In apertura la stimolante relazione di Cosimo Comella (Responsabile del Dipartimento tecnologie digitali e sicurezza informatica presso il Garante per la protezione dei dati personali) ha ricordato che il “pacchetto data protection” sarà costituito non solo dal GDPR ma anche dalla Direttiva sui trattamenti in materia di Giustizia (protezione dei dati personali nelle attività di contrasto, di prossima emissione), che contemplerà anche le sanzioni penali e darà origine alle leggi nazionali di recepimento. Da non dimenticare poi che la Direttiva 2009/136 sui trattamenti nel settore delle comunicazioni elettroniche resta in vigore.
Come una delle novità più significative ha segnalato il principio di one-shop stop, grazie al quale non solo le multinazionali potranno regolare la loro compliance con una sola DPA nazionale, ma anche i cittadini potranno rivolgersi ad una DPA per far valere in tutta la UE i propri diritti, fra i quali il c.d. diritto all’oblio (meglio definito “de-indicizzazione”).
Fra gli obblighi del Data Controller appaiono rilevanti: introduzione di privacy bydesign/bydefault; istituzione della figura del DPO; obbligo di tenuta della documentazione, come sostitutiva delle notificazioni (che potranno però essere re-introdotte dalle autorità nazionali per alcune tipologie di trattamento); privacy impact analisys (PIA) a carico dal data controller, come sostitutiva del prior check (oggi a carico della DPA); gestione dei Data Breach, estesa dalle sole TLC a tutti i settori.
Sul tema bydesign è tornato Giancarlo Butti, sottolineando che non si può pensare all’inserimento di soluzioni posticce come i “retro-fit” ma che i nuovi sistemi andranno progettati sin dall’inizio per essere configurati correttamente, analogamente a quanto già avviene ad esempio per la loro collocazione all’interno dei processi e delle infrastrutture di business continuity (ove presenti). Sullo stesso tema Enrico Toso ha sostenuto che questa modalità di progettazione dovrà essere applicata non solo ai nuovi progetti ma anche ai sistemi esistenti, al momento delle loro eventuali revisioni; se non già prevista per altri motivi, una revisione ad hoc andrebbe pianificata, almeno per i servizi più critici. Sembrerebbe musica per le orecchie dei system integrator, che non ricordano una opportunità di business ricca come questa dai tempi del millennium bug e dell’€uro!
Sul Data Breach la relazione di Guglielmo Troiano e Roberto Obaliero ha presentato alcuni spunti interessanti: due terzi dei dati oggetto di sottrazione sono di ambito sanitario, di gran lunga più appetibili (in quanto permanenti) di quelli delle carte di credito (più facilmente annullabili); quasi tutte le denunce di violazioni sono relative a paesi scandinavi ed anglosassoni, quasi nessuna in Italia, Spagna e Grecia (mmm…). Sarà necessario adottare misure per prevenire le violazioni, per individuarle nel caso si verifichino, ma soprattutto per sapere come reagire tempestivamente e correttamente: bisognerà definire procedure che individuino le figure da coinvolgere, le rispettive responsabilità, le azioni da intraprendere.
Buone notizie a mio parere sul fronte della responsabilità degli outsourcer, trattate dall’intervento di Andrea Reghelin: se è vero che nel GDPR il rapporto fra Data Controller e Data Processor resta essenzialmente immutato rispetto a quello fra Titolare e Responsabile nell’ordinamento vigente, trovo assai incoraggiante che l’attuale “nomina” debba essere sostanziata in un documento di rilevanza contrattuale (per gli esterni). Avendo passato anni a tentare di nominare Responsabili del trattamento i fornitori esterni (con fortune diciamo… alterne) l’idea di poter regolare la questione nel contratto mi farebbe dormire più sereno. Ma soprattutto il Processor potrà nominare Processor i subfornitori (previo consenso, generale o specifico, del Controller), ponendo particolare attenzione alle garanzie sulle misure di sicurezza ed alla responsabilità in caso di Bata Breach. NB: il Processor esterno diventa sanzionabile, non solo se viola le disposizioni di legge, ma anche se disattende le istruzioni ricevute dal Controller: in tale circostanza infatti la sua posizione si configura come quella di una Data Controller autonomo, quindi responsabile e sanzionabile, anche per quanto attiene ad un eventuale risarcimento del danno agli interessati.