Il nuovo regolamento europeo sulla privacyConsigli per i professionisti e gli adeguamenti di Inarcassa

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito il “Regolamento” o il “GDPR”). Si riportano pertanto in seguito alcuni spunti di riflessione anche al fine di fornire agli associati delle informazioni utili sul Regolamento e sulle sue implicazioni cercando nel contempo di illustrare anche l’attività svolta da Inarcassa per adeguarsi al suo portato precettivo e, in conclusione, provando a dare dei suggerimenti su quello che dovrebbero fare gli associati nella loro qualità di professionisti o soci di società professionali titolari del trattamento.
 
 
INTRODUZIONE AL GDPR
 
Le fonti normative della “nuova privacy”
In primo luogo, per comprendere la gerarchia delle fonti che dallo scorso 25 maggio governano la materia della protezione dei dati, è opportuno evidenziare perché il legislatore Europeo abbia deciso di optare per un Regolamento, che si caratterizza per essere immediatamente applicabile in tutti gli Stati membri, e non per una Direttiva, come era già stato fatto in precedenza con la Dir. 95/46/CE, che per la propria attuazione necessita di un provvedimento normativo di attuazione da parte dello Stato membro. La ragione di questa scelta è indicata nel Considerando n. 9 del GDPR dal quale emerge che uno degli aspetti che si è rivelato maggiormente critico nell’attuazione della Direttiva 95/46/CE è stato individuato nella “frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione” nonché nell’incertezza giuridica data dalla “compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali” che “può ostacolare la libera circolazione dei dati personali all’interno dell’Unione”. Pertanto, la scelta fatta trova la propria ratio nella necessità di evitare che differenze nelle legislazioni locali possano costituire un ostacolo “all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione”. Per questo motivo, l’articolo 94 del GDPR abroga espressamente la Direttiva 95/46/CE. Ciononostante, il GDPR prevede espressamente in alcune circostanze un rinvio alle normative “locali” che non sono espressamente abrogate ma che si devono intendere come non applicabili nelle parti in cui sono incompatibili con il GDPR. Le considerazioni appena riportate chiariscono dunque perché il D.Lgs. 196/2003 (cd. Codice Privacy) adottato dall’Italia in recepimento della Direttiva sia in parte ancora in vigore e il perché vi sia la necessità di ricorrere a uno strumento normativo di coordinamento tra il GDPR e il Codice Privacy. Questo strumento è oggetto di lavoro della cd. Commissione Finocchiaro – istituita in virtù della legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea” e della legge 20 novembre 2017, n. 167 (c.d. Legge europea 2017) – che ha elaborato una bozza di decreto legislativo ma fino a quando non sarà adottato mediante pubblicazione in Gazzetta Ufficiale, il Codice privacy resterà in vigore ma solo limitatamente alle norme compatibili con la nuova disciplina europea, la quale, lo si ripete, dopo il 25 maggio 2018 è in realtà anche parte integrante d’ordinamento italiano.
 

 
Ambito di applicazione del GDPR
Il Regolamento si applica al trattamento di dati personali delle sole persone fisiche effettuato da un titolare stabilito nel territorio dell’Unione Europea o da un titolare non stabilito nel territorio dell’Unione Europea laddove il trattamento riguardi dati di persone residenti nell’UE al fine di offrir loro beni e servizi. Restano esclusi, invece, dall’ambito di applicazione: • i dati delle persone non fisiche, in quanto il Regolamento si applica solo al trattamento di qualsiasi informazione riguardante una persona fisica identificata o identificabile. • i trattamenti di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale; a maggior chiarimento di quanto appena indicato, il Considerando 18 specifica che le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività.
 
Le novità
Nell’ambito della rassegna sulle principali novità introdotte dal GDPR e che saranno di seguito meglio descritte, la prima è direttamente collegata al sistema delle fonti sopra accennato e attiene alla liceità del trattamento: il consenso legittimamente prestato in vigenza della Direttiva abrogata resta valido anche sotto il Regolamento, pertanto, il consenso non deve esser nuovamente ottenuto dal titolare del trattamento. Questa circostanza va letta alla luce dell’art. 6 GDPR che individua come basi giuridiche del trattamento: il consenso, la legge, il contratto, l’esecuzione di un interesse pubblico, la salvaguardia di un interesse vitale dell’interessato e l’interesse legittimo del titolare. Pertanto, il consenso non è più (insieme all’esistenza di una legge) l’unica base giuridica che autorizza il trattamento dei dati.
 
Le sanzioni Tra le principali innovazioni introdotte dal GDPR il quadro sanzionatorio rappresenta, per molti, quella di maggior impatto, in particolare, nella parte in cui prevede che le sanzioni amministrative pecuniarie possono raggiungere i 20 milioni di euro o, se superiore, il 4% del fatturato mondiale. Con riferimento, invece, alle sanzioni di carattere penale, all’interno del Considerando 149 è previsto che gli Stati membri possono prevederle ove le ritengano utili come ulteriore strumento di enforcement. Su questo è opportuno attendere le decisioni che saranno adottate con il decreto legislativo in corso di adozione.
 
La nuova informativa all’interessato Meno innovativi rispetto alla previgente disciplina ma sicuramente fonte di numerose modifiche, gli artt. 13 e 14 GDPR ridefiniscono il contenuto delle informative relative al trattamento dei dati personali che devono tassativamente contenere determinati elementi e che devono, quindi, esser aggiornate dai titolari del trattamento. I nuovi contenuti “aggiuntivi” delle informative sono, a titolo esemplificativo, i dati di contatto del responsabile della protezione dei dati (i.e. il DPO) eventualmente nominato, eventuali destinatari e le eventuali categorie di destinatari dei dati personali, l’intenzione del titolare del trattamento (eventualmente anche per il tramite dei responsabili esterni) di trasferire dati personali a un paese terzo o a un’organizzazione internazionale, l’indicazione del periodo di conservazione dei dati personali oppure dei criteri utilizzati per determinarlo, la specifica dei nuovi diritti degli interessati.
 
Il nuovo organigramma privacy Senza dubbio innovativo è l’approccio adottato dal GDPR in relazione all’assetto organizzativo interno al titolare del trattamento rispetto a quanto delineato dal Codice Privacy, in quanto le figure del responsabile interno e dell’incaricato non sono più contemplate: il GDPR, oltre al titolare e al DPO, disciplina solo ed esclusivamente la figura del responsabile esterno del trattamento (art. 28 GDPR). Deve considerarsi tale il soggetto che tratta dati per conto del titolare e questo è sicuramente uno degli ambiti che, al fine della conformità al GDPR, richiede uno sforzo maggiore dal punto di vista organizzativo. Infatti, il titolare dovrà:
• svolgere la mappatura di tutti i fornitori esterni che trattano dati personali per suo conto; verificare le previsioni contrattuali vigenti con detti fornitori; • formalizzare, mediante integrazione del contratto esistente, la nomina a responsabile esterno del trattamento; • fornire ai responsabili esterni le istruzioni necessarie all’esecuzione del trattamento; • dare istruzioni specifiche in merito alle misure di sicurezza da adottare; in considerazione delle sanzioni che prevede il GDPR questo aspetto è molto importante soprattutto nei trattamenti effettuati medianti fornitori di piattaforme informatiche; • richiedere ai responsabili esterni di tenere il registro per quei trattamenti svolti per proprio conto;
• prevedere la possibilità di effettuare verifiche specifiche presso il fornitore/responsabile esterno.
 
Appare dunque evidente che questo tipo di attività impatta direttamente anche il processo di valutazione dei fornitori che, quando svolgono attività che includono il trattamento di dati per conto del titolare, dovranno essere valutati anche dal punto di vista della loro affidabilità in materia di protezione dei dati nonché conformità al GDPR (per esempio, verificando l’adozione di adeguate misure di sicurezza o che l’elaborazione del bene o del servizio avvenga tenendo in considerazione i principi di privacy by design e privacy by default).
 

 
Il DPO Accanto al titolare del trattamento sul quale, in base al principio dell’ accountability, grava interamente l’obbligo di conformità agli obblighi dettati dalla normativa, il GDPR menziona espressamente il responsabile del trattamento, configurandolo solo nella sua accezione di soggetto esterno rispetto alla struttura del titolare, e il Data protection officer. La figura del DPO, oltre a fungere da elemento per il rispetto del principio di responsabilizzazione su cui si basa l’intera disciplina europea, facilita e favorisce l’osservanza della normativa. Peraltro, i DPO sono stati pensati dal legislatore europeo per fare da collante per l’intero sistema di data protection poiché, alla luce dei propri compiti, poteri e funzioni, hanno un ruolo primario nell’interazione con le autorità di controllo, gli interessati e le divisioni operative interne al titolare e, conseguentemente, fungono da interfaccia tra e per gli stessi. Posto che il DPO deve avere autonomia gestionale e finanziaria, il GDPR prevede una serie di condizioni con riferimento alla nomina, ai poteri e ai compiti dello stesso. Ai sensi dell’articolo 37 del Regolamento la nomina di un DPO, ex se, non è obbligatorio. Tuttavia, sempre l’articolo 37 del Regolamento prevede che la facoltà di nomina del DPO diventi un vero e proprio obbligo, alternativamente, nei seguenti casi: il trattamento dei dati è effettuato da un’Autorità e/o un ente pubblico, le attività core del titolare o del responsabile del trattamento si identificano in trattamenti che richiedono un monitoraggio continuo e sistematico, su larga scala, di soggetti titolari di dati, le attività core del titolare o del responsabile del trattamento si identificano in trattamenti su larga scala di categorie speciali di dati o di dati relativi alle condanne penali e ai reati o connesse misure di sicurezza.
 
Il Registro dei trattamenti Altra novità di gran rilievo e impatto in termini organizzativi è quello previsto dall’articolo 30 del GDPR che prevede che “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. Tale registro deve contenere determinate informazioni, quali: il nome e i dati del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati, le finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi o organizzazioni internazionali, ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate, ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati, ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. Tuttavia la tenuta del registro dei trattamenti non è obbligatoria per chiunque, in quanto è lo stesso GDPR a prevedere una limitazione. In base all’articolo 30, paragrafo 5, il registro è adempimento obbligatorio per il titolare con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa categorie di dati particolari.
 
I nuovi diritti degli interessati Il GDPR ha introdotto nuove modalità di esercizio di diritti già previsti e nuovi diritti riconosciuti agli interessati inserendoli negli articoli dal 15 al 22 del GDPR e prevedendo per ognuno di essi specifici requisiti di esercizio. L’articolo 15 del GDPR prevede per l’interessato la possibilità di ottenere innanzitutto dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano oppure di conoscere se un determinato soggetto sia in possesso o meno di sue informazioni. L’articolo 16 stabilisce che l’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano, nonché l’integrazione dei dati personali incompleti. L’articolo 17 prevede il diritto all’oblio nel caso in cui la conservazione dei dati violi lo stesso GDPR o il diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento. Il diritto all’oblio, con l’entrata in vigore del GDPR, riceve un’espressa regolamentazione che ne indica portata e limiti. Il GDPR prevede la possibilità per l’interessato di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali, che non siano più necessari per le finalità per le quali sono stati raccolti, nel caso in cui l’interessato revochi il consenso al trattamento dei dati, il periodo di conservazione degli stessi sia passato oppure quando non vi siano altri legittimi motivi per proseguire il trattamento, quando vi è opposizione da parte dell’interessato al trattamento dei dati personali, se un tribunale (o altra autorità di regolamentazione comunitaria) ordini in maniera definitiva e assoluta la cancellazione dei dati, nell’ipotesi in cui i dati siano stati trattati illecitamente. Un’altra novità è il diritto alla limitazione del trattamento che l’interessato può esercitare quando ricorra una delle condizioni espressamente indicate dall’articolo 18 del GDPR. L’articolo 19 introduce il diritto alla portabilità, che consiste nella facoltà per l’interessato di ricevere da un titolare del trattamento i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Questo diritto comporta anche quello di poter trasmettere (o chiedere che siano trasmessi) tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare originario.
 

 
L’ADEGUAMENTO DI INARCASSA AL GDPR
 
In considerazione dell’introduzione da parte del GDPR, Inarcassa in qualità di titolare del trattamento dei dati ha ritenuto opportuno attivare fin dall’autunno dello scorso anno un processo di analisi preliminare del proprio sistema di controllo in materia di privacy al fine di individuare i gap rispetto alla nuova normativa di matrice europea. In primo luogo è stata oggetto di analisi la cd. base giuridica in virtù della quale Inarcassa tratta i dati e la verifica condotta ha evidenziato che con il GDPR questa è rimasta immutata in quanto i dati continuano a esser trattati in adempimento di obblighi e doveri che sono imposti dalla L. n. 6/81 e s.m.i., dal D.Lgs. 509/94, dal Decreto Interministeriale 28/11/95 e s.m.i. (recante lo Statuto di Inarcassa) e dal proprio Regolamento Generale della Previdenza approvato con provvedimenti ministeriali del 2012 (e successivi). Pertanto, il conferimento di tali dati da parte dell’interessato e la loro acquisizione e gestione da parte di Inarcassa costituiscono un obbligo di legge per di più dettato in materia di protezione sociale. L’attività di analisi è poi proceduta mediante una ricognizione della documentazione e dei presidi esistenti, delle procedure e della contrattualistica rilevante in materia privacy e ha consentito di elaborare un elenco delle attività di cd. remediation da intraprendere per esser conforme al GDPR. Analogamente, anche le misure di sicurezza dei singoli applicativi informativi che Inarcassa utilizza per trattare dati personali sono stati oggetto di un’analisi specifica. L’attuazione delle azioni di remediation individuate si è concretizzata nella predisposizione e aggiornamento di tutta la modulistica, di tutte le informative per il trattamento di dati conferiti dalle differenti categorie di interessati, nella redazione di un Manuale inerente la protezione dei dati che aggiorna le previgenti policy di Inarcassa e che contempla anche le linee guida sulle modalità di gestione delle richieste di esercizio dei propri diritti da parte degli interessati e nell’elaborazione del registro dei trattamenti. Nel frattempo, come indicato in precedenza al paragrafo Il nuovo organigramma privacy, sono stati mappati tutti i contratti con i fornitori che trattano dati per conto di Inarcassa e sono stati integrati i relativi contratti prevedendo la loro designazione a responsabili esterni ex art. 28. Infine, il Consiglio di Amministrazione ha provveduto con delibera del 13 aprile 2018 alla nomina del DPO che, in alcune occasioni, ha già avuto modo di interfacciarsi con alcuni associati.
 
 
L’ADEGUAMENTO AL GDPR DI PROFESSIONISTI E SOCIETÀ DI PROFESSIONISTI
 
In applicazione del principio di accountability, i professionisti in qualità di titolari del trattamento dei dati personali dei propri dipendenti, collaboratori e clienti, devono:
• garantire che le attività di trattamento dei dati personali che pongono in essere nello svolgimento della loro attività quotidiana rispettino i principi generali del Regolamento; • predisporre misure adeguate ed efficaci per garantire la sicurezza dei dati. A tal proposito preme sottolineare che il principio di accountability impone non solo l’obbligo di essere in grado di dimostrare la conformità al Regolamento ma l’attuazione di appropriate misure di sicurezza ex ante, fin dal primo momento in cui li acquisisce; • determinare i periodi e le modalità di conservazione e archiviazione dei dati.
La responsabilità che grava sul titolare comprende, pertanto, tutte le sfere di attività del professionista che coinvolgano il trattamento di dati personali e gli impone di strutturare il proprio lavoro considerando come essenziale la definizione di un processo di trattamento dei dati che comprenda la conformità al GDPR.
 
Adempimenti per gli associati
In conclusione, nel tentativo di esser di supporto agli associati, riportiamo di seguito un breve elenco di attività (il minimum standard) che i professionisti, dovrebbero valutare e porre in essere al fine di esser conformi al GDPR:
• aggiornamento delle lettere di incarico includendo una specifica previsione in materia di conformità al GDPR; • aggiornamento delle informative, necessarie a garantire il corretto e trasparente uso dei dati. L’informativa dovrà essere scritta in maniera concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, occorre utilizzare un linguaggio chiaro e semplice. Tali informative che rendono ai dipendenti, ai collaboratori e ai clienti dovranno essere complete ed aggiornate secondo le prescrizioni della nuova normativa; • mappatura dei fornitori che trattano dati di cui sono titolari, e loro nomina a responsabili esterni ex art. 28, ossia tutti quei soggetti che trattano i dati per conto del titolare (i.e. professionista); nei rapporti contrattuali con questi soggetti devono esser previste e richieste specifiche garanzie affinché in materia di misure tecniche e organizzative siano tali da soddisfare i requisiti del Regolamento e la tutela dei diritti dell’interessato; • formazione dei dipendenti in materia di GDPR; • analisi dei presidi di sicurezza informatica degli applicativi utilizzati nel trattamento dati; dovranno essere predisposte ed attuate delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Più nello specifico, alcune delle misure che il titolare del trattamento dei dati potranno concretamente adottare sono, come stabilito dall’art. 32, paragrafo 1: – la pseudonimizzazione e la cifratura dei dati personali; – la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; – la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; – una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.  ■