Photo by arvin febry on Unsplash

General Data Protection Regulation, ecco quali sono i primi adempimenti

di Michele Gorga, avvocato

Nell’imminenza della scadenza del  prossimo 25 maggio 2018,  data in cui entreranno in vigore le norme del GDPR (General Data Protection Regulation), il legislatore nazionale ha fatto pubblicare  nella Gazzetta Ufficiale  del 27 novembre del  c.a., le prime modifiche al D. Lgs 196/03 con le quali si è ammette la possibilità di trattare i dati sanitari a fini statistici, fatta eccezione per quelli  genetici, senza il consenso degli interessati purché forniti nel pieno anonimato e sempre  la preventiva autorizzazione da parte del Garante.

In una situazione come quella italiana di organizzazione del servizio sanitario in base agli ambiti e alle specializzazioni delle strutture sanitarie, i grandi Big Player incrociando semplicemente i dati della provenienza delle richieste di ricovero del 118 con quello della specializzazione delle singole strutture del servizio sanitario nazionale, delle relazione di programmazione per la tipologia delle malattie in una data area territoriale, potranno risalire alle criticità sanitarie di intere zone del paese. Il rischio è che – vendendo i dati – possano orientare i servizi assicurativi, ma anche le offerte farmaceutiche sempre più mirate e personalizzate.

Non ha, quindi, alcun senso parlare di dati anonimi e protetti. Nella moderna società dell’informazione la trasmissione dei dati è, di fatto, illimitata e incontrollata perché internet esiste in quanto vi sono dati che popolano la rete e, quindi anche in presenza della revoca del consenso non è affatto probabile che il dato scompaia dai social network o dai motori di ricerca.

Sotto quest’ultimo profilo, come ha recentemente evidenziato la Corte di giustizia dell’Unione europea  i cittadini europei hanno il diritto di chiedere ai motori di ricerca come Google di rimuovere risultati relativi a chiavi di ricerca che includono il proprio nome  e tuttavia,  per poter essere rimossi, i risultati visualizzati devono essere inadeguati, irrilevanti o non più rilevanti, o eccessivi, valutazioni che  presuppongono  un bilanciamento tra il diritto dell’individuo a controllare i suoi dati personali ed il diritto di tutti di conoscere e distribuire le informazioni.

In tale prospettiva, di sostanziale incontrollabilità della circolazione del dato, occorre allora interrogarsi su qual è il perimetro del trattamento lecito e sulla connessa responsabilità penale, amministrativa e civile che è imputabile sia al soggetto di vertice della PA o dell’azienda, che è titolare del trattamento dei dati, che al Data Protection Officer, che assume su di se il relativo incarico di affiancare il titolare nel trattamento dei dati e ciò nel quadro del ribaltamento del precedente quadro normativo.

Al netto dei profili di responsabilità civile, penale, amministrativa l’altra  questione che qui interessa porre in evidenza è quella del perimetro entro cui vanno esercitati i diritti dell’interessato quali – Informativa sul trattamento; indicazioni sulla finalità del trattamento; eventuali destinatari/utilizzatori dei dati; il periodo di conservazione; la rettifica o cancellazione degli stessi; di accesso; portabilità; diritto di opposizione rispetto ai quali  la PA dovrà  designare il Data Protection Officer, tenendo ben presente le criticità appena trattate; istituzione del registro delle attività di trattamento; la procedura per la notifica delle violazioni dei dati personali (data breach); la valutazione d’impatto da violazioni (DPIA – Data Protection Impact Assessment).

Rispetto a tali compiti ed adempimenti preliminari, tuttavia, ad ogni approccio operativo è la valutazione del rischio (risk based) dell’amministrazione o azienda che domanda il servizio e alla quale si ritiene di poter fare l’offerta. In via principale sarà necessario effettuare una valutazione dell’impatto sulla privacy (Privacy Impact Assessment) ossia l’analisi della valutazione dei rischi per i trattamenti previsti. Il GDPR, infatti, disciplina l’obbligo di assicurare che le misure adottate attuino efficacemente i principi di privacy by design – protezione dei dati fin dalla progettazione del sistema di protezione -, ossia della privacy per impostazione predefinita (privacy by default) – impostazione predefinita che preveda il trattamento dei soli dati necessari al perseguimento delle finalità dichiarate-, l’implementazione delle misure di sicurezza adottate  dovrà tenere conto dell’analisi dei rischi e dei costi di attuazione, per organizzazioni anche complesse ed eventualmente armonizzate con il processo di Risk Management per poter procedere, poi, per livelli:

  1. Il primo livello è quello del Privacy Assessment ossia la mappatura dei dati da trattare; l’analisi dei soggetti addetti al trattamento all’interno della P.A. ossia quell’attività volta ad individuare il Sistema di Governance della Privacy descrittiva delle finalità dei trattamenti.
  2. Il secondo livello consiste nella istituzione del Registro delle attività dei trattamenti dei dati personali nel quale trascrivere le categorie dei soggetti interessati al trattamento; i dati trattati, i soggetti destinatari di comunicazione dei dati, i termini  per la cancellazione da parte dei soggetti richiedenti;  i  comunicati aventi come destinatari i Paesi terzi ovvero le specifiche organizzazioni internazionali; nonché i ruoli e responsabilità per i trattamenti e le misure di sicurezza tecniche/organizzative adottate per la protezione dei dati. Queste informazioni dovranno essere contenute nel Registro quale elenco aggiornato di tutti i trattamenti effettuati dalla Pubblica
  3. Il terzo livello consiste nella definizione del Modello Organizzativo Privacy ossia vengono individuate le figure che sono coinvolte nel trattamento dei dati rispettivamente nell’ordine: il Titolare; il Contitolare; il DPO; i Responsabili, ecc. specificando chi fa e che cosa è chiamato a fare e in che tempi deve fare e ciò in base ai relativi ruoli e livelli di responsabilità assegnati dalla norma,  nonché a disegnare  i processi di Privacy by design e by default, Privacy Impact Assessment e notifica dei Data Breach.
  4. al terzo si ricollega il quarto livello direttamente quello interno che consiste nella pianificazione delle attività da compiersi rispetto alle tecnologie in uso ed ai connessi rapporti, responsabilità o attività relativi ai servizi Cyber Security a supporto. Di conseguenza per Implementazioni & Data Protection Management – occorrerà predisporre dei servizi per la esecuzione Privacy Impact Assessment e per la definizione dei piani di trattamento del rischio gestione e manutenzione delle procedure di data Protection.  Attività del DPO e dei responsabili del trattamento Esecuzione Audit privacy. Esecuzione Privacy Impact Assessment e definizione Piani di trattamento del rischio.

La conseguenza che diventa dirimente è quella di formare professionisti di Data Protection che, in sinergia tra loro, saranno in grado di formare il nuovo servizio professionale pluridisciplinare giuridico-economico e tecnico-informatico per la Pubblica Amministrazione e le imprese.

 

Foto di arvin febry