Regolamento europeo privacy (679/16 UE), impatto sulle aziende che sviluppano app per il web
14 min read
Il nuovo Regolamento europeo privacy sulla protezione dei dati (GDPR - General Data Protection Regulation - Regolamento UE 2016/679) operativamente efficace dal 25 maggio 2018, avrà grandi ripercussioni sull'operato delle aziende.
Per non farci cogliere impreparati, siamo entrati nel merito dell’argomento con l'Avvocato Nicolò Ghibellini, consulente aziendale in tema di diritto delle nuove tecnologie ed esperto in tema di privacy.
In primo luogo, una domanda di ordine generale: il Regolamento 679/16 UE, cambierà il modo di gestire la privacy per le aziende?
La risposta non può che essere affermativa; la principale novità introdotta dal Regolamento Europeo sulla tutela dei dati personali n. 679/2016 (d’ora in poi, per brevità Regolamento) è di ordine metodologico, ancor prima che giuridico.
Infatti, le aziende - titolari del trattamento - dovranno gestire gli aspetti privacy non più solo in ottica burocratica (redazione di documenti standard, per lo più scaricati da internet e utilizzati acriticamente) o, peggio ancora, in ottica emergenziale (solo quando si verifica il problema): la tutela del dato personale dovrà necessariamente essere organizzata ed impostata ab origine, ovvero con strumenti informatici che sin dalla loro implementazione tengano conto della necessità di proteggere i dati (a questo proposito si parla di privacy by design e di privacy by default).
Quali sono le principali modifiche e novità introdotte dal Regolamento europeo privacy?
Il Regolamento europeo privacy agisce sull’attuale normativa in due direzioni: modificando e innovando.
Di seguito una prima panoramica della le principali modifiche.
Senza la pretesa di essere esaustivi, si indicano alcuni dei nuovi obblighi di cui si dovrà tener conto dal maggio 2018:
Chi sviluppa app mobile deve prendere in considerazione la normativa privacy (TU 196/2003 e Regolamento europeo privacy)?
Certamente, in quanto l’installazione e l’utilizzo di app comporta il trattamento di dati personali.
Si pensi, per esempio, a quando l’utente effettua la registrazione preliminare: per fare ciò deve comunicare tutta una serie di dati personali (nome, cognome, telefono, email, etc.).
Ancora, una volta installata, la app permetterà di accedere ad altre informazioni presenti sul dispositivo dell’utente, come per es. i dati della rubrica e le immagini. Il problema, va da sé quindi, è rappresentato dalle possibili interazioni delle applicazioni con il dispositivo che le accoglie e sull’utilizzo, potenzialmente illimitato, delle informazioni degli utenti. Di qui la necessità di fare in modo che la diffusione di simili device “intelligenti” non comprometta sistematicamente il rispetto della normativa privacy.
Quando una app mobile è veramente rispettosa del Regolamento europeo privacy?
Volendo trasporre sul piano pratico quanto sin qui detto, lo sviluppo di una app veramente “privacy correct” dovrà necessariamente prendere le mosse dai principi e dagli obblighi della nuova normativa:
Proprio l’aspetto di quali misure tecniche sarà opportuno adottare è ad oggi quello di più difficile declinazione pratica e ciò in quanto il Regolamento europeo privacy non indica nello specifico quali misure di sicurezza applicare. Sicuramente, non sarà sufficiente rifarsi al “vecchio” art. 34 TU 196 del 2003 e al relativo All. B (disciplinare tecnico), ma bisognerà valutare nel concreto quali rischi il trattamento di dati a mezzo app possa comportare per l’interessato: per es. poiché certi trattamenti, per essere leciti, necessitano della raccolta del previo consenso, al fine di dare prova del conferimento del consenso in forma orale, si suggerisce di non limitarsi alla registrazione della chiamata, ma di addirittura di marcare temporalmente il file audio.
Quali le indicazioni che gli sviluppatori di app possono trarre dal Regolamento?
Chi sviluppa e commercializza app, dovrà:
In conclusione, il momento della progettazione è determinante per definire le funzionalità le quali devono rispondere alla necessità di una adeguata protezione dei dati contro trattamenti eccedenti.
Per non farci cogliere impreparati, siamo entrati nel merito dell’argomento con l'Avvocato Nicolò Ghibellini, consulente aziendale in tema di diritto delle nuove tecnologie ed esperto in tema di privacy.
In primo luogo, una domanda di ordine generale: il Regolamento 679/16 UE, cambierà il modo di gestire la privacy per le aziende?
La risposta non può che essere affermativa; la principale novità introdotta dal Regolamento Europeo sulla tutela dei dati personali n. 679/2016 (d’ora in poi, per brevità Regolamento) è di ordine metodologico, ancor prima che giuridico.
Infatti, le aziende - titolari del trattamento - dovranno gestire gli aspetti privacy non più solo in ottica burocratica (redazione di documenti standard, per lo più scaricati da internet e utilizzati acriticamente) o, peggio ancora, in ottica emergenziale (solo quando si verifica il problema): la tutela del dato personale dovrà necessariamente essere organizzata ed impostata ab origine, ovvero con strumenti informatici che sin dalla loro implementazione tengano conto della necessità di proteggere i dati (a questo proposito si parla di privacy by design e di privacy by default).
Quali sono le principali modifiche e novità introdotte dal Regolamento europeo privacy?
Il Regolamento europeo privacy agisce sull’attuale normativa in due direzioni: modificando e innovando.
Di seguito una prima panoramica della le principali modifiche.
- Privacy e organizzazione ente: ferma la tripartizione “classica” (Titolare, Responsabile e Incaricato), vengono introdotte due nuove figure: il responsabile esterno (la cui nomina è obbligatoria ogniqualvolta ci sia l’esternalizzazione di un servizio) e il Data Protection Officer (DPO - figura obbligatoria in alcuni casi specifici che si vedranno in seguito).
- Interessato, informativa e consenso: l’informativa mantiene il suo ruolo di documento fondamentale per l’avvio del trattamento e si arricchirà di ulteriori elementi che in essa andranno obbligatoriamente inseriti (per es. dati del DPO).
- Analisi rischi misure di sicurezza: questo aspetto continua ad essere di importanza centrale anche nel Regolamento, il quale insiste molto sul fatto che il check dei rischi e la predisposizione delle conseguenti misure siano programmati sin dall’ideazione del trattamento e quindi prima che questo sia iniziato.
- Sanzioni: il Regolamento le aumenta sensibilmente (infatti, sono previste sanzioni pecuniarie elevate che possono arrivare fino a 20.000.000 di Euro, o per le imprese fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente).
Senza la pretesa di essere esaustivi, si indicano alcuni dei nuovi obblighi di cui si dovrà tener conto dal maggio 2018:
- Obbligo di nomina del Responsabile della protezione dei dati: il responsabile della protezione dei dati (Data Protection Officer - DPO) può essere un dipendente (avente anche altri compiti e funzioni purché non confliggenti con tale ruolo) ovvero un soggetto esterno, e deve essere coinvolto in tutte le questioni riguardanti il trattamento dei dati personali. Il DPO è incaricato di informare e fornire consulenza al titolare e al responsabile del trattamento, ovvero ai dipendenti, sorvegliare l’osservanza del Regolamento e delle normative privacy ed è il referente dell’Autorità di controllo. Il Regolamento individua le ipotesi in cui la nomina del DPO è obbligatoria, ovvero quando:
- il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10. - Obbligo di Tenuta del Registro dei trattamenti: si tratta di un documento, che si può redigere anche in forma elettronica, in cui vanno indicate analiticamente tutte le attività di trattamento poste in essere dall'azienda (in sostanza, andrà a sostituire il “vecchio” DPS); attenzione, tale obbligo non si applica alle imprese e organizzazioni con meno di 250 dipendenti, a meno che il trattamento non sia occasionale o ad alto rischio, o includa particolari categorie di dati (ad esempio i dati sensibili).
- Obbligo della valutazione d’impatto: è una nuova misura di prevenzione e consiste in un elenco in cui vanno indicati i trattamenti che presentano rischio elevato per diritti/libertà dell’interessato considerando tecnologia, natura e finalità; è obbligatoria quando vengono trattati dati sensibili/particolari e, di fatto, rappresenta un surplus di valutazione che è richiesto al titolare del trattamento.
Chi sviluppa app mobile deve prendere in considerazione la normativa privacy (TU 196/2003 e Regolamento europeo privacy)?
Certamente, in quanto l’installazione e l’utilizzo di app comporta il trattamento di dati personali.
Si pensi, per esempio, a quando l’utente effettua la registrazione preliminare: per fare ciò deve comunicare tutta una serie di dati personali (nome, cognome, telefono, email, etc.).
Ancora, una volta installata, la app permetterà di accedere ad altre informazioni presenti sul dispositivo dell’utente, come per es. i dati della rubrica e le immagini. Il problema, va da sé quindi, è rappresentato dalle possibili interazioni delle applicazioni con il dispositivo che le accoglie e sull’utilizzo, potenzialmente illimitato, delle informazioni degli utenti. Di qui la necessità di fare in modo che la diffusione di simili device “intelligenti” non comprometta sistematicamente il rispetto della normativa privacy.
Quando una app mobile è veramente rispettosa del Regolamento europeo privacy?
Volendo trasporre sul piano pratico quanto sin qui detto, lo sviluppo di una app veramente “privacy correct” dovrà necessariamente prendere le mosse dai principi e dagli obblighi della nuova normativa:
- in primo luogo le app devono rispettare il principio della necessità/minimizzazione del trattamento e quindi all’utente (interessato) dovranno essere richiesti solo e soltanto i dati di cui sia necessario il trattamento;
- inoltre, il titolare del trattamento dovrà rilasciare apposita e specifica informativa nella quale andranno specificati i trattamenti posti in essere e le loro finalità; il titolare dovrà anche esplicitare le eventuali finalità di marketing e/o profilazione; sarà altresì necessario indicare l’eventuale comunicazione di dati a terzi. In buona sostanza, anche con l’entrata in vigore del Regolamento europeo privacy, l’informativa rimane uno degli adempimenti principali in capo al titolare del trattamento;
- tra i vari trattamenti intrapresi a mezzo delle app, ce ne sono alcuni che per la loro “invasività” potranno richiedere ulteriori adempimenti da parte del titolare: si pensi per esempio alla valutazione d’impatto che dovrà necessariamente essere effettuata nel caso di geolocalizzazione;
ancora, il titolare del trattamento dovrà adottare/valutare le necessarie misure organizzative e tecniche per garantire la protezione dei dati personali oggetto di trattamento. È in tale contesto che trova applicazione uno dei principali principi introdotti dal Regolamento, la privacy by design e by default: la app, deve essere congegnata fin dall’origine in modo da definire il perimetro delle possibilità di trattamento in funzione delle finalità perseguite riducendo al minimo l’utilizzo di dati identificativi, e, a maggior ragione, di quelli raccolti all’insaputa dell’utente.
Proprio l’aspetto di quali misure tecniche sarà opportuno adottare è ad oggi quello di più difficile declinazione pratica e ciò in quanto il Regolamento europeo privacy non indica nello specifico quali misure di sicurezza applicare. Sicuramente, non sarà sufficiente rifarsi al “vecchio” art. 34 TU 196 del 2003 e al relativo All. B (disciplinare tecnico), ma bisognerà valutare nel concreto quali rischi il trattamento di dati a mezzo app possa comportare per l’interessato: per es. poiché certi trattamenti, per essere leciti, necessitano della raccolta del previo consenso, al fine di dare prova del conferimento del consenso in forma orale, si suggerisce di non limitarsi alla registrazione della chiamata, ma di addirittura di marcare temporalmente il file audio.
Quali le indicazioni che gli sviluppatori di app possono trarre dal Regolamento?
Chi sviluppa e commercializza app, dovrà:
- adottare/valutare le necessarie misure organizzative e tecniche per garantire la protezione dei dati personali oggetto di trattamento;
- monitorare costantemente i rischi esistenti e futuri per la protezione dei dati.
In conclusione, il momento della progettazione è determinante per definire le funzionalità le quali devono rispondere alla necessità di una adeguata protezione dei dati contro trattamenti eccedenti.
L'Avv. Nicolò Ghibellini (nicolo@avvghibellini.com) è specializzato in diritto delle nuove tecnologie, proprietà industriale e intellettuale, e privacy.
Si occupa di consulenza aziendale in tema di:
diritto delle nuove tecnologie, con particolare attenzione alla redazione dei contratti ad oggetto informatico, all’ecommerce ed alla tutela del know how e del copyright aziendali nel web, fornendo assistenza anche in sede contenziosa;
negoziazione e redazione dei principali contratti d’impresa con particolare attenzione ai contratti di distribuzione e proprietà intellettuale.
L’Avv. Nicolò Ghibellini è inoltre cultore della materia in informatica giuridica presso la Facoltà di Giurisprudenza dell'Università di Ferrara ed docente di Elementi di Informatica presso la Scuola di Specializzazione per le Professioni Legali presso la Facoltà di Giurisprudenza dell' Università di Padova
Within the same category
The new ITSM in a nutshell
14 min read