Come ormai ben noto, in data 25 maggio 2018 è entrato il vigore il Regolamento (UE) 2016/679 .[1], vale a dire il c.d. “GDPR” (acronimo di General Data Protection Regulation).

Questo regolamento rappresenta una trasformazione storica nell’ambito della data protection e – come tale – è destinata ad incidere anche sulla industry dello shipping, in cui la mole delle informazioni processate quotidianamente non fa che aumentare. Gli operatori del settore, infatti, raccolgono continuamente dati personali relativi ai clienti, ai collaboratori, ai fornitori e così via.

Se è vero, come è vero, che col GDPR si entra in una nuova era delle norme che tutelano il diritto ad esercitare un controllo sui dati personali che riguardano i singoli individui, vale quindi la pena approfondire – trascorso qualche mese dall’entrata in vigore della normativa in parola – l’impatto di tale nuova normativa sulle imprese che operano nel settore dello shipping.

Quanto sopra anche alla luce di un fatto che non può certo essere trascurato, ma che – al contrario – va tenuto in seria considerazione: sono previste pesanti sanzioni per le imprese che non si conformano ai dettami del GDPR .[2].

Ma in cosa consiste, nel concreto, l’adeguamento imposto dal GDPR alle imprese? La vera rivoluzione è costituita dal cambio di paradigma: fino all’entrata in vigore del GDPR, al centro delle norme di data protection è stata posta la persona, intesa come persona fisica. I dati venivano tutelati in quanto indirettamente rappresentano la persona.

Con il progresso tecnologico, invece, i dati hanno acquistato valore in sé e vengono ora tutelati per ciò che sono, anche a prescindere (potremmo dire) dalle persone cui si riferiscono. In termini molto semplici: i dati in sé sono diventati un bene giuridico meritevole di tutela.

In questa prospettiva, segnaliamo subito come il GDPR sia di fatto uno strumento di competizione economica per gli operatori della nostra industry.

Svolta questa premessa, vediamo innanziuttto i criteri per stabilire a chi si applichino le disposizoni del GDPR, partendo per esempio da una semplice domanda: “Se una società extraeuropea tratta dati di cittadini europei quale legge si applica?” La risposta prima del GDPR era questa: si applica la legge del titolare del trattamento (cioè di chi raccoglie i dati). Con il GDPR viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti.

Inoltre, fino all’entrata in vigore del GDPR gli adempimenti in materia di data protection erano basati su criteri formali: si era sanzionati se gli adempimenti non erano stati applicati e se l’autorità di controllo lo rilevavano e lo contestavano. Oggi invece, per le imprese, è obbligatorio elaborare un sistema di gestione della privacy in cui si dimostri di aver adottato tutti i requisiti di compliance al GDPR: è la logica dell’accountability, che consiste nella corretta pianificazione, documentazione e monitoraggio delle attività di trattamento.

In sostanza, il titolare del trattamento, deve adottare politiche e attuare misure di sicurezza adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al GDPR. Se l’impresa non organizza bene la gestione dei dati che raccoglie è punibile per questo semplice fatto, a prescindere dall’abusivo utilizzo dei dati che ne possa essere derivato o meno!

Negli ultimi anni Internet è stata una grande rivoluzione anche nel settore dei trasporti. Dai siti web alle app ad altri strumenti che consentono di confrontare i prezzi, la migrazione verso il digitale è quasi completata. Per esempio, si stima che oggi, oltre l’80% dei viaggiatori del mondo prenoti viaggi in rete (fornendo una moltitudine di dati personali che va dalle anagrafiche ai dati bancari).

La vera “trasformazione”, tuttavia, va ben oltre il consentire ai viaggiatori di fare ricerche o prenotare mezzi di trasporto tramite un’ampia gamma di dispositivi; ogni volta che un utente naviga, fa clic, mette un “like”, condivide o legge un articolo, infatti, lascia una traccia di dati. E quei dati (ebbene sì, anche i cookie – che consentono il tracciamento degli utenti online – sono dati personali ai sensi del GDPR) costituiscono proprio la linfa vitale delle imprese di settore. Ed è proprio nel momento in cui l’impresa raccoglie tali dati che dovrà rendere l’informativa.

L’informativa non è più uno strumento formale, che l’impresa deve rilasciare per essere compliant, ma deve essere resa in forma effettivamente concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro. Tale documento dovrà prevedere inoltre modalità volte ad agevolare l’esercizio da parte dell’interessato dei propri diritti, compresi i meccanismi per richiedere gratuitamente, in particolare, l’accesso ai dati, la loro rettifica e la loro cancellazione.

Le imprese, inoltre, devono far propri anche i nuovi principi della protezione della privacy by design e della privacy by default. Privacy by design significa che la tutela dei dati personali deve essere pensata ed organizzata da parte dell’impresa fin dalla fase progettuale della raccolta di informazioni e per l’intera gestione del ciclo di vita dei dati. Privacy by default significa che occorre evitare di acquisire informazioni eccedenti rispetto agli obiettivi dichiarati nell’informativa. Privacy by design e privacy by default – fondendosi in un unico precetto organizzativo – diventano quindi la vera stella polare, per l’impresa, nel cammino verso il corretto trattamento dei dati personali.

E veniamo dunque al capitolo sanzioni.

Con il GDPR si passa dalle sanzioni “a cifra fissa” alle sanzioni “personalizzate”, molto più pesanti anche in quanto non solo amministrative pecuniarie, ma anche di natura penale. Per quanto riguarda le prime, esse possono andare dai 10 ai 20 milioni di Euro, o se superiore, dal 2% al 4% del fatturato annuo mondiale dell’esercizio precedente dell’impresa responsabile della violazione. In caso di non conformità, inoltre, va considerato anche il danno reputazionale e la possibile perdita di fiducia da parte dei clienti .[3].

Nonostante quanto sopra, sono ancora diverse le aziende che si devono in concreto adeguare al GDPR. In questo senso va detto che il “problema GDPR” va “affrontato” non sono a livello legale, bensì anche dal punto di vista operativo. Tipicamente, i dispositivi utilizzati e le grandi banche dati possono essere vulnerabili dal punto di vista della protezione, rendendo le imprese che trattano i dati possibili prede dei criminali informatici.

Per le imprese più grandi è stato introdotto un nuovo protagonista della tutela dei dati personali: il Data Protection Officer (“DPO”). Si tratta, in sostanza, di una figura obbligatoria se (i) chi tratta i dati personali è un soggetto pubblico; (ii) si trattano rilevanti quantità di dati personali; (iii) si trattano sistematicamente dati sensibili o giudiziari. Il DPO, che può essere un consulente esterno all’azienda, deve possedere requisiti di professionalità, indipendenza ed autonomia di spesa divenendo una sorta di auditor interno dei processi di trattamento dei dati personali e il referente che il Garante per la Privacy contatterà in caso debba acquisire informazioni o formulare contestazioni rivolte a chi tratta i dati personali in azienda.

Per quanto concerne poi il consenso al trattamento dei dati, secondo il GDPR “esso dovrebbe essere espresso mediante un’azione positiva inequivocabile con la quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento, ad esempio mediante dichiarazione scritta, anche elettronica, o orale” (Considerando 32 del GDPR).

Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche o qualsiasi altra dichiarazione. Non configura consenso, pertanto, il semplice consenso tacito o passivo o la preselezione di caselle .[4].

Infine, uno dei nuovi adempimenti previsti dal GDPR è la valutazione d’impatto, che deve essere preventivamente effettuata quando un tipo di trattamento, allorché preveda in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le liberà delle persone fisiche.

Per concludere, possiamo quindi osservare come il tema della privacy oggi, pur implicando necessità di adeguamento e dunque un carico di lavoro per le imprese, possa essere al contempo uno strumento di competizione economica. Assicurare alla propria impresa il miglior modello di compliance rispetto alla normativa in parola parrebbe infatti garantire un vantaggio competitivo, oltre che un’opportunità in più per distinguersi sul mercato.

Posto che il GDPR si inserisce, insieme alle due Direttive 2016/680 e 2016/681 in quello che è stato definito il “Pacchetto europeo protezione dati”, nel prossimo numero della nostra newsletter faremo un ulteriore specfico approfondimento in relazione al trasporto aereo. Nel trasporto aereo, infatti, ancor più che in altri settori, si pone la necessità di un bilanciamento tra i limiti alla raccolta e all’utilizzo di dati sensibili e le esigenze di sicurezza (anche nella lotta al terrorismo globale). E’ quindi utile mettere in correlazione i contenuti di cui alla Direttiva UE 2016/681 – sulla gestione dei PNR dei passeggeri – con il GDPR, anche al fine di valutarne l’effetto congiunto.

Il contenuto di questo articolo ha valore solo informativo e non costituisce un parere professionale.
Per ulteriori informazioni contattare Ilaria Todaro.

[1] Regolamento del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

[2] Ad oggi, secondo le statistiche, la percentuale delle aziende che ha messo in campo progetti strutturati di adeguamen-to al GDPR ha oltrepassato il 51% rispetto al 9% rilevato circa un anno fa; le aziende che hanno stabilito un budget ad hoc per gli adeguamenti al GDPR sono passate dal 15% a circa il 60%; le aziende che affermano che incrementeranno in organi-co i ruoli preposti alla gestione della privacy hanno raggiunto il 49%, mentre la percentuale delle aziende che afferma di avere già in organico o di collaborare con un Data Protection Officer allo scopo di facilitare il rispetto del GDPR si avvicina al 30%.(Fonte: www.agendadigitale.eu.)

[3] Prendiamo il caso di Uber, che (stando a quanto riportato da “Il Sole 24 Ore”) avrebbe nascosto il furto di 57 milioni di dati personali di propri utenti (anche pagando gli hacker responsabili per mantenere segreto il fatto). Se questa perdita di dati fosse avvenuta dopo l’entrata in vigore del GDPR, sulla base di quanto evidenziato da www.securityinfo.it, la società sarebbe stata multata per 260 milioni di dollari.

[4] Per esempio, le imprese dovranno rivedere il concetto di telemetria, considerata a tutti gli effetti un dato personale, per il quale non è più ammesso il consenso esplicito da parte dei dipendenti, in ragione dello squilibrio di potere. Le azien-de, comunque, possono continuare a tracciare le proprie vetture, in quanto titolari di un interesse legittimo (retribuendo il tempo di guida, sono nel pieno diritto di monitorare il dipendente per assicurarsi che sia in viaggio verso la sua destina-zione).