tutele per tutte le attività di elaborazione dati. Valutazioni verificabili dell’impatto sui dati dovranno essere condotte per esaminare tutte le attività di trattamento a rischio e le misure adottate per affrontare i problemi specifici.
Molte aziende che trattano notevoli quantità di record stanno tentando di ridurre i rischi delle loro attività di trattamento dei dati personali limitandone l’accesso dei dipendenti su base strettamente relativa al “bisogno di usare” e, ove possibile, anonimizzando e crittografando i dati. Come ulteriore incentivo, l’obbligo di informare gli interessati di una violazione della protezione dei dati è improbabile che si possa applicare quando i dati sono stati precedentemente resi “incomprensibili” alle persone che non sono autorizzate ad usarli.
Analizzare la base giuridica su cui si utilizzano i dati personali
Per fare questo, occorre porsi alcune domande.
Ci si basa sul consenso dato dai soggetti al trattamento dei dati personali o si può dimostrare di avere un legittimo interesse nel trattamento di tali dati, che non prevalga gli interessi della persona interessata?
Quale trasferimento di dati si impegna a fare e come si garantisce che il trasferimento dei dati verso paesi che non sono riconosciuti come aventi adeguate norme sulla protezione dei dati siano comunque salvaguardati in un modo conforme alla legislazione condivisa?
Si deve prendere in considerazione l’adozione di norme aziendali vincolanti per facilitare i trasferimenti infragruppo di dati?
Rivedere le politiche e le procedure attuali
Avrete bisogno di documentare le operazioni di trattamento dei dati. La proposta di regolamento attualmente contiene impegni piuttosto onerosi per quanto riguarda la documentazione che deve essere mantenuta e implementata da parte dei responsabili e dei processori dei dati. Tale documentazione deve essere messa, su richiesta, a disposizione della vostra autorità di controllo.
Mentre questi oneri possono essere ridotti e alcune autorità di regolamentazione possono essere molto più interessate alla forma che alla sostanza, qualsiasi società che non può stilare politiche chiare avrà molte difficoltà a dimostrare di aver fissato norme e policy adeguate nel corso della sua attività.
Lavorate in un’azienda che gestisce dati?
In contrasto con la normativa vigente, la proposta di regolamento ora impone alcuni obblighi diretti ai gestori. Se vi considerate un gestore dati per i servizi che fornite ai clienti, è necessario prendere in considerazione il fatto che avrete obblighi di legge diretti, come il mantenimento di idonea documentazione.
Come pensate di reagire a una violazione della sicurezza dei dati?
Le violazioni della sicurezza dei dati dovranno essere comunicate al regolatore e, in determinate circostanze, all’individuo(i) in questione, se è previsto, come conseguenza della violazione, un effetto negativo sulla loro vita privata. Nonostante le critiche di natura variegata a tale obbligo, è probabile che questo sopravviva in qualche forma nel documento definitivo. Una volta che la vostra posizione è stata chiarita, sarà necessario mettere in atto procedure chiare per garantire tale notifica in tempo utile. 2.
2. Le vostre comunicazioni con gli interessati
Consenso?
Le aziende presumono spesso di aver bisogno di ottenere il consenso del soggetto titolare dei dati per elaborare le sue informazioni anche se ciò, spesso, non è corretto (a meno che, per esempio, vengano utilizzati i cookies).
Il consenso è solo uno dei tanti modi di legittimare attività di elaborazione. È lontano dal percorso preferito dal regolatore, in quanto può essere difficile garantito che il consenso sia significativo e concesso liberamente e che possa essere ritirato. Se fate affidamento sull’ottenimento del consenso per legittimare l’elaborazione, dovrete verificare se i vostri documenti e moduli di consenso sono adeguati e verificare che i consensi siano concessi liberamente, specifici, consapevoli ed espliciti (e attenzione, siete obbligati all’onere della prova in caso di problemi!).
Il regolamento proposto prevede che il consenso non possa più essere fatto valere nei casi in cui ci sia uno squilibrio significativo tra la posizione del soggetto e il gestore (ad esempio in un contesto lavorativo). Se si utilizzano dati personali per il marketing diretto, sarà necessario assicurare all’interessato regole molto chiare nel caso in cui si voglia opporre al trattamento.
Avvisi sulla Privacy
Che ci si basi o no sul consenso per legittimare il trattamento, a meno che non si applichi l’esenzione, sarà necessario informare le persone interessate del trattamento dei loro dati. Le informazioni fornite devono essere espresse in linguaggio chiaro e semplice. Il criterio dovrebbero essere: “trasparente e facilmente accessibile”.
Diritto di essere dimenticati
Uno dei più chiacchierati elementi del regolamento proposto è il cosiddetto “diritto di essere dimenticati”. In teoria, un individuo sarà in grado di esigere che le organizzazioni cancellino l’archivio dei propri dati personali, ma questo si applica solo se “non c’è motivo legittimo” per conservare i dati.
Se si memorizzano dati personali, considerate i motivi legittimi per il loro mantenimento. Sarà il vostro l’onere della prova nel dimostrare che i vostri motivi legittimi prevalgono sugli interessi della persona interessata. Non dimenticatevi che potrà capitare di dover affrontare individui che hanno una cognizione non realistica del loro diritto di essere dimenticati…
3. Attività di trattamento dei dati che coinvolgono terze parti
Se si forniscono servizi di elaborazione dati a terzi, è probabile che clienti vogliano garantire che i servizi siano compatibili con i requisiti emanati nella proposta di regolamento (se questo è in relazione alla minimizzazione dei dati) o vogliano essere aiutati a far rispettare il diritto di essere dimenticati o segnalare una violazione della sicurezza dei dati.
Si deve, quindi, valutare se la propria documentazione contrattuale sia adeguata e, per i contratti esistenti, capire chi sosterrà il costo di apportare modifiche ai servizi in seguito all’obbligo di uniformarsi alle modifiche di leggi o regolamenti già uso per effetto del nuovo regolamento.
Se si usufruisce di servizi di elaborazione dati da parte di un terzo, è molto importante determinare e documentare le rispettive responsabilità.
Trasferimento internazionale dei dati
All’interno di un gruppo internazionale che attui il trasferimento dei dati raccolti da un paese all’altro, sarà importante assicurarsi di avere una base legittima per il trasferimento a giurisdizioni che non sono riconosciute come aventi un adeguato regolamento di protezione dei record. Questo non è un problema nuovo, ma la mancata conformità ai requisiti del regolamento proposto potrebbe causare una multa fino al 2% del fatturato annuo a livello mondiale.
Mentre è probabile che la proposta di regolamento possa subire un’ampia rinegoziazione e modifica, questi principi di base dovrebbero, ormai, essere immodificabili.
Il rispetto degli obblighi come la responsabilità, necessiterà di tempo per entrare a far parte del DNA di una società.
Dato che le sanzioni finanziarie proposte per il mancato rispetto sono gravi, le aziende che iniziano a prendere misure per affrontare i cambiamenti proposti saranno in una posizione più forte.
La linea ufficiale è che le cifre in discussione relative a sanzioni e multe (in alcuni casi, come già indicato, pari al 2% del fatturato annuo a livello mondiale) siano comunque destinate a essere “effettive, proporzionate” e, più volutamente, “dissuasive”.
