Normative europee

Applicazione del GDPR: quali soluzioni per la prevenzione dei rischi

Attenzione particolare al connubio tra quanto previsto dal Regolamento europeo e le norme di certificazione ISO 27001, di cui il regolamento stesso raccomanda l’uso, per un approccio integrato a tutela dei soggetti interessati

22 Apr 2020

Nicolò Ballarini

dottore in Giurisprudenza Università degli Studi di Trento, master in “consulenza legale d’impresa” Luiss Business School

Il Regolamento Generale sulla Protezione dei Dati Personali (General Data Protection Regulation), segnatamente il regolamento UE n. 2016/679 adottato il 27 Aprile 2016 ed entrato ufficialmente in vigore a partire dal 24 Maggio 2018, ha avuto e ha tuttora il fine di far pervenire a una più efficace tutela dei dati personali per tutti i cittadini e i residenti dell’Unione Europea in un’ottica di semplificazione e uniformazione della disciplina all’interno della stessa provocando un notevole impatto per quello che attiene l’aspetto della conformità dei processi aziendali alle disposizioni in questione con la logica conseguenza che il tessuto imprenditoriale dovrà adattarsi ed essere per l’appunto compliant servendosi di efficaci soluzioni, paradigmi e modelli al fine di non incorrere nelle sanzioni connaturate al testo di matrice Comunitaria.

Il contenuto del Regolamento, portata applicativa e sanzionatoria

Per quel che concerne l’ambito applicativo occorre, preliminarmente, rilevare come il GDPR trova applicazione limitatamente alle persone fisiche derivandone pertanto che le persone giuridiche sono escluse dal campo di interesse del medesimo, d’altro canto le stesse dovranno diligentemente porre l’accento, sia per quel che attiene l’attività di core business sia per le attività ad essa strumentali, su di una prevenzione dei rischi connessi a possibili violazioni della normativa, lesione dei dati personali altrui e tutela dei dati stessi.

Stando al disposto della norma, la nozione di dato personale è connotata da un certo grado di ampiezza laddove per l’appunto con detta locuzione si allude a “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;” (art. 4, paragrafo 1) definizione che deve essere letta in combinato disposto con il paragrafo successivo dove per l’appunto si definisce “trattamento” una “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;” (art. 4, paragrafo 2).

Le sanzioni previste in caso di violazioni

Per una società operante in settori che, più o meno direttamente, possono toccare aspetti legati alla tutela dei dati personali non è sufficiente adottare mere politiche di conservazione, archiviazione, utilizzo e comunicazione dei dati finalizzate al mantenimento della privacy dell’individuo, il GDPR richiede infatti un quid pluris quale quello connesso alla mappatura dei possibili rischi correlati all’attività concretamente posta in essere, una prevenzione che è di fondamentale importanza tenuto conto delle onerose conseguenze correlate a una violazione del regolamento europeo.

Più nel dettaglio possono per l’appunto essere inflitte sanzioni fino a 10 milioni di euro o il 2% del fatturato nel caso di:

  1. inosservanza degli obblighi del titolare e del responsabile del trattamento a norma degli articoli 8 (consenso dei minori), 11 (trattamento che non richiede identificazione), da 25 a 39 (privacy by default, contitolari del trattamento, rappresentanti non stabiliti nell’Unione, responsabili del trattamento, registro dei trattamenti, sicurezza, notifica delle violazioni, valutazione di impatto, DPO), 42 e 43; inosservanza degli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; inosservanza degli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4

o sino a 20 milioni di euro o 4% del fatturato per:

  1. inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; inosservanza dei diritti degli interessati a norma degli articoli da 12 a 22; inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49; inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 alle quali si aggiunge l’inosservanza delle prescrizioni di cui alle autorizzazioni generale del Garante per la privacy di cui all’art. 21 D. Lgs 101/2018 (adeguamento Codice Privacy) o di cui al provvedimento di cui all’art. 21, comma 1, del D. Lgs. 101/2018 (prescrizioni in materia di dati a trattamento speciale),

sanzioni alle quali ovviamente andrà ad aggiungersi un danno di immagine non indifferente, conseguenza che potrebbe avere un impatto ancor più deleterio nel proseguo dell’attività di impresa.

Sulla base delle Linee guida riguardanti l’applicazione e la previsione di sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679 i titolari e i responsabili del trattamento hanno maggiori responsabilità nel garantire l’efficace tutela dei dati personali delle persone fisiche.

Le autorità di controllo sono state inoltre dotate di poteri appositi per garantire che i principi del regolamento generale sulla protezione dei dati e i diritti delle persone interessate siano rispettati conformemente all’enunciato e alla ratio del regolamento.

L’applicazione coerente delle norme sulla protezione dei dati è fondamentale per un regime di protezione dei dati armonizzato e, in tale quadro, le sanzioni amministrative pecuniarie rappresentano un elemento centrale del nuovo regime introdotto in quanto costituiscono una componente importante dell’insieme di strumenti di applicazione a disposizione delle autorità di controllo congiuntamente alle altre misure previste dall’articolo 58.

Una volta accertatasi la violazione del regolamento, dopo attenta valutazione del caso concreto sottopostole, è di spettanza dell’autorità di controllo competente l’individuazione della o delle misure correttive più appropriate per affrontare tale violazione.

Le disposizioni di cui all’articolo 58, paragrafo 2, lettere da b) a j), evidenziano gli strumenti che le autorità di controllo hanno a disposizione per far fronte a un’inadempienza da parte di un titolare del trattamento o responsabile del trattamento, fermo restando che, nell’applicazione delle medesime, debbano in ogni caso essere rispettati i principi di equivalenza, effettività, proporzionalità e dissuasività della sanzione irrogata tenuto conto del fatto che ogni singolo caso concreto necessiterà di una valutazione circostanziata alla fattispecie venutasi a creare.

Se, da un lato, l’articolo 83, paragrafo 2, rappresenta il punto di partenza di tale valutazione individuale in quanto cristallizza la previsione, in forza della quale, al momento di decidere se infliggere una sanzione amministrativa pecuniaria ed eventuale fissazione dell’ammontare della stessa, in ogni singolo caso dovranno essere tenuti in debita considerazione determinati elementi, dall’altro con il considerando 148 viene attribuita, in capo all’autorità di controllo, la responsabilità di scegliere la o le misure più appropriate.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Nei casi citati all’articolo 83, paragrafi da 4 a 6, tale scelta deve tenere conto di tutte le misure correttive, tra cui l’imposizione della sanzione amministrativa pecuniaria appropriata, sia che essa sia associata a una misura correttiva ai sensi dell’articolo 58, paragrafo 2, sia che sia autonoma.

In conclusione, di questa preliminare disamina introduttiva circa il campo di applicazione del regolamento UE n. 2016/679 possiamo sottolineare che, se comunque l’articolo 58 fornisce alcuni orientamenti circa le misure tra cui un autorità di controllo può scegliere, misure correttive che di per sé hanno natura diversa e sono destinate principalmente a finalità diverse, ferma restando la possibilità di cumulo delle medesime, spetterà in ogni caso alle autorità ripristinare la conformità tramite tutte le misure correttive che hanno a disposizione.

Le autorità di controllo dovranno pertanto scegliere il canale più appropriato per portare avanti l’intervento (potendo ricorrere, ad esempio, a sanzioni penali – ove disponibili a livello nazionale).

Aspetti penalistici e rapporti con il d.lgs. 231/2001

Il d.lgs. 8 giugno 2001, n. 231 recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300” ha di fatto introdotto una responsabilità di matrice penalistica per le società, le associazioni e le persone giuridiche anche prive di personalità giuridica.

La terminologia utilizzata è frutto di un compromesso lessicale stante l’assunto in forza del quale la responsabilità penale è costituzionalmente definita come “personale”.

L’analisi in combinato disposto dei due corpus normativi oggetto del presente elaborato evidenzia una commistione di fattispecie tra loro concatenate, un marcato andamento più o meno speculare di quelli che debbono essere i controlli connessi al rispetto delle normative di riferimento.

Ambedue i testi comportano, per la società interessata, la predisposizione di un adeguato sistema di controllo interno e prevenzione dei rischi e delle sanzioni connesse ad una eventuale violazione delle disposizioni.

Sebbene il “risk based approach” scaturente dai testi normativi di primo acchito parrebbe essere speculare non può non eccepirsi una differenziazione di fondo per quanto concerne i contenuti dello stesso: da un lato infatti il modello di prevenzione derivante dal d.lgs. 231/2001 è finalizzato al prevenire il configurarsi di fattispecie di reato a vantaggio o nell’interesse dell’ente, dall’altro la compliance alle norme di cui al GDPR si inserisce nell’ottica di tutela dell’interessato al trattamento nei termini di una prevenzione di fattispecie quali la distruzione e/o la perdita, anche accidentale, dei dati; nei termini di prevenzione di illecite intrusioni non autorizzate di soggetti terzi, nei termini di modificazione dei dati non autorizzata dal titolare dei dati medesimi o di una gestione degli stessi non confacente ai propositi rilasciati nell’informativa.

La commistione di cui sopra la si rileva però in peculiari ipotesi di reato quali i reati informatici, il trattamento illecito dei dati stessi, la predisposizione di software illegali, il whistleblowing, ma anche ipotesi più gravi quali il reato di associazione per delinquere (art 24-ter D. Lgs. 231) o di riciclaggio/autoriciclaggio (art 25-octies D. Lgs. 231); più nel dettaglio il rischio di integrare le seguenti fattispecie di reato sottolinea la necessità per i soggetti interessati di predisporre adeguati sistemi di controllo, informativi e di audit per evitare il profilarsi di simili situazioni quali la falsità in un documento informatico (art. 491-bis c.p.), l’accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.), laddove per sistema informatico o telematico si intende un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo ovvero tutto ciò che gestisce ed elabora dati in formato digitale; la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.); la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.); l’intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.);l’installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 615-quinquies c.p.); il danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.) il danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); il danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.); il danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.); la frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.).

I sistemi di controllo e prevenzione: cosa va posto in essere

Venendo ora all’aspetto più squisitamente pratico-applicativo, alla luce di quanto tratteggiato nelle righe di cui sopra, è innegabile come le imprese interessate debbano predisporre adeguati sistemi e/o implementare quelli già esistenti.

La struttura ideale (a parere di chi scrive) all’interno di un contesto aziendale, al fine di conformarsi a quanto dispone il GDPR prevedrebbe, servendosi eventualmente di un supporto esterno di natura consulenziale, primariamente l’implementazione di un sistema di data governance e/o l’istituzione un apposito team dedicato alla gestione delle tematiche relative alla data protection in azienda, team che supporterebbe i vertici aziendali nella mappatura dei trattamenti e dei rischi, nella formalizzazione delle informative agli interessati nonché nella predisposizione della valutazione d’impatto ex art. 35 del GDPR, ai più nota come DPIA (Data Protection Impact Assessment).

L’articolo in questione prevede per l’appunto che quando si è in presenza di una tipologia di trattamento dei dati personali che, per l’uso di nuove tecnologie o per la natura, l’oggetto, il contesto o le finalità del trattamento, possano astrattamente presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrà effettuare preventivamente detta valutazione di impatto dei trattamenti, valutazione che pur non avendo, se non nei casi espressamente previsti, carattere di obbligatorietà è buona prassi predisporre.

La practise in questione offrirà altresì il proprio supporto per quel che attiene la redazione del Registro dei trattamenti di cui all’art. 30 in ossequio al principio di accountability di cui all’art. 5 segnatamente il principio di responsabilizzazione finalizzato a far sì che sia accertato che il trattamento dei dati sia stato eseguito in maniera conforme alla normativa tenuto conto dei rischi e delle possibili lesioni ai diritti e alle libertà dei soggetti interessati.

A cascata, ciò che azzererebbe o perlomeno ridurrebbe in maniera significativa il rischio connesso alla violazione delle disposizioni del GDPR attiene ad una corretta formazione e informazione dei dipendenti con l’ausilio, a tiolo esemplificativo, di corsi gratuitamente forniti dall’azienda (servendosi anche di piattaforme e-learning) et similia.

La formazione non solo sarà di fondamentale importanza ai fini della prevenzione del rischio ma altresì risulterà essere di impulso per quel attiene la reputation dell’azienda nel contesto concorrenziale del mercato e che dovrebbe, idealmente, essere eseguita seguendo due differenti e concatenati filoni: in primo luogo l’introduzione della normativa di matrice comunitaria e i suoi risvolti pratico-applicativi e, in secondo luogo, l’applicazione della medesima al singolo contesto aziendale di riferimento.

Detta formazione del personale avrà inoltre la funzione di prevenire il configurarsi di ipotesi di c.d. data breach ovvero “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4 GDPR) o, nel caso in cui dovesse malauguratamente configurarsi una simile ipotesi, le procedure di gestione da seguire le quali, in linea di principio, dovranno seguire detta scansione logico-temporale: individuazione della violazione, gestione della stessa, valutazione della violazione e delle possibili ricadute sull’attività di business, notifica al Garante, comunicazione ai soggetti interessati ed infine registrazione della stessa.

Come ben noto, al fine di assistere i titolari e i soggetti responsabili del trattamento dei dati sono state internazionalmente redatte delle norme (ISO/IEC 27001) che definiscono i requisiti per impiantare e condurre un sistema di gestione della sicurezza delle informazioni o ISMS (Information Security Management System) affiancate da delle vere e proprie raccolte di “best practices” da seguire (ISO 27002), il tutto sulla base di un approccio risk management oriented (pianificazione e progettazione; implementazione; monitoraggio; mantenimento e miglioramento; identificazione dei rischi; analisi e valutazione; selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi; assunzione del rischio residuo da parte del management; definizione dello Statement of Applicability).

Risulta essere pertanto logico pensare a un naturale connubio tra quanto previsto dal GDPR e le norme ISO 27001 e, a rafforzamento dell’assunto, si evidenzia come sia proprio il GDPR a raccomandare l’uso di certificazione come quella relativa alla ISO 27001, un vero e proprio approccio integrato a tutela dei soggetti interessati, approccio che dovrà opportunamente essere osservato dai sistemi interni di data governance o dai team appositamente creati.

Stante la similarità di natura per quanto attiene la mappatura dei rischi correlata al modello di cui al D.lgs. 231/2001 può infine essere una buona scelta, in un’ottica di contenimento dei costi complessivi, l’inserimento di apposite unità nelle practices già esistenti con il compito precipuo di occuparsi della compliance relativa al GDPR in quelle società nelle quali si è propeso per l’adozione di detto modello.

Conclusioni

L’assunto conclusivo, che si atteggia più come un invito, resta comunque quello dell’instaurazione di una costante collaborazione tra corpi interni quali le autorità di controllo, le practise istituite ad hoc, la governance stessa della società al fine di aumentare coerenza applicativa circa le disposizioni in esame, ad esempio tramite regolari e quotidiani scambi di informazioni sul trattamento, sulle operazioni dettagliatamente poste in essere, sui casi che consentano un confronto a livello sub-nazionale, nazionale e transfrontaliero.

La collaborazione in tali delicati settori e la trasparenza delle informazioni si rivelano come preziosi alleati per prevenire rischi per l’impresa.

Si ringrazia per i preziosi consigli la dott.ssa. Marta Reffo, consultant at Marsh & McLennan.

WEBINAR
Sicurezza: IT e OT insieme per proteggere l'azienda dagli attacchi cyber
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA
B
Nicolò Ballarini
dottore in Giurisprudenza Università degli Studi di Trento, master in “consulenza legale d’impresa” Luiss Business School
Argomenti trattati

Approfondimenti

G
GDPR

Articolo 1 di 5