Dall’Europa, le nuove normative cambieranno radicalmente il modo di intendere la privacy e le azioni da portare avanti. Abbiamo chiesto a Michele Iaselli, avvocato e Presidente dell’Associazione Nazionale per la Difesa della Privacy, di spiegarci le novità del GDPR.
Avvocato, il 25 maggio entrerà in vigore il GDPR: qual è il cambiamento di mentalità che porta questo nuovo regolamento?
Innanzitutto occorre dire che il discorso riguarda davvero tutte le attività organizzative. Certamente il settore assicurativo è uno dei più delicati, data l’importanza dei dati trattati, a seconda delle tipologie di polizze e per le giuste valutazioni del rischio. Chiarito questo, siamo di fronte a un cambiamento epocale, perché cambia il concetto stesso di “sicurezza”: non esistono più le cosidette misure minime, rispetto a quelle idonee. Oggi il GDPR parla di misure tecniche e misure organizzative, da individuare dopo un’attenta analisi in merito ai trattamenti da adottare rispetto alla specifica realtà organizzativa. Ogni titolare di trattamento, coadiuvato dal DPO (Data Protection Officer) dovrà monitorare e analizzare tutte le occasioni di trattamento dati con cui dovrà misurarsi; in questo senso, ritengo sia importante mantenere i registri dell’attività di trattamento, perché, anche se non obbligatori, sono molto utili per seguire tutte le situazioni. Si tratta di valutazioni che il titolare del trattamento deve condurre per adottare le specifiche misure richieste per ridurre al massimo il rischio.
Sicuramente un cambiamento importante è la definitiva conferma che il garante non interviene come una sorta di consulente, com’era ai sensi dell’art. 17 del codice in materia di protezione dati, dove appunto si dava la possibilità di consultare il garante in sede di verifica. Da oggi in poi il garante interverrà solo in ottica di controllo, rivolgendosi non al titolare, ma al DPO; possiamo leggere questa figura come una sorta di longa manus, certamente, ma anche come filtro. Non si tratta solo di un consulente, ma è anche garante dell’osservazione del regolamento in quella realtà organizzativa.
Questi cambiamenti riguardano la compagnia o l’agenzia? Può un’agenzia limitarsi a seguire la privacy di compagnia?
Esiste quella che potremmo definire una filiera della responsabilità. La Compagnia certamente definisce una specifica politica dall’alto, che tenderà a dare maggiore rilevanza a determinati aspetti, ma sarà da interpretare come istruzione. La responsabilità resta dell’agenzia, che dovrà adoperarsi per evitare violazioni nei confroni della propria clientela. IL GDPR coinvolge più realtà organizzative, ma ogni agenzia verosimilmente dovrà affrontare specifiche tematiche, con violazioni legate a particolari attività imputabili al responsabile del trattamento, piuttosto che a responsabilità superiori. Questo ovviamente non implica che non vi siano tematiche che coinvolgano anche le Compagnie. Casi di questo tipo possono prevedere forme di cotitolarità dei dati, con delle responsabilità comuni o distinte a seconda della situazione, ma si tratta di valutazioni comunque da fare caso per caso. Ogni agenzia dunque deve poter gestire questi aspetti in autonomia.
Dunque, quali sono dunque le buone pratiche che un’agenzia deve rispettare?
Come già precisato, una valutazione preliminare delle occasioni di trattamento dati è importante. Teniamo conto che il legislatore comunitario, giustamente, suggerisce tecniche: pseudominimizzazione, anonimizzazione, cifratura. All’articolo 32 si suggerisce la formulazione di un piano di disaster recovery; si parla di sistemi resilienti, capaci di individuare subito, con esattezza, l’attacco informatico, per ridurre i rischi ed evitare eventi lesivi. Nel caso accadesse, ovviamente si ricorrerebbe subito al data breach con notifica immediata all’autorità garante per la violazione. In linea generale, il titolare è libero di spaziare su queste tecniche come preferisce.
Normalmente è possibile che un’attività, come un’agenzia, porti già avanti delle azioni di attuazione della normativa; nel momento in cui queste sono presenti, sicuramente è necessario pensare alla figura del DPO. Sebbene possano esserci situazioni in cui non sia necessario, mi sento di poter dire che le agenzie assicurative avranno bisogno di un DPO. Tutto ciò considerando il tipo di attività che svolgono, la quantità rilevante di dati, la tipologia dei dati (ad esempio, quelli sanitari), l’uso delle nuove tecnologie, dalle attività di marketing alla profilazione. Il legislatore comunitario ci fornisce ovviamente delle linee guida di razionalizzazione e semplificazione: per esempio, agenzie in un medesimo ambito territoriale, provinciale o regionale, di una specifica compagnia, possono avere un unico DPO, che comunque deve essere una figura professionale, specializzata.
Insisto inoltre sull’importanza di un’attenta mappatura dei trattamenti di maggiore delicatezza, con una componente di rischio: per esempio il trasferimento dati su server all’estero. Il regolamento comunitario avvisa che, se una società di assicurazione lavora attraverso un server cloud, è necessario verificare la presenza di accordi integrativi, per assicurare un trattamento uniforme. Molto rilevante per il legislatore comunitario in questo senso è la ricerca delle binding corporate rules.
Altra pratica importante, la costituzione dell’organigramma privacy, anche dal punto di vista soggettivo, a seconda delle dimensioni della società.
Quali sono le azioni da portare avanti nel tempo per rispettare la nuova normativa?
Un occhio di riguardo va dato alle nuove tecnologie, sia dal punto di vista dell’utilizzo dei dati – come sorveglianza, biometria, analisi di big data, forme di profilazione automatica (particolarmente attenzionata dall’art. 22 del GDPR), la posta elettronica aziendale, il data protection impact assessment (una procedura piuttosto complessa, di cui è già presente una Iso, la 29134) – sia per il loro utilizzo per la raccolta del consenso. Un consiglio è di stabilire delle vere e proprie policy, a seconda dello strumento, come ad esempio la posta elettronica. Il DPO dovrà poi fare particolare attenzione ad attività di monitoraggio costante, come previsto per certe attività di profilazione e marketing, specialmente di natura sanitaria.
Altro aspetto di grande rilevanza è la sicurezza informatica, ricollegandosi anche all’esame dei processi di cui sopra. Sono molti aspetti quelli di cui bisogna tenere conto, per questo sarebbe consigliabile prevedere dei piccoli programmi di formazione sulla materia per i dipendenti di una certa attività organizzativa.
Teniamo conto che i diretti interessati sono sempre i clienti; bisogna essere sempre esaustivi nelle risposte, rispettando in particolar modo i principi fondamentali della normativa, tra cui la trasparenza, con un’informativa adeguata, come specifica l’art. 13. A questo proposito, anche le nuove tecnologie vengono sicuramente in aiuto: i garanti europei hanno precisato come non sia necessario raccogliere il consenso solo in modalità tradizionale, ma si possono prevedere forme più avanzate: registrazione audio, PEC, mail da confermare con un sms, l’uso di un’area riservata. Ricordiamo inoltre che questi dati devono essere sempre disponibili, per consentire agli interessati l’esercizio dei propri diritti: diritto di limitazione, diritto di rettifica, di cancellazione e alla portabilità dei dati. Se un cliente volesse cambiare assicurazione, il titolare deve garantire il passaggio dei dati da un’agenzia all’altra, senza impedimenti di carattere tecnico, giuridico, organizzativo. I sistemi al momento non dialogano, per cui non si pretende l’impossibile, ma bisogna cercare di prevedere sistemi e strumenti che agevolino l’estrazione e il trasferimento dei dati, anche senza l’interoperabilità.
Parlavamo di contitolarità e DPO, vogliamo dare qualche indicazione in più?
Si tratta di un discorso sicuramente complesso e che coinvolge sempre le valutazioni del rischio; dobbiamo innanzitutto capire chi intendiamo come responsabile o titolare del trattamento. L’art. 28 del GDPR tratta come assodata la possibilità che il titolare del trattamento debba rivolgersi a uno o più responsabili del trattamento, che dovranno concretamente far fronte agli obblighi della normativa. Questo responsabile, il DPO, deve essere percepito come esterno e l’accordo tra titolare e responsabile è di natura negoziale, con una stipula di contratto.
Tuttavia va detto che questo aspetto è stato contrastato da una modifica all’art. 29 del nostro codice, dove rimane la disposizione relativa al responsabile interno, che non viene abrogato, ma solo affiancato dalla figura del responsabile esterno, come regolamentata dal GDPR. Questo ha portato a una pletora di pareri contrastanti in ambito giuridico, anche da parte di eminenti giuristi: la soluzione dovrà essere trovata dal legislatore, anche attraverso l’emanazione dei decreti, su cui stanno alacremente collaborando i funzionari del Garante. Ricordiamo che le normative nazionali non possono contrastare la normativa europea; il rischio quindi, in caso di mancato accordo, è di passare al Comitato Europeo per la Protezione dei Dati, un organo sovraordinato. Questo potrebbe accadere se dovesse rimanere questa figura del responsabile interno, che potrebbe rivolgersi a un subresponsabile. In questo caso però non avrebbe senso che fosse esterno, tenendo conto comunque che se sbagliasse, sempre il responsabile subirebbe le conseguenze della violazione. In seguito potrebbe certamente agire in rivalsa nei confronti del subresponsabile, ma si tratta comunque di un altro tipo di situazione che non cambia la responsabilità principale.
Si badi bene che non bisogna parlare di contitolarità nel momento in cui si cedono dati per una finalità specifica a figure preposte, come per esempio nell’ambito previdenziale. La nomina di un responsabile esterno allo stato attuale offre comunque maggiori garanzie. Diverso ancora è il discorso che facevamo prima, sulla Compagnia, o ancora di uno studio associato o un’agenzia composta da due soggetti. In questi casi si può parlare di cotitolarità.
Ancora, ricordiamo che la figura dell’incaricato continua a essere presente, anche se non definita dal regolamento. Pertanto conviene sempre stipulare una lettera di incarico per questo tipo di soggetti.
Michele Iaselli è avvocato e collaboratore della cattedra di logica e informatica giuridica presso l’Università degli Studi di Napoli Federico II. E’ il presidente dell’Associazione Nazionale per la Difesa della Privacy. Relatore di numerosi convegni, ha pubblicato diverse monografie e contributi in volumi su informatica giuridica e diritto dell’informatica.