Il General Data Protection Regulation (GDPR ) è il nuovo Regolamento Europeo sulla Privacy, entrato in vigore il 25 Maggio 2018.

Il nuovo Regolamento UE 2016/679 è direttamente applicato in tutti i Paesi dell’Unione Europea e ha dunque il merito di consentire una maggiore armonizzazione a livello europeo in materia di privacy, attraverso un testo unico che sarà valido in tutti gli Stati membri, fermo restando che in capo agli stessi rimane comunque la facoltà di dettare disposizioni integrative a riguardo.

La nuova normativa rappresenta un onere economico rilevante per gli studi professionali e per le imprese, tenuto conto che il Regolamento prevede per le multinazionali che non rispettano i requisiti di protezione dei dati, multe fino al 4 per cento del loro fatturato globale o alla cifra di 20 milioni di euro.

È bene dunque evidenziare le principali novità introdotte dal GDPR, riguardanti in primo luogo l’informativa e il consenso.

L’informativa andrà resa in forma concisa, trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice e chiaro; le informazioni saranno fornite per iscritto o in formato elettronico e, se richiesto dall’interessato, potrà essere fornita anche oralmente, a condizione che sia comprovata con altri mezzi l’identità dell’interessato.

Per quanto concerne il consenso al trattamento dei dati personali, quest’ultimo deve essere libero, specifico, informato e non tacito o presunto, oltre che inequivocabile. Viene esclusa ogni forma di consenso tacito oppure raccolto attraverso la presentazione di opzioni già selezionate.

Peraltro il consenso sarà sempre revocabile.

Riceve inoltre un’espressa regolamentazione il cosiddetto «diritto all’oblio» ovvero il diritto da parte dell’interessato ad ottenere la cancellazione dei propri dati personali, anche on line, da parte del titolare del trattamento, in talune ipotesi espressamente previste dal Regolamento. I casi in cui il diritto all’oblio incontra dei limiti sono altresì indicati nel Regolamento.

Il GDPR introduce la portabilità dei dati ovvero la possibilità che il titolare trasferisca i dati portabili ad altro titolare indicato dall’interessato e con il suo consenso. La ratio è quella di favorire una maggiore fluidità del mercato digitale.

Vengono inoltre previste maggiori garanzie per i minori: i fornitori di servizi Internet ed i social media infatti, dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.

Saranno poi necessarie valutazioni d’impatto sulla protezione dei dati (Privacy Impact Assessment) in caso di trattamenti rischiosi e verifiche preliminari per diverse circostanze da parte del Garante.

La normativa richiede, nel caso degli organismi con più di 250 dipendenti, che i titolari e i responsabili debbano tenere il registro dei trattamenti, adottare misure di sicurezza, notificare le violazioni dei dati personali (Data breach notification) all’autorità di controllo, entro 72 ore dalla scoperta, e designare un responsabile della protezione dei dati: il Data Protection Officer (DPO) è una nuova figura che fornisce alle aziende la consulenza necessaria per quel che concerne la gestione e la protezione dei dati personali. La sua designazione ad opera dell’impresa/professionista è obbligatoria soltanto nei casi tassativamente indicati nel Regolamento.

Va sottolineato che la normativa in questione si estende ben oltre i confini del nostro continente poichè si applica anche alle aziende che, a prescindere dalla loro collocazione geografica, conservano dati personali relativi a clienti residenti in Europa.

In base ai risultati di una ricerca Vanson Bourne,  promossa da WatchGuard Technologies, il 37% del campione non sa se la propria azienda debba o meno sottostare ai criteri di conformità del GDPR, con il 28% che crede di non essere coinvolto. Eppure, tra questi ultimi, il 14% raccoglie dati personali di cittadini europei. Emerge quindi questa scarsa consapevolezza circa l’ambito di applicazione del GDPR.

È opportuno pertanto chiarire che «qualsiasi azienda extra EU che entra in contatto con dati di cittadini europei e offre a essi beni o servizi o monitori il loro comportamento deve sottostare integralmente al regolamento». Peraltro questa azienda dovrà anche nominare, all’interno di un Paese dell’Unione nei casi indicati dall’art.27 GDPR, un rappresentante che svolga essenzialmente la funzione di intermediario tra la stessa e l’Autorità Garante nazionale in materia di tutela della privacy ovvero l’organo che controlla l’osservanza della nuova normativa. La nomina di un rappresentante all’interno di un Paese membro è spesso inevitabile poichè, in assenza di un interlocutore designato, qualora fosse riscontrata la non conformità rispetto a quanto stabilito dal GDPR, l’impresa potrebbe dover affrontare le iniziative di tutti i Paesi i cui garanti hanno denunciato una violazione e conseguentemente vedersi irrogata una sanzione.

In contesto extra europeo, importanti riflessi del GDPR si potrebbero avere in Svizzera, Stati Uniti, Cina, Russia, India, Gran Bretagna, ovvero in quei paesi che sono i principali interlocutori delle operazioni transnazionali.

Altra novità rilevante è rappresentata dal fatto che il trasferimento dei dati a paesi terzi potrà avvenire anche senza l’autorizzazione nazionale del Garante, a differenza di quanto invece vigeva con il precedente Codice della privacy. Ciò è tuttavia vero soltanto in parte, in quanto l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad hoc oppure accordi amministrativi stipulati tra autorità pubbliche.

Il GDPR, al Capo V, ha previsto che i flussi di dati in Paesi extra-UE sono vietati a meno che intervengano specifiche garanzie che il regolamento elenca in ordine gerarchico:

i) adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea;

ii) in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d’impresa – BCR e clausole contrattuali modello);

iii) in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni.

Per quanto concerne il primo punto, va precisato che la valutazione di adeguatezza deve tener conto di precisi parametri espressamente previsti dall’art. 45 comma 2 del Regolamento. Deve essere poi svolto un riesame periodico di tale decisione, al fine di mantenere sotto controllo l’effettiva adeguatezza del livello di protezione dei dati. Ebbene, se lo Stato verso cui i dati verranno trasferiti è stato giudicato adeguato, tutti i trasferimenti verso quello Stato non devono più essere soggetti ad autorizzazioni di alcun tipo.

In merito al secondo punto, va rilevato come in questo caso il titolare o il responsabile del trattamento possano trasferire i dati personali verso un paese terzo solo se hanno fornito garanzie adeguate, specificate dal GDPR in modo non tassativo, e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Tra queste garanzie le componenti legali e contrattuali ricoprono un ruolo importante.

Come mette in luce il terzo punto, deroghe eccezionali al divieto di trasferimento sono tassativamente previste dal Regolamento.

Meritevoli di particolare attenzione sono infine le  Binding Corporate Rules(BCR), che rientrano nelle garanzie adeguate di cui si è detto poc’anzi ma che hanno la particolarità di essere volte al trasferimento transfrontaliero dei dati tra società facenti parti dello stesso gruppo. Queste si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

L’art. 4 del Regolamento definisce espressamente le «norme vincolanti d’impresa» come “le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento, stabilito nel territorio di uno Stato membro, al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune”.

Le BCR quindi costituiscono un meccanismo in grado di ridurre e semplificare gli oneri amministrativi a carico delle multinazionali per quanto riguarda i flussi infra-gruppo di dati personali.

Il rilascio di un’autorizzazione al trasferimento di dati personali tramite BCR permette infatti, alle filiali della multinazionale che ne abbia fatto richiesta e a prescindere dalla loro collocazione geografica, di trasferire, all’interno del gruppo d’impresa, i dati personali oggetto delle BCR, non essendo necessari ulteriori adempimenti.

Nel concreto, il contenuto di queste clausole consiste nel complesso delle regole tecniche, delle norme, degli strumenti di sicurezza e delle policy aziendali che le società programmano di attuare, adottate dalle società infragruppo per il trasferimento di dati.

Requisito fondamentale per poter usufruire di questo meccanismo è dunque l’appartenenza delle società coinvolte nel trasferimento al medesimo gruppo societario.

Per poter essere utilizzate le BCR devono essere di volta in volta approvate dall’autorità di controllo competente in materia, conformemente al meccanismo di coerenza ex articolo 63. In particolare, per essere approvate viene richiesto che:

• siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti;
• conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali;
• soddisfino una serie di stringenti requisiti predeterminati.

Da quanto brevemente espresso in questa trattazione si evince come in applicazione del GDPR le imprese dovranno attuare e implementare i propri modelli di tutela della privacy e di trattamento dei dati personali a livello Europero ma anche verso paese terzi con importanti riflessi nei rapporti infragruppo. Nei prossimi mesi potranno essere valutate le prime concrete risposte al testo normativo appena entrato in vigore.

La versione inglese di questo articolo appare qui.

Si prega di visitare il nostro sito web a horizons-advisory.com/it