A partire dal 25 maggio 2018 è diventato direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali che manda definitivamente in pensione il D.Lgs. 196 del 2003, il vecchio codice per la protezione dei dati personali.

L’avvicendamento rappresenta un passaggio epocale nel trattamento e nella protezione dei dati personali, oggi sempre più oggetto di scambi tecnologici, economici e sociali. Ma perché si è ritenuto opportuno questo cambio? E cosa comporta ai ritardatari?

La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo, basti pensare che nel 2003 Facebook, Twitter, Instagram, Youtube e molti altri social non esistevano ancora. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare i dati personali, come mai in precedenza, nello svolgimento delle loro attività.

Per assicurare un livello adeguato di protezione delle persone fisiche in tutta l’Ue e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, era necessario un regolamento che desse maggiori garanzie.

Con il GDPR viene ripensata la metodologia relativa alla protezione delle informazioni riguardanti le persone fisiche nonché norme relative alla libera circolazione di tali dati.

In particolare è introdotto il concetto di responsabilizzazione (accountability). Secondo questo principio, i titolari del trattamento dovranno sempre garantire il rispetto dei requisiti sul trattamento dei dati personali, nella consapevolezza che una violazione degli stessi può provocare danni fisici, materiali o immateriali.

Attraverso tale principio, il Regolamento dell’UE stabilisce che il titolare del trattamento deve avviare politiche e realizzare misure tecniche e organizzative idonee a garantire, e quindi anche a dimostrare, che il trattamento dei dati personali sia conforme al Regolamento.

Nel caso delle PMI, questa è un’attività che dovranno rendicontare al Garante della Privacy.

Un’altra novità è certamente quella apportata con il principio del Privacy by Design e by Default, che fa ricadere sul titolare del trattamento l’obbligo di porre in essere, sin da subito, delle misure tecniche e organizzative adeguate per avviare gli strumenti e le corrette impostazioni a tutela dei dati personali (prevenire, non correggere).

Infine, la figura del DPO (Data Protection Officer) – diversa da quella del Responsabile del trattamento dei dati personali – che fa il suo ingresso anche in Italia per adeguarsi alla normativa europea, obbligatoria in tre ipotesi:

• Se il trattamento dei dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
• Se le attività principali dell’organizzazione consistono in trattamenti che richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
• Se le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati sensibili o giudiziari.

A ricoprire tale mansione può essere nominata una persona interna all’ente stesso (attraverso un atto di designazione a Responsabile per la protezione dei dati) o una figura esterna (Contratto di servizi redatto in base a quanto previsto dall’art. 37 del GDPR), che a sua volta può essere affiancata da un team di esperti, purché per tutti valgano alcuni imprescindibili requisiti:

• Competenze specialistiche in materia di normativa e prassi (che devono persistere per tutta la durata dell’incarico)
• Conoscenza dei regolamenti
• Capacità di adempiere pienamente ai compiti
• Assenza di conflitto di interessi

Il DPO opera in autonomia e non risponde alle sanzioni amministrative.  Offre consulenza al titolare del trattamento dei dati personali e ai dipendenti comunali che ne facciano richiesta; fornisce il suo parere sulla valutazione di impatto; sorveglia sul rispetto della protezione dei dati; valuta i rischi ai quali si può esporre l’ente e coopera con l’unità di controllo (Garante).

Il DPO infine, diventa, una figura fondamentale che può accompagnare gli Enti in Italia nel passaggio alla normativa europea attraverso anche l’obbligo positivo di segnalazione che gli permette di avvisare tempestivamente il Dirigente dell’Ente nel caso di inadempimenti o eccessiva trasparenza.

Infine, tra le novità, con il nuovo Regolamento Europeo viene introdotta la possibilità di segnalare al Garante – entro 72 ore dal fatto – eventuali violazioni che provocheranno gravi sanzioni penali nel caso in cui l’infrazione venga confermata.

In estrema sintesi, col GDPR:

• Si introducono regole più chiare su informativa e consenso;
• Vengono definiti i limiti al trattamento automatizzato dei dati personali;
• Vengono poste le basi per l’esercizio di nuovi diritti;
• Sono stabiliti criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue;
• Sono fissate norme rigorose per i casi di violazione dei dati (data breach)

Le norme si applicano anche alle imprese situate fuori dall’Unione Europea che offrano servizi o prodotti all’interno del mercato Ue.

La percezione, ad oggi, è che le aziende di grandi dimensioni o rivenditrici di prodotti di tipo consumeristico si siano adeguate in tempo e con più facilità; Enti pubblici e PMI mostrano ancora un po’ di arretratezza ad affrontare il problema. Ricordando e sottolineando che non sono state ammesse proroghe, bisogna premere su alcuni punti essenziali:

• Rivedere e aggiornare la modulistica rendendola conforme alla nuova normativa;
• Sicurezza: sulla base del Registro dei trattamenti dei dati personali (per chi è tenuto a farlo o per chi vuole ugualmente farlo), analisi dei rischi e valutazione di adeguatezza sui trattamenti e dell’uso in sicurezza degli stessi;
• Il già discusso Data Protection Officer (DPO)
• E il Data protection impact assessment (DPIA – valutazione d’impatto sulla protezione dei dati) ovvero quel processo volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo. L’articolo 35, comma 1, del GDPR prevede che il processo di DPIA sia obbligatorio quando un trattamento di dati personali “presenti un rischio elevato per i diritti e le libertà delle persone fisiche”.

E le scuole?

Ovviamente questo nuovo Regolamento riguarda anche gli Istituti Scolastici, siano essi pubblici o privati, anzi, proprio le scuole risultano essere, tra tutte le istituzioni, quelle maggiormente nell’occhio del ciclone. Non solo per l’enorme mole di dati che deve essere messa in sicurezza ma soprattutto perché, nella stragrande maggioranza dei casi, le informazioni riguardano i minori

Necessario dunque che ogni Scuola, metta a fuoco gli interventi necessari per adeguare la propria organizzazione:

• Aggiornare la tecnologia,
• Rivedere i rapporti con i fornitori di servizi – outsourcing, cloud, supporto applicativo, call center
• Assolvere ai propri compiti in modo conforme al nuovo quadro legislativo.

Inoltre, come ogni altra amministrazione pubblica, le scuole dovranno nominare un RPD (Responsabile Protezione Dati) che dovrà occuparsi delle politiche della privacy dell’istituto e che sarà responsabile – come il dirigente – di eventuali violazioni del regolamento.

Il GDPR ha, dunque, lo scopo principale di limitare i rischi. Rischi che possono incombere sui diritti e libertà delle persone fisiche, sulla protezione delle persone fisiche e sui diritti e libertà degli interessati.

Mettere in sicurezza i dati che si possiedono, non è altro che mettere in sicurezza se stessi.