domenica 15 luglio 2018

NUOVO GDPR: COSA CAMBIA PER LE AGENZIE INVESTIGATIVE?




by Andrea Frighi

Come sapete, il 25 maggio 2018 entrerà in vigore il Nuovo Regolamento Europeo 679/2016 sulla protezione dei dati, detto anche GDPR.

Trattasi di una vera e propria rivoluzione in ambito privacy. La legge dovrebbe garantire una migliore protezione dei dati personali, dati che vengono spesso forniti indistintamente a chiunque (soprattutto in rete) senza rendersi conto delle conseguenze disastrose che tale condotta comporta.

Di per sé la legge è positiva, salvo per le aziende che entro il 25 maggio saranno costrette ad adeguarsi alla nuova normativa a pena di aspre sanzioni, anche in ambito penale. Oltre all’arresto, in auge sanzioni amministrative con cifre che vanno dai 2 ai 10 milioni di euro, oppure pari al 4% del fatturato.

Il Nuovo Regolamento Europeo dovrebbe (in teoria!) sostituire e abrogare in toto il D.lgs. 196/2003 (Codice Della Privacy) ma ad oggi esistono dei vuoti normativi che a tutti gli effetti tengono in vigore la vecchia legge, la quale dovrà essere “adeguata” dal garante italiano con provvedimenti ad hoc. Questo dovrebbe accadere nel breve periodo.

Il vuoto normativo è così ampio che, ad oggi, non è ancora chiaro CHI sia l’autorità “Garante”. Perciò state tranquilli riguardo alle sanzioni: se ancora non si conosce da chi è composta l’autorità deputata a comminare sanzioni è difficile che piombino multe a raffica. Tenete conto che il GDPR è stato scritto in inglese, ciò ha creato dei problemi interpretativi riguardanti alcune specifiche terminologie che hanno perso il loro significato nella traduzione.

Siamo pertanto in attesa di una normativa nazionale che risolva tutti i vuoti interpretativi che ad oggi non consentono di stabilire regole e schemi precisi.

Dal momento che il GDPR a breve sarà in vigore, vediamo cosa cambia effettivamente in ambito privacy per i titolari di agenzia investigativa.

I punti trattati riguarderanno:

PRIVACY COME SISTEMA
PARTICOLARI CATEGORIE DI DATI
I SOGGETTI DEL TRATTAMENTO
ACCOUNTABILITY (PRIVACY BY DESIGN & BY DEFAULT)
REGISTRO DEL TRATTAMENTO
DPIA
DPO
1. PRIVACY COME SISTEMA
Fondamentale deve essere la presa di coscienza, da parte dell’imprenditore, che d’ora in avanti la privacy è da considerarsi a tutti gli effetti un sistema, un processo che deve essere costantemente monitorato e aggiornato. Non è più possibile pensare alla privacy come qualcosa di statico, del tipo “predispongo la valutazione dei rischi e me ne infischio”.

Il GDPR prevede che la privacy e il trattamento dei dati siano sviluppati in un’ottica di continua valutazione e gestione del rischio. La qualità da questo punto di vista è fondamentale. Si richiede pertanto che il Titolare del trattamento (cioè l’investigatore/imprenditore) faccia delle valutazioni ad hoc e che, quando il rischio è particolarmente elevato, predisponga una valutazione d’impatto sui rischi che lo specifico trattamento potrebbe comportare per la sfera delle persone interessate.

2. PARTICOLARI CATEGORIE DI DATI
Sono i cosiddetti DATI PARTICOLARI, cioè i dati ex-sensibili. Vi ricordate i famosi dati sensibili del Codice Privacy? Nel GDPR vengono appellati “particolari categorie di dati”, o più semplicemente dati particolari. Sono quei dati personali particolarmente delicati, che vanno a indagare elementi rilevanti della sfera dell’Interessato.

Si tratta dei dati riguardanti:

origine razziale/etnica
opinione politica
appartenenza sindacale
convinzione religiosa
salute/orientamento sessuale
DATI BIOMETRICI
Per quanto riguarda il Nuovo Regolamento Europeo, la legge dice che queste tipologie di dati in generale non possono essere trattate, se non previa consenso.

Vi sono naturalmente delle eccezioni. Da questo punto di vista nulla cambia per l’investigatore rispetto alla legge precedente, tanto più che (per ora!) il Codice Deontologico e di Buona Condotta rimane in vigore. Pertanto se i dati sono trattati per difendere un diritto in sede giudiziaria del Cliente (tipica casistica dell’investigatore) il trattamento è lecito ed esente da informativa e consenso (pensate alla situazione paradossale in cui un detective sarebbe costretto a fornire l’informativa al soggetto che sta seguendo durante un pedinamento, o addirittura a chiedere il suo consenso!).

I dati biometrici sono stati posti in maiuscolo volutamente. Gli stessi infatti non erano considerati “sensibili” ai sensi del D. lgsl. 196/2003 (Codice Privacy), mentre il GDPR li pone allo stesso livello dei dati medici o sull’orientamento sessuale e considerati meritevoli di maggiore tutela, rientrando a tutti gli effetti tra i dati particolari.

Per quanto riguarda i dati biometrici c’è da chiarire che una fotografia (anche quella scattata da un investigatore) NON E’ un dato biometrico, perciò non rientra nelle “particolari categorie di dati”. Dati biometrici sono invece: controllo accessi con riconoscimento volto e impronte digitali; fotografie utilizzate a unico scopo di riconoscimento volto; impronte digitali ecc.

3. I SOGGETTI DEL TRATTAMENTO
Chi sono i soggetti del trattamento nel nuovo Gdpr?

Eccoli:

il TITOLARE del trattamento
il RESPONSABILE del trattamento
Il Titolare del Trattamento è colui che determina le finalità e i mezzi del Trattamento. Nel caso di un’agenzia investigativa (e di qualsiasi altra impresa) è SEMPRE la società! Nel mio caso, anche se si tratta di ditta individuale, il Titolare del trattamento è Aenigma Investigazioni (nella persona di Andrea Frighi, che sarei io).

Il Responsabile del Trattamento è colui che tratta dati personali per conto del Titolare del Trattamento.

La grande novità è che, con il Nuovo Regolamento, diventano Responsabili anche tutti i fornitori di servizi in outsourcing. Ad esempio lo studio paghe, il responsabile del servizio IT, un’azienda che fornisce segretariato on-line. Un qualsiasi fornitore della vostra azienda che tratti in qualunque modo i dati dei vostri clienti, dovrà essere nominato Responsabile del Trattamento. Rientrerebbero in questa lista anche i vari commercialisti, consulenti del lavoro ecc. In realtà, per ora, gli esercenti di attività professionali riconosciute (cioè iscritte a un Albo) non devono essere nominati Responsabili.

Le novità (purtroppo!) non sono finite. Oggi non basta più la famosa “lettera di nomina”. Il GDPR stabilisce che serve una vera e propria “delega” da parte del Titolare del Trattamento.

L’unico strumento giuridico entro il quale è ammessa tale delega è un CONTRATTO. Perciò dal 25 maggio la nomina del Responsabile del Trattamento avverrà attraverso un contratto, che deve essere accettato (e firmato) da entrambe le parti. Inoltre tale contratto deve essere sufficientemente specifico e contenere elementi ben precisi, indicati in un’apposita sezione del Regolamento (che qui non vado ad elencare poiché esula dai nostri scopi).

Capite bene come le cose diventino più complesse. Immaginate di dover nominare colossi come Aruba, Register o Google (che a tutti gli effetti trattano i dati dei vostri clienti) Responsabili del Trattamento e di dover far loro firmare un contratto in cui voi (piccola azienda) dettate le condizioni: probabilmente non vi prenderanno nemmeno in considerazione. Perciò anche in questo caso esiste un vuoto normativo che presto dovrà essere colmato.

Tenete conto che, secondo il GDPR, l’eventuale Responsabile del Trattamento che si rifiuti di firmare il contratto assumerà direttamente il ruolo di Titolare del Trattamento (per i dati trattati dal vero Titolare) con tutte le conseguenze del caso. E’ perciò un’assunzione di responsabilità piena e automatica da parte dell’eventuale Responsabile del Trattamento che non firma il contratto (questo accade anche se il contratto firmato non rispetta i parametri indicati dal Regolamento). Ciò non esenta però da colpe il Titolare del Trattamento (cioè il povero investigatore) poiché se l’eventuale Responsabile non dovesse firmare il contratto, esisterebbe un trasferimento illecito dei dati, con tutte le sanzioni conseguenti per il Titolare del Trattamento.

Il mio consiglio è quello di inviare a questi colossi una mail dove si dimostri di aver fatto di tutto per nominarli Responsabili. Qualora i giganti ignorassero la mail (cosa molto facile!), stampatela e conservatela come prova del fatto che avete agito.

Nel vecchio Codice della Privacy si faceva menzione dell’Incaricato del Trattamento, che altro non era che il vostro dipendente o collaboratore. Oggi il termine “incaricato” non compare da nessuna parte, ma nella realtà esiste ancora. Difatti la legge esplicita che chiunque abbia accesso ai dati personali trattati dal Titolare DEVE essere istruito e formato in materia di Privacy. Perciò dovete predisporre un programma di formazione specifico per i vostri collaboratori e dipendenti, i quali saranno considerati “de facto” Incaricati del Trattamento.

ACCOUNTABILITY (PRIVACY BY DEFAULT E PRIVACY BY DESIGN)
Il principio dell’Accountability non è altro che il principio di RESPONSABLIZZAZIONE. Il Titolare del Trattamento, causa tale principio, dovrà DIMOSTRARE di aver rispettato in tutto e per tutto i dettami fondamentali espressi dal GDPR. Dovrà essere in grado perciò di comprovare il rispetto delle regole e dimostrare l’effettiva attività svolta per salvaguardare il Trattamento dei Dati. Questo principio rientra a tutti gli effetti nell’ottica di un processo qualitativo di valutazione e gestione del rischio.
Stilate pertanto un documento di valutazione del rischio (simile al vecchio DPS) in cui indicherete quali tipologie di dati vengono trattate, in che modo e quali sistemi avete adottato per proteggerle.
Con il principio del Privacy By Design il Titolare dovrà provare di aver rispettato i criteri imposti dal GDPR ancor PRIMA che il dato venga trattato. Ciò significa dimostrare di essere dotati di sistemi antivirus funzionanti, firewell e quant’altro se il dato viene trattato su supporto informatico. Dimostrate invece di aver protetto l’ufficio con porte blindate, grate anti-intrusione, casseforti se il dato viene trattato su supporto cartaceo.
Insomma stilate un documento in cui provate l’esistenza di misure di sicurezza idonee a garantire una corretta gestione del dato.
REGISTRO DEL TRATTAMENTO
Una delle novità introdotte dal Nuovo Regolamento Europeo riguarda la tenuta del cosiddetto Registro del Trattamento.
Che cos’è? E’ uno strumento di cui deve dotarsi il Titolare del Trattamento, da esibire a ogni richiesta dell’autorità garante. Il Registro ha la finalità di elencare i vari trattamenti svolti ed è utile per una completa ricognizione di questi ultimi, in un’ottica di analisi del rischio e corretta pianificazione dei trattamenti stessi.
Com’è fatto? Per legge deve contenere informazioni ben precise, indicate in un’apposita sezione del Regolamento. Non stiamo ad elencarle poiché esula dai nostri scopi.
Chi è obbligato ha tenere il registro? Sono esenti dalla tenuta del registro le aziende con meno di 250 dipendenti, a meno che il trattamento effettuato:
  • possa presentare un rischio per i diritti e le libertà degli interessati
  • non sia occasionale
  • includa il trattamento di particolari categorie di dati o i dati personali relativi a condanne penali

Un titolare di agenzia investigativa è obbligato a tenere un registro? Alla luce di quanto detto, è evidente che la risposta a questa domanda è SI’! Ogni Titolare di agenzia investigativa sarà costretto a tenere e aggiornare il Registro dei Trattamenti, in quanto tratterà dati a rischio e dati particolari, anche se le dimensioni aziendali sono inferiori ai 250 dipendenti.
DPIA (Data Protection Impact Assessment)
Che cos’è il DPIA? Si tratta della valutazione d’impatto sui rischi che gli specifici Trattamenti possono apportare alla sfera degli interessati. E’ in buona sostanza un documento che deve essere redatto dal Titolare del Trattamento; lo stesso rientra a tutti gli effetti nel sistema di Accountability di cui abbiamo discusso poc’anzi.
Quando è necessario stilare il DPIA? Quando sussiste una tra le seguenti condizioni:
  • Trattamenti valutativi o di scoring, compresa la profilazione.
  • Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni).
  • Il monitoraggio sistematico (videosorveglianza).
  • Trattamento di dati sensibili, giudiziari o di natura estremamente personale (come le opinioni politiche).
  • Trattamento dati personali su larga scala.
  • Trattamento di Big Data.
  • Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
  • Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi IoT, ecc…).
  • Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

Un Titolare di agenzia investigativa deve redigere un DPIA? Assolutamente SI’! Oltre a tutte le problematiche precedenti si aggiunge pertanto tale ulteriore novità.
DPO (Data Protection Officer)
Il DPO è una nuova figura introdotta dal Gdpr. Per farla breve, è un esperto in materia di Privacy, qualificato e riconosciuto. Ad oggi non sono molte le figure che possono vantare tale titolo, diventa perciò difficile per le aziende trovarne uno da nominare. Lo stesso può essere interno all’azienda oppure esterno.
Quando si deve obbligatoriamente nominare un DPO? Elenchiamo di seguito:
  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Alla luce di quanto scritto, un’agenzia investigativa è tenuta a nominare un DPO? No! Infatti il Trattamento non è svolto da un’autorità pubblica e noi investigatori privati NON effettuiamo un MONITORAGGIO CONTINUO E SU LARGA SCALA! Per fare un esempio non è considerato “su larga scala” un trattamento che riguardi dati personali di pazienti o clienti di un singolo studio medico o studio legale. Perciò, non rientrando nella lista sopra elencata, l’investigatore privato (SOLO L’INVESTIGATORE, chi è Titolare di un istituto di vigilanza E’ OBBLIGATO A NOMINARE UN DPO ENTRO IL 25 maggio) non sarà costretto ad annoverare tra le sue fila un Data Protection Officer.


Sitografia:
https://www.aenigmainvestigazioni.it/blog-del-detective/nuovo-gdpr/

Nessun commento:

Posta un commento