Privacy: uno sguardo al Nuovo Regolamento Europeo

0

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, in merito alla protezione delle persone fisiche – trattamento dei dati personali, nonché alla loro libera circolazione, che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) da cui era disceso il D.Lgs. 196/2003.
Atteso da alcuni anni, con un percorso in progressiva salita e interessi economici legati in primis alle attività di marketing e di profilazione, oltre che ai rapporti tra Europa e resto del mondo, il Nuovo Regolamento apre ad inattesi scenari.
Entrato in vigore il 25 Maggio 2016, sarà concretamente operativo nei Paesi UE a decorrere dal 25 maggio 2018, lasciando a tutti i soggetti interessati un  biennio di tempo per gli adeguamenti necessari alle proprie politiche del trattamento dei dati.

Il Regolamento, senza necessità di recepimento con atti nazionali, garantisce una disciplina sulla protezione dei dati personali uniforme ed omogenea in tutta la UE. Per l’Italia, sostituisce il “Codice Privacy” in vigore dal 1° Gennaio 2004.
Rispetto alla proposta originaria, ormai del gennaio 2012, sono stati mantenuti alcuni punti cardine, come il diritto all’oblio e alla portabilità dei dati, le notifiche di violazione agli utenti e alle autorità nazionali, le modalità semplificate di accesso ai dati personali e la possibilità per le imprese di rivolgersi a un’unica autorità di vigilanza, ma ne sono stati aggiunti molti altri volti in particolare ad adattare la legislazione UE alle nuove tecnologie e all’uso sempre più massiccio che si fa di internet.
Proprio a causa del continuo incremento di dati in rete e di sempre più fitte connessioni tra i diversi Paesi del mondo si è voluto, infatti, anche regolamentare la diffusione dei dati personali all’esterno dell’Unione Europea.
Maggiore sarà, inoltre, la protezione dei dati su internet con alcuni vincoli restrittivi sui meccanismi di profiling, e non da ultimo viene fatto obbligo dell’utilizzo di un linguaggio chiaro nelle regole relative alla privacy, senza dimenticare che i fornitori di servizi internet saranno chiamati a richiedere un consenso esplicito prima di un qualsiasi utilizzo dei dati personali dei propri clienti.
Anche per le piccole e medie imprese ci sono interessanti novità che mirano a burocrazie più snelle con positivi tagli ai costi. Pensiamo, solo per fare un esempio, alla caduta dell’obbligo della notifica alle autorità di vigilanza, ma non solo.
La figura del responsabile della protezione dati sarà facoltativa tanto quanto la valutazione dell’impatto, a meno che non sia presente un rischio particolarmente elevato anche nelle PMI.
Ma procediamo con ordine, cercando di fare in questa sede una panoramica pratica e concreta su tre aspetti: rapporto Titolare e Responsabile, Certificazioni e in senso lato Organizzazioni.

Il rapporto tra Titolare e Responsabile: cosa potrebbe cambiare dal punto di vista della normativa integrativa nazionale?

Dalla traduzione del Nuovo Regolamento sembra che il rapporto tra titolare e responsabile abbia subito marginali variazioni.
Quello che, invece, emerge in modo evidente è una maggior leadership: fattore a denominatore comune con le nuove norme sui sistemi di gestione. Altrettanto palese risulta la trasformazione del «Trattamento»
•da “Tutela dei dati personali” (quale mero adempimento burocratico),
•a “Processo Integrato nella gestione dell’organizzazione”.
Di fatto, quindi, il Nuovo Regolamento Europeo Privacy ci accompagna verso una vera e propria svolta culturale, passando dal vecchio concetto di “To do cogenti” ad un “Approccio per Processi” a valore aggiunto, di “Protezione dei dati in ottica Risk Based”.
A livello pratico assistiamo ad un cambio di paradigma, dove il “focus” viene posto su:
•specifica analisi dei trattamenti;
•puntuale identificazione dei rischi;
•analitica trattazione delle contromisure per mitigare i rischi.
Questo approccio consentirà di disegnare processi privacy maggiormente efficaci, atti a creare valore nell’organizzazione dell’Ente ove vengono implementati.
Restano, infine, ancora alcune zona d’ombra, e qualche incognita, su quanto potrà avvenire nel contesto nazionale nei due anni di transizione al nuovo Regolamento.
Il Garante della Privacy Italiano dovrà fornire le opportune indicazioni per l’adeguamento e quanto finora normato in Italia, nel contesto del trattamento dei dati, che continuerà ad essere il termine legislativo cogente di riferimento.

Le Certificazioni in ottica privacy: quali vantaggi e quali passi le organizzazioni potrebbero e/o dovrebbero effettuare?

In tema Certificazioni non si apre uno scenario definitivo, ma ci troviamo di fronte, di fatto, a contesti informativi e propositivi, talvolta contrastanti e confusi.
Sul fronte ISO ci riferiamo a integrazioni alla ISO/IEC 27001 – 27002 in coerenza a quanto indicato nella ISO 27018 [Code of practice for protection of personallyidentifiable information (PII) in public clouds] in termini di Controlli e Misure di Protezione, in conformità alla ISO/IEC 29100 [Framework Privacy].
Posizione di forte rilievo è stata attribuita all’Ente Nazionale di Accreditamento (Accredia). Ricordiamo, infatti, che il Regolamento Europeo 679/2016 (a partire dal 25 maggio 2018), prevederà il coinvolgimento di Organismi di certificazione accreditati per valutare la conformità dei sistemi di protezione dei dati attivati dai titolari o dai responsabili del trattamento (articoli 42 e 43).
La norma indicata come riferimento per l’accreditamento degli Organismi è la EN ISO/IEC 17065:2012 che disciplina il rilascio della certificazione di prodotto, di cui il titolare o il responsabile del trattamento dei dati potranno dimostrare il possesso con “sigilli o marchi”. A tal proposito si è tenuto un primo incontro degli OdC italiani lunedì 27 giugno 2016 in Accredia.
Sul fronte delle Associazioni Professio­nali riconosciute dal MISE (Legge 4/2013) abbiamo, invece, due Soggetti di Riferimento:
•AssoDPO, che attesta (articolo 7) ed attraverso l’OdC Bureau Veritas certifica (articolo 9) i propri associati, secondo una norma UNI;
•Federprivacy, che attesta (articolo 7) ed attraverso l’OdC TUV Italia certifica (articolo 9) i propri associati, secondo uno schema proprietario.
In prospettiva, guardando ai primi mesi dell’autunno 2016, è prevista la pubblicazione da parte di UNIFO (Federata UNI) della nuova norma 11621:2016-5 e 11621:2016-6.
Sulla base della nuova norma, gli Organismi di Certificazione del Personale, accreditati Accredia, potranno certificare i professionisti in conformità a Schemi accreditati secondo lo Schema ISO/IEC 17024: 2012.
Il Regolamento Europeo 679/2016 contiene, quindi, tutti i requisiti sulla base dei quali è possibile “costruire” Sistemi di Protezione dei Dati, certificabili degli Organismi accreditati secondo la norma EN ISO/IEC 17065:2012 (certificazione di prodotto).
Per le Organizzazioni non sempre è facile identificare le competenze Professionali degli interlocutori a cui ci si rivolge.
La Certificazione delle Competenze – di un Data Protection Officer – emessa da un OdC Accreditato Accredia e basata sui principi fondanti della 
•indipendenza,
•trasparenza ed
•imparzialità,
garantisce il possesso delle competenze professionali dei propri dipendenti o fornitori di servizi sulla protezione dei dati personali, finalizzate alla progettazione, verifica e mantenimento di un sistema di gestione dei dati personali e all’adozione di idonee misure di sicurezza per la tutela di dati e informazioni, in conformità ai requisiti di legge, assicurando un elevato grado di sicurezza e riservatezza. 

Organizzazione, Strumenti e Buone Norme Privacy da applicare per adeguarsi al nuovo regolamento.

Per disporre di un congruo vantaggio competitivo sono due i fronti su cui iniziare a muovere i primi passi.
•Il primo riguarda l’Impostazione del Sistema di Protezione dei Dati. Su questo fronte ricordiamo Ia ISO/IEC 27001 (La tutela dei dati personali è una piccola parte della sicurezza delle informazioni aziendali) e la ISO/IEC 29100. Il “Valore Aggiunto” potrebbe derivare dalla Certificazione di tale Sistema (in questo caso i requisiti sono iscritti all’interno del Regolamento Europeo 679/2016) o dalla Integrazione (sinergica) con altri Sistemi di Gestione Pre-esistenti. In quest’ultimo caso non va invece commesso l’errore di proporre modelli ispirati alla vecchia ISO 9001:2008, ma bensì occorre rifarsi alla nuova versione 2015.
•Il secondo riguarda la Formazione dei Professionisti e la relativa certificazione delle competenze (Formali, ma anche Informali e non formali). La strada della certificazione accreditata (volontaria) sembra essere quella più affidabile e l’unica che consentirà un riconoscimento a livello europeo (ed internazionale).

CLAUDIO ROSSO

Presidente AICQ Nazionale
aicqna.presidenza@aicq.it
Share.

Comments are closed.