Il Regolamento Europeo in materia di protezione dei dati personali n. 2016/679 (c.d. GDPR) è entrato in vigore il 24 maggio 2016 e direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.
Saranno soggetti al GDPR i trattamenti di dati personali effettuati da un titolare o da un responsabile con sede nell’Unione Europea, oltre che (elemento di assoluta novità) i trattamenti di dati personali posti in essere da un titolare o da un responsabile non stabilito nell’Unione, qualora essi riguardino l’offerta di beni o servizi o il monitoraggio di comportamenti di interessati che si trovano nel territorio dell’Unione.
Manca meno di un anno al momento in cui tutte le aziende dovranno aver recepito i requisiti previsti dal GDPR (25 maggio 2018) e, tra le imprese che dovranno adeguarsi alla nuova normativa in materia di trattamento di dati personali, vi sono senza dubbio anche le startup. Non sono state, infatti, previste esclusioni dall’applicabilità del Regolamento europeo sulla base dalla dimensione delle aziende, fatta eccezione per il registro dei trattamenti (art. 30 del GDPR), né tantomeno in relazione alla loro maturità. Ciò che rileva è se la società, in qualità di titolare o di responsabile, tratti i dati personali di soggetti interessati che si trovano nell’Unione.
Poiché il Regolamento europeo si basa su alcuni principi per certi versi profondamente diversi da quelli delle attuali normative che regolano il trattamento dei dati personali, le startup dovranno necessariamente porre in essere una serie di adempimenti che la nuova normativa impone. Gli stessi assumono carattere generale, non contenendo il GDPR delle previsioni rivolte specificamente a tale categoria di soggetti.
I 5 punti cardine del GDPR per la startup
1 . Registro dei trattamenti – Al fine di censire in maniera dettagliata e completa le operazioni di trattamento effettuate all’interno dell’azienda, dovrà essere predisposto il registro dei trattamenti, documento che dovrà essere redatto sia qualora la società assuma il ruolo di titolare che nel caso la stessa sia un responsabile del trattamento. L’unica ipotesi di esclusione riguarda le imprese con un numero di dipendenti inferiore a 250 (come le startup), a meno che il trattamento da esse effettuato possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (ex art. 9 co. 1 GDPR) o i dati personali relativi a condanne penali e reati (ex art. 10 GDPR).
Esso dovrà essere redatto tenendo conto degli elementi obbligatoriamente previsti dall’art. 30 del GDPR, ma potrà contenere anche elementi ulteriori, quali ad esempio la base giuridica del trattamento o l’indicazione degli applicativi utilizzati. L’elencazione di quest’ultimi, infatti, potrebbe risultare utile per mappare con esattezza le misure di sicurezza implementate/da implementare, oltre che per condurre efficacemente la valutazione dei rischi.
Quindi sebbene la classica startup abbia un numero ridotto di dipendenti e non sia pertanto obbligata al registro del trattamento, la sua predisposizione può tra l’altro costituire non solo un utile strumento organizzativo e di lavoro, ma anche uno strumento utile a garantire il rispetto, all’interno della singola startup, del cosiddetto principio di accountabilty. In base a quest’ultimo, il titolare del trattamento è il soggetto competente a garantire il rispetto dei principi applicabili al trattamento di dati personali e deve al contempo essere in grado di comprovarlo. Dunque, sebbene la tenuta del registro sia obbligatoria esclusivamente per le aziende con un numero di dipendenti superiore a 250, o in alcune ipotesi specificamente previste dalla nuova normativa (di cui sopra), esso potrebbe comunque costituire un efficace supporto di carattere probatorio per il titolare/responsabile del trattamento, nell’ottica del principio appena menzionato.
2 . Data Protection Officer – Sarà necessario procedere con la stesura/modifica della documentazione da utilizzare. Ad esempio, le informative andranno aggiornate inserendo gli ulteriori elementi previsti dal Regolamento, mentre altri documenti, quali l’eventuale atto di nomina del Data Protection Officer, dovranno essere redatti ex novo.
3. Sicurezza – Definire delle politiche di sicurezza ed effettuare la valutazione dei rischi. Tale fase comprende l’analisi delle misure tecniche ed organizzative da adottare, tenendo conto dell’obbligo imposto in capo al Titolare di garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al GDPR (“accountability”). Rispetto alla normativa precedente non vi è un riferimento alle misure minime di sicurezza (disciplinate all’interno dell’Allegato B del D.lgs. 196/2003, c.d. Codice Privacy), ma dovranno essere, ai sensi del GDPR, delle misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguate al rischio. A titolo meramente esemplificativo, il Regolamento europeo fa riferimento alla pseudonimizzazione e alla cifratura dei dati personali. In tal senso, è utile sottolineare che le misure di sicurezza dovranno essere individuate tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
4. Data Breach – L’onere in capo al Titolare del trattamento di comunicare all’Autorità Garante le violazioni di dati personali che si siano verificate (“Data Breach”), presuppone che all’interno dell’azienda siano definite delle procedure al riguardo, che siano idonee a scoprire eventuali violazioni verificatesi, tenendo in considerazione che la stessa deve essere comunicata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare è venuto a conoscenza della suddetta violazione. Da ciò ne consegue di essere in grado anche di generare un’adeguata reportistica che indichi almeno gli elementi minimi previsti dall’art. 33 co. 3 del GDPR.
5. Valutazione d’impatto – Non può non essere parte di un efficace processo di adeguamento alla nuova normativa da parte delle startup, anche l’effettuazione della valutazione d’impatto sulla protezione dei dati personali. La stessa andrà compiuta nei casi specificamente previsti dal Regolamento, oltre che nelle ipotesi in cui vengano compiute operazioni di trattamento da considerarsi “rischiose”. Non definendo il GDPR quali trattamenti debbano ritenersi a rischio, sarà onere del Titolare compiere una valutazione caso per caso, tenendo conto anche delle indicazioni di ordine pratico fornite al riguardo dal WP29.
Appare evidente che il GDPR pone un cambio di prospettiva rispetto alla disciplina previgente, non contenendo più meri oneri burocratici, ma imponendo, al contrario, di considerare la data protection come parte integrante di tutti i processi aziendali.
In prossimi articoli, approfondiremo i temi: Registro dei Trattamenti; Accountability; Diritti degli interessati; Nomina DPO; valutazione d’impatto.
Contributor:
Francesca Piro, Legal Consultant P4I
Chiara Giorgini, Legal Consultant P4I
