Miniguida al GDPR: tutto quello che avreste voluto sapere, ma non avete mai osato chiedere

Il GDPR ha determinato senza dubbio una svolta epocale in materia di protezione dei dati: chi sono gli attori del regolamento, i principi cardine e gli strumenti necessari per essere compliant (anche per evitare sanzioni!)

GDPR questo sconosciuto. Acronimo dall’inglese General Data Protection Regulation (RGDP – Regolamento Generale Protezione Dati nella versione italiana). Il Regolamento generale per la protezione dei dati personali n. 2016/679 è la nuova normativa europea in materia di protezione dei dati personali. Pubblicato sulla Gazzetta ufficiale dell'Unione europea il 4 maggio 2016, è entrato in vigore il 24 maggio dello stesso anno, divenendo operativo a partire dal 25 maggio 2018.

Un  primo  bilancio  sull’applicazione  in  Italia mostra come pubbliche amministrazioni, mondo delle imprese e cittadini abbiano colto l’importanza del nuovo quadro giuridico e le opportunità che esso offre in termini di tutela e garanzie per le persone (di seguito in un immagine alcuni dati relativi all’anno 2018).

Con questo Regolamento, la Commissione europea si è infatti posta l’obiettivo di rafforzare la protezione dei dati personali di soggetti interessati che si trovano in UE, restituendo alle persone il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa sulla data protection all’interno dell’Unione. Il testo disciplina inoltre il tema del trasferimento dei dati al di fuori dell'Unione Europea.

Il GDPR ha così sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, è stato recepito con il d.lgs 101/2018 che ha abrogato gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) incompatibili con il Regolamento.

 

GDPR, cosa cambia e a chi è rivolto?

Il Regolamento tutela  il diritto alla protezione dei dati personali. Aziende, studi professionali, associazioni, enti pubblici, ditte individuali: tutti soggetti che, nello svolgimento delle proprie attività e nella fornitura dei propri servizi, trattano dati personali e sono pertanto tenuti al rispetto della normativa sulla protezione dei dati.

 

Il focus della normativa: ambiti di applicazione e definizioni salienti

"Il regime di protezione dei dati proposto, estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di soggetti che si trovano in UE a prescindere dal luogo nel quale li trattano e dalla loro sede legale. Permette di armonizzare le diverse normative sulla protezione dei dati in tutta l'UE, facilitando così l'osservanza delle norme sulla data protection, anche da parte delle imprese non europee la previsione di rigide sanzioni che possono raggiungere il 4% del volume globale di affari."

In particolare, la nuova disciplina prevede:

  • un’informativa chiara e semplice, contenente gli elementi stabiliti dall’art 13 del Regolamento stesso;
  • diritti rafforzati e nuovi diritti per gli interessati, tra cui il diritto di accesso, di rettifica, il diritto di oblio e alla portabilità dei dati;
  • l’istituzione della figura del data protection officer (DPO), chiamata a sorvegliare sull’applicazione del Regolamento e a collaborare con l’Autorità di controllo;
  • che in caso di data breach, ovvero di violazione dei dati personali, la notifica al Garante venga fatta entro 72 ore dalla scoperta.

Il Regolamento viene dunque applicato al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un "archivio", definito in modo simile all'espressione "banca di dati", presente nel codice privacy italiano (l'Italia si è adeguata alla normativa europea tramite il decreto legislativo n. 101 del 10 agosto 2018).

Inoltre, il Regolamento si applica anche a imprese, enti, e organizzazioni in generale, con sede legale fuori dall'UE che trattano dati personali di persone che stanno nell'Unione Europea. Ciò a prescindere dal luogo o dai luoghi in cui sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Occorre tenere presente, peraltro, che, sempre nell’ottica di prevenire, per quanto possibile, elusioni della regolamentazione, con il termine “stabilimento”, la disciplina europea si riferisce all’esistenza di un “effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile”. Per evitare di adeguarsi al GDPR, le aziende non possono cioè giustificarsi adducendo la qualifica di mere filiali o di semplici succursali, perché quello a cui si deve fare attenzione, a prescindere dalla forma giuridica, è l’attività concretamente esercitata presso la singola sede.

Vediamo ora alcune “definizioni” ricorrenti.

Un dato personale è una qualsiasi informazione riguardante una persona fisica «identificata» o «identificabile»: i dati anagrafici, il codice fiscale, il numero di targa, un identificativo online. Per la loro natura, alcuni dati personali sono poi considerati particolari o degni di particolare attenzione, ragione per quale è opportuno che siano maggiormente protetti e vengano trattati soltanto in determinate condizioni:

  • i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, quelle filosofiche, l’appartenenza sindacale;
  • i dati genetici e biometrici
  • i dati relativi alla salute o alla vita sessuale della persona
  • i dati relativi a condanne penali o reati.

Un trattamento è quindi qualsiasi operazione o insieme di operazioni, compiuto  con o senza l’ausilio di processi automatizzati, applicato a dati personali o insiemi di dati personali. Il consenso dell’interessato è invece qualsiasi manifestazione  di  volontà  libera, specifica, informata e  inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva  inequivocabile, che i dati personali che lo  riguardano siano oggetto di trattamento.

Attenzione! Il Regolamento disciplina il trattamento dei soli dati personali delle persone fisiche (comprese le ditte individuali, dove identità professionale e personale coincidono: i dati di soggetti aventi personalità giuridica (società di capitali, aziende ed enti pubblici, associazioni e fondazioni) sono pertanto esclusi dall'applicazione. In pratica, il campo di applicazione riguarda i dati personali di persone fisiche trattati in qualsiasi attività (professionale, economica, di interesse pubblico, associativa, ecc.) con l’esclusione di quei trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (eccezion fatta per la pubblicazione online di dati personali, in quanto li rende accessibili a un numero indistinto di soggetti).

 

I soggetti del GDPR

Quali sono dunque gli attori protagonisti della normativa europea? Quattro le figure su cui porre particolare attenzione:

  1. il titolare del trattamento;
  2. il responsabile del trattamento;
  3. l’interessato;
  4. il responsabile della protezione dei dati.
     

Il titolare del trattamento dei dati 

Il titolare del trattamento dei dati è individuabile come quella figura che ha il potere di:

  • prendere decisioni in relazione alle finalità del trattamento;
  • impartire istruzioni e direttive;
  • svolgere funzioni di controllo.

Il GDPR delinea la figura del titolare del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. Ciò che consente di individuare il soggetto titolare del trattamento è, pertanto, il potere decisionale a lui imputabile in ordine al trattamento dei dati personali. Per quanto riguarda le novità introdotte dal GDPR, l’art. 30, comma 1 del Regolamento prevede in capo al titolare (e anche al suo rappresentante, se presente) l’obbligo di tenere il registro delle attività di trattamento svolte sotto la sua responsabilità.

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD;
  • in ogni caso, anche qualora il titolare non rientrasse tra i soggetti obbligati sopra descritti, si segnala l’importanza di redigere comunque un registro delle attività di trattamento, anche in virtù del principio dell’accountability (responsabilizzazione) meglio descritto in seguito.

Il responsabile del trattamento dei dati

Il GDPR si riferisce alla “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del Titolare del trattamento” (art. 4, paragrafo 1, n. 8). Il titolare del trattamento è obbligato a nominare formalmente chi tratta i dati per conto dello stesso con «contratto o altro atto giuridico» stipulato in forma scritta anche su supporto elettronico, che regoli la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e del responsabile stesso.

L’interessato

L’interessato al trattamento dei dati è, in poche parole, la persona fisica cui si riferiscono i dati personali oggetto di trattamento.

Più precisamente, l’interessato è una persona fisica identificata o identificabile, che può cioè essere identificata in modo diretto o indiretto facendo riferimento, ad esempio, ad informazioni come: il nome, un numero di identificazione, dati riguardanti l’ubicazione, un identificativo on-line oppure uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Il responsabile della protezione dei dati

Altrimenti detto Data Protection Officer (o DPO) è un consulente, esperto e qualificato, avente competenze giuridiche, informatiche di risk management, di governance, di analisi dei processi, ecc., che affianca il titolare/responsabile nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente.  Il DPO è una figura nominata dal titolare o dal responsabile del trattamento: può essere selezionato internamente all’organizzazione, salvo motivi di conflitto di interesse, oppure essere un libero professionista, esterno e autonomo, appositamente incaricato di svolgere questo ruolo in forza di un contratto di servizi.

La nomina è obbligatoria se:

  • il trattamento è svolto da un’autorità pubblica;
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

 

Le novità introdotte dal GDPR: i principi cardine

Analizziamo quindi punto per punto principi cardine e novità introdotte dal GDPR. 

Principio di liceità del trattamento – Il titolare è tenuto a trattare i dati personali nel rispetto delle leggi, anche di quelle che regolano specifici settori (come ad esempio il Regolamento IVASS, lo Statuto dei Lavoratori). Il trattamento è lecito solo se (…):

  1. l’interessato ha espresso il consenso al trattamento dei propri dati personali;
  2. il trattamento è necessario all’esecuzione di un contratto;
  3. il trattamento è necessario per un obbligo di legge al quale è soggetto il titolare;
  4. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato;
  5. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico;
  6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare o di terzi, a condizione che non prevalgano interessi o i diritti e le libertà fondamentali dell’Interessato.

Principio di trasparenza e correttezza  – Ciò significa che i dati personali devono essere raccolti per finalità determinate, esplicite e legittime che devono essere chiaramente indicate nell’informativa all’interessato.

Principio di minimizzazione ed esattezza – I dati personali devono essere:

  1. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”).
  2. esatti, e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”).

Principio di limitazione della conservazione – I dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89 paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal Regolamento stesso a tutela dei diritti e delle libertà dell’interessato.

Principio di disponibilità, integrità e riservatezza – I dati personali devono essere trattati in maniera da garantirne la disponibilità l’integrità e la riservatezza, tramite misure tecniche e organizzative adeguate, al fine di evitare trattamenti non autorizzati o illeciti, oltre alla perdita, alla distruzione o ai danni accidentali.

Principio di accountability (responsabilizzazione) – Questa è una delle novità principali del GDPR, che identifica un “cambio rotta” nella gestione aziendale, non più basata unicamente su norme impositive, ma sulla capacità del Titolare del trattamento di “autoresponsabilizzarsi”, tenendo conto dei rischi connessi con l’attività svolta, al fine di garantire attraverso l’adozione di misure tecnico-organizzative idonee, la piena conformità del trattamento dei dati personali ai principi sanciti dal Regolamento.  Il titolare del trattamento dovrebbe essere in grado di dimostrare la conformità delle attività di trattamento con il presente Regolamento, compresa l’efficacia delle misure adottate, misure che dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per diritti e  libertà delle persone fisiche.

Privacy by design dei dati personali in termini di integrità, disponibilità e riservatezza, fin dalla progettazione di una nuova attività o di un nuovo trattamento - L'obbligo di privacy by design è basato sulla valutazione del rischio, per cui l’azienda (o, in ogni caso il titolare del trattamento) dovrà valutare il rischio inerente alla sua attività. La valutazione andrà fatta prima che il trattamento inizi, al momento della progettazione del sistema, tenendo conto del tipo di dati trattati, dello stato dell’arte e dei costi di attuazione.

Privacy by default – Il principio di “protezione per impostazione predefinita” prevede che il trattamento dei dati  personali sia realizzato solo nella misura necessaria e sufficiente per le finalità previste e, allo stesso modo, per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.

 

GDPR, come fornire un’informativa corretta all’interessato

Il GDPR detta nuove e più stringenti regole per ciò che riguarda le informazioni che devono essere fornite all’interessato da parte del soggetto titolare del trattamento dei dati personali. Di seguito, le principali:

  • i dati di contatto (sempre) del titolare del trattamento, nonché, se presente, del suo rappresentante sul territorio europeo e (se nominato);
  • la base giuridica (quindi, le condizioni di liceità su cui il trattamento si basa: consenso, contratto, norma di legge, interesse legittimo, interesse pubblico, ecc.) e le finalità del trattamento (ovvero lo scopo della raccolta o dell’elaborazione dei dati);
  • i destinatari o le categorie di destinatari dei dati personali:  a chi saranno comunicati quei dati o con chi verranno condivisi, anche semplicemente per poter effettuare un servizio richiesto dallo stesso interessato;
  • l’eventuale intenzione di trasferire i dati personali a un Paese terzo (cioè extra-europeo) o a un’organizzazione internazionale: in poche parole, è necessario comunicare all’interessato se i suoi dati verranno diffusi al di fuori del territorio dell’Unione Europea;
  • il periodo di conservazione dei dati o i criteri utilizzati per determinarlo: periodo che sarà strettamente correlato allo scopo perseguito con il trattamento;
  • l’esistenza, in capo all’interessato, di una serie di diritti e, in particolare: diritto di accesso ai dati; diritto di chiedere rettifica, cancellazione, o limitazione del trattamento; diritto di opporsi al trattamento; diritto alla portabilità dei dati; diritto di revocare il consenso al trattamento, diritto di proporre reclamo all’autorità di controllo. È dunque compito del titolare far conoscere all’interessato quali siano questi diritti e come poterli esercitare concretamente;
  • l’obbligatorietà (o meno) di dare comunicazione dei dati personali: il titolare deve quindi dire all’interessato se la raccolta di quei dati sia necessaria o meno per poter fornire un servizio o dare esecuzione a una richiesta rivolta dall’interessato stesso, ecc. Inoltre, occorre spiegare all’interessato cosa succede nell’ipotesi in cui lo stesso non voglia comunicare i dati richiesti (il che, per lo più, consisterà nell’impossibilità di fornire il servizio in oggetto).
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione, aggiungendo in questo caso informazioni che consentano all’interessato di capire in cosa consista nella pratica quel trattamento: ad esempio, informazioni sugli strumenti utilizzati, sulla portata del trattamento così effettuato, sulla diffusione dei dati che ne può conseguire e così via;
  • le categorie di dati personali in questione (ad esempio, se sono raccolti dati particolari) e, nel caso in cui i dati personali non siano stati ottenuti direttamente dall’interessato, la fonte da cui arrivano e l’eventualità che provengano da fonti accessibili al pubblico.

 

GDPR, quali sono gli strumenti necessari per essere in compliance

Il Regolamento europeo per la protezione dai dati personali lascia un certo margine di discrezionalità ai titolari del trattamento nel decidere le concrete modalità da adottare al fine di conformarsi alle sue disposizioni. A questa maggiore libertà si contrappone, tuttavia, l’onere di dimostrare le ragioni a fondamento delle decisioni prese, attraverso le quali si ritiene di poter raggiungere un adeguato livello di conformità alla normativa.

Come previsto infatti dall’articolo n. 78 del GDPR, “la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente Regolamento”. Per tale motivo, è quindi necessario che il titolare del trattamento dei dati personali predisponga delle linee guida, delle politiche interne e delle procedure, che possano rientrare a far parte di un “sistema di gestione della protezione dei dati” dinamico, aggiornato, monitorato e basato sui principi della “privacy by design e by default”, con obiettivo quello di garantire, a seguito di una completa valutazione dei rischi, l’integrità, la riservatezza e la disponibilità dei dati.

 

Le possibili sanzioni

Il sistema sanzionatorio delineato dal Regolamento si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie, rientranti nell’insieme degli strumenti che le autorità di controllo in ogni singolo Stato membro dell’Unione Europea ha a disposizione, al fine di assicurare una corretta e uniforme applicazione delle disposizioni del GDPR in tutto il territorio europeo. Insieme, o in sostituzione, alle sanzioni pecuniarie, le autorità di controllo possono altresì esercitare poteri correttivi, quali avvertimenti o ammonimenti a seconda che i trattamenti previsti possano violare o abbiano violato il Regolamento. Ad esempio: ingiungere di soddisfare le richieste dell’interessato o di conformare i trattamenti al Regolamento entro un dato termine; imporre una limitazione transitoria o definitiva al trattamento; ordinare la cancellazione o la rettifica di dati; ordinare la sospensione dei flussi di dati, ecc.

In merito ai reati penali, il legislatore nazionale ha ristrutturato totalmente le disposizioni del Codice Privacy introducendo nuove fattispecie di reato, quali ad esempio: il trattamento illecito di dati personali verso Paesi terzi; la diffusione illecita di dati personali; la falsità nelle dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante, ecc.

 

Ricapitolando…

In tema di protezione dei dati personali e conformità al GDPR, le tre competenze chiave che un’azienda deve mettere in campo per essere in grado di garantire effettivamente la sicurezza dei dati personali in relazione alla loro disponibilità, riservatezza e integrità, sono quella legale/organizzativa, quella gestionale e quella relativa alla sicurezza informatica. La mancanza anche di una sola di esse può rendere “fragile” il sistema di gestione privacy all’interno dell’azienda. Da un punto di vista legale/organizzativo, è necessario implementare tutta la modulistica attraverso la quale dare concreto seguito al sistema di gestione della privacy, ad esempio predisponendo le nomine ai soggetti autorizzati, sottoscrivendo gli atti di nomina dei responsabili del trattamento, redigendo e pubblicando le Informative la dove necessario, con le opportune dichiarazioni di consenso,  individuando ruoli e responsabilità all’interno della propria organizzazione, etc.

Altrettanto fondamentale, infine,  conoscere i processi della propria azienda al fine di individuare mediante un approccio basato sul rischio, i possibili impatti negativi sui diritti e le libertà delle persone fisiche, adottando e/o integrando di conseguenza le misure di sicurezza necessarie per ridurre il rischio almeno a un livello accettabile.

 


 

Potrebbe interessarti anche

LTC e Dread Disease: le assicurazioni vita dedicate alla protezione

Non solo risparmio o investimento: le assicurazioni sulla vita possono avere anche funzione di protezione, ad esempio nei casi di rischi connessi alla salute o nell'eventualità di alcune delicate scelte di gestione del proprio patrimonio. Di cosa si tratta e come funzionano

Coerenza dei prodotti assicurativi: meno burocrazia e più attenzione alle tutele

Il recepimento della direttiva IDD, ma ancora di più la necessità di favorire una diffusione consapevole della pratica assicurativa, non può che portare a un modo nuovo di intendere l'assicurazione, nel quale la burocrazia fine a stessa lasci spazio a una maggiore attenzione ai rischi e ai bisogni degli assicurati: alcune riflessioni sulla "valutazione di coerenza"