Miniguida al GDPR: tutto quello che avreste voluto sapere, ma non avete mai osato chiedere
Il GDPR ha determinato senza dubbio una svolta epocale in materia di protezione dei dati: chi sono gli attori del regolamento, i principi cardine e gli strumenti necessari per essere compliant (anche per evitare sanzioni!)
GDPR questo sconosciuto. Acronimo dallinglese General Data Protection Regulation (RGDP Regolamento Generale Protezione Dati nella versione italiana). Il Regolamento generale per la protezione dei dati personali n. 2016/679 è la nuova normativa europea in materia di protezione dei dati personali. Pubblicato sulla Gazzetta ufficiale dell'Unione europea il 4 maggio 2016, è entrato in vigore il 24 maggio dello stesso anno, divenendo operativo a partire dal 25 maggio 2018.
Un primo bilancio sullapplicazione in Italia mostra come pubbliche amministrazioni, mondo delle imprese e cittadini abbiano colto limportanza del nuovo quadro giuridico e le opportunità che esso offre in termini di tutela e garanzie per le persone (di seguito in un immagine alcuni dati relativi allanno 2018).
Con questo Regolamento, la Commissione europea si è infatti posta lobiettivo di rafforzare la protezione dei dati personali di soggetti interessati che si trovano in UE, restituendo alle persone il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa sulla data protection allinterno dellUnione. Il testo disciplina inoltre il tema del trasferimento dei dati al di fuori dell'Unione Europea.
Il GDPR ha così sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, è stato recepito con il d.lgs 101/2018 che ha abrogato gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) incompatibili con il Regolamento.
GDPR, cosa cambia e a chi è rivolto?
Il Regolamento tutela il diritto alla protezione dei dati personali. Aziende, studi professionali, associazioni, enti pubblici, ditte individuali: tutti soggetti che, nello svolgimento delle proprie attività e nella fornitura dei propri servizi, trattano dati personali e sono pertanto tenuti al rispetto della normativa sulla protezione dei dati.
Il focus della normativa: ambiti di applicazione e definizioni salienti
"Il regime di protezione dei dati proposto, estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di soggetti che si trovano in UE a prescindere dal luogo nel quale li trattano e dalla loro sede legale. Permette di armonizzare le diverse normative sulla protezione dei dati in tutta l'UE, facilitando così l'osservanza delle norme sulla data protection, anche da parte delle imprese non europee la previsione di rigide sanzioni che possono raggiungere il 4% del volume globale di affari."
In particolare, la nuova disciplina prevede:
- uninformativa chiara e semplice, contenente gli elementi stabiliti dallart 13 del Regolamento stesso;
- diritti rafforzati e nuovi diritti per gli interessati, tra cui il diritto di accesso, di rettifica, il diritto di oblio e alla portabilità dei dati;
- listituzione della figura del data protection officer (DPO), chiamata a sorvegliare sullapplicazione del Regolamento e a collaborare con lAutorità di controllo;
- che in caso di data breach, ovvero di violazione dei dati personali, la notifica al Garante venga fatta entro 72 ore dalla scoperta.
Il Regolamento viene dunque applicato al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un "archivio", definito in modo simile all'espressione "banca di dati", presente nel codice privacy italiano (l'Italia si è adeguata alla normativa europea tramite il decreto legislativo n. 101 del 10 agosto 2018).
Inoltre, il Regolamento si applica anche a imprese, enti, e organizzazioni in generale, con sede legale fuori dall'UE che trattano dati personali di persone che stanno nell'Unione Europea. Ciò a prescindere dal luogo o dai luoghi in cui sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Occorre tenere presente, peraltro, che, sempre nellottica di prevenire, per quanto possibile, elusioni della regolamentazione, con il termine stabilimento, la disciplina europea si riferisce allesistenza di un effettivo e reale svolgimento di attività nel quadro di unorganizzazione stabile. Per evitare di adeguarsi al GDPR, le aziende non possono cioè giustificarsi adducendo la qualifica di mere filiali o di semplici succursali, perché quello a cui si deve fare attenzione, a prescindere dalla forma giuridica, è lattività concretamente esercitata presso la singola sede.
Vediamo ora alcune definizioni ricorrenti.
Un dato personale è una qualsiasi informazione riguardante una persona fisica «identificata» o «identificabile»: i dati anagrafici, il codice fiscale, il numero di targa, un identificativo online. Per la loro natura, alcuni dati personali sono poi considerati particolari o degni di particolare attenzione, ragione per quale è opportuno che siano maggiormente protetti e vengano trattati soltanto in determinate condizioni:
- i dati che rivelano lorigine razziale o etnica, le opinioni politiche, le convinzioni religiose, quelle filosofiche, lappartenenza sindacale;
- i dati genetici e biometrici
- i dati relativi alla salute o alla vita sessuale della persona
- i dati relativi a condanne penali o reati.
Un trattamento è quindi qualsiasi operazione o insieme di operazioni, compiuto con o senza lausilio di processi automatizzati, applicato a dati personali o insiemi di dati personali. Il consenso dellinteressato è invece qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dellinteressato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Attenzione! Il Regolamento disciplina il trattamento dei soli dati personali delle persone fisiche (comprese le ditte individuali, dove identità professionale e personale coincidono: i dati di soggetti aventi personalità giuridica (società di capitali, aziende ed enti pubblici, associazioni e fondazioni) sono pertanto esclusi dall'applicazione. In pratica, il campo di applicazione riguarda i dati personali di persone fisiche trattati in qualsiasi attività (professionale, economica, di interesse pubblico, associativa, ecc.) con lesclusione di quei trattamenti effettuati da una persona fisica per lesercizio di attività a carattere esclusivamente personale o domestico (eccezion fatta per la pubblicazione online di dati personali, in quanto li rende accessibili a un numero indistinto di soggetti).
I soggetti del GDPR
Quali sono dunque gli attori protagonisti della normativa europea? Quattro le figure su cui porre particolare attenzione:
- il titolare del trattamento;
- il responsabile del trattamento;
- linteressato;
- il responsabile della protezione dei dati.
Il titolare del trattamento dei dati
Il titolare del trattamento dei dati è individuabile come quella figura che ha il potere di:
- prendere decisioni in relazione alle finalità del trattamento;
- impartire istruzioni e direttive;
- svolgere funzioni di controllo.
Il GDPR delinea la figura del titolare del trattamento come la persona fisica o giuridica, lautorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Ciò che consente di individuare il soggetto titolare del trattamento è, pertanto, il potere decisionale a lui imputabile in ordine al trattamento dei dati personali. Per quanto riguarda le novità introdotte dal GDPR, lart. 30, comma 1 del Regolamento prevede in capo al titolare (e anche al suo rappresentante, se presente) lobbligo di tenere il registro delle attività di trattamento svolte sotto la sua responsabilità.
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio anche non elevato per i diritti e le libertà dell'interessato;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui allarticolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui allarticolo 10 RGPD;
- in ogni caso, anche qualora il titolare non rientrasse tra i soggetti obbligati sopra descritti, si segnala limportanza di redigere comunque un registro delle attività di trattamento, anche in virtù del principio dellaccountability (responsabilizzazione) meglio descritto in seguito.
Il responsabile del trattamento dei dati
Il GDPR si riferisce alla persona fisica o giuridica, lautorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del Titolare del trattamento (art. 4, paragrafo 1, n. 8). Il titolare del trattamento è obbligato a nominare formalmente chi tratta i dati per conto dello stesso con «contratto o altro atto giuridico» stipulato in forma scritta anche su supporto elettronico, che regoli la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e del responsabile stesso.
Linteressato
Linteressato al trattamento dei dati è, in poche parole, la persona fisica cui si riferiscono i dati personali oggetto di trattamento.
Più precisamente, linteressato è una persona fisica identificata o identificabile, che può cioè essere identificata in modo diretto o indiretto facendo riferimento, ad esempio, ad informazioni come: il nome, un numero di identificazione, dati riguardanti lubicazione, un identificativo on-line oppure uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Il responsabile della protezione dei dati
Altrimenti detto Data Protection Officer (o DPO) è un consulente, esperto e qualificato, avente competenze giuridiche, informatiche di risk management, di governance, di analisi dei processi, ecc., che affianca il titolare/responsabile nella gestione delle questioni connesse al trattamento dei dati personali e lo aiuta a rispettare la normativa vigente. Il DPO è una figura nominata dal titolare o dal responsabile del trattamento: può essere selezionato internamente allorganizzazione, salvo motivi di conflitto di interesse, oppure essere un libero professionista, esterno e autonomo, appositamente incaricato di svolgere questo ruolo in forza di un contratto di servizi.
La nomina è obbligatoria se:
- il trattamento è svolto da unautorità pubblica;
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Le novità introdotte dal GDPR: i principi cardine
Analizziamo quindi punto per punto principi cardine e novità introdotte dal GDPR.
Principio di liceità del trattamento Il titolare è tenuto a trattare i dati personali nel rispetto delle leggi, anche di quelle che regolano specifici settori (come ad esempio il Regolamento IVASS, lo Statuto dei Lavoratori). Il trattamento è lecito solo se ( ):
- linteressato ha espresso il consenso al trattamento dei propri dati personali;
- il trattamento è necessario allesecuzione di un contratto;
- il trattamento è necessario per un obbligo di legge al quale è soggetto il titolare;
- il trattamento è necessario per la salvaguardia degli interessi vitali dellinteressato;
- il trattamento è necessario per lesecuzione di un compito di interesse pubblico;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare o di terzi, a condizione che non prevalgano interessi o i diritti e le libertà fondamentali dellInteressato.
Principio di trasparenza e correttezza Ciò significa che i dati personali devono essere raccolti per finalità determinate, esplicite e legittime che devono essere chiaramente indicate nellinformativa allinteressato.
Principio di minimizzazione ed esattezza I dati personali devono essere:
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati).
- esatti, e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (esattezza).
Principio di limitazione della conservazione I dati personali sono conservati in una forma che consenta lidentificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente allarticolo 89 paragrafo 1, fatta salva lattuazione di misure tecniche e organizzative adeguate richieste dal Regolamento stesso a tutela dei diritti e delle libertà dellinteressato.
Principio di disponibilità, integrità e riservatezza I dati personali devono essere trattati in maniera da garantirne la disponibilità lintegrità e la riservatezza, tramite misure tecniche e organizzative adeguate, al fine di evitare trattamenti non autorizzati o illeciti, oltre alla perdita, alla distruzione o ai danni accidentali.
Principio di accountability (responsabilizzazione) Questa è una delle novità principali del GDPR, che identifica un cambio rotta nella gestione aziendale, non più basata unicamente su norme impositive, ma sulla capacità del Titolare del trattamento di autoresponsabilizzarsi, tenendo conto dei rischi connessi con lattività svolta, al fine di garantire attraverso ladozione di misure tecnico-organizzative idonee, la piena conformità del trattamento dei dati personali ai principi sanciti dal Regolamento. Il titolare del trattamento dovrebbe essere in grado di dimostrare la conformità delle attività di trattamento con il presente Regolamento, compresa lefficacia delle misure adottate, misure che dovrebbero tener conto della natura, dellambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per diritti e libertà delle persone fisiche.
Privacy by design dei dati personali in termini di integrità, disponibilità e riservatezza, fin dalla progettazione di una nuova attività o di un nuovo trattamento - L'obbligo di privacy by design è basato sulla valutazione del rischio, per cui lazienda (o, in ogni caso il titolare del trattamento) dovrà valutare il rischio inerente alla sua attività. La valutazione andrà fatta prima che il trattamento inizi, al momento della progettazione del sistema, tenendo conto del tipo di dati trattati, dello stato dellarte e dei costi di attuazione.
Privacy by default Il principio di protezione per impostazione predefinita prevede che il trattamento dei dati personali sia realizzato solo nella misura necessaria e sufficiente per le finalità previste e, allo stesso modo, per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.
GDPR, come fornire uninformativa corretta allinteressato
Il GDPR detta nuove e più stringenti regole per ciò che riguarda le informazioni che devono essere fornite allinteressato da parte del soggetto titolare del trattamento dei dati personali. Di seguito, le principali:
- i dati di contatto (sempre) del titolare del trattamento, nonché, se presente, del suo rappresentante sul territorio europeo e (se nominato);
- la base giuridica (quindi, le condizioni di liceità su cui il trattamento si basa: consenso, contratto, norma di legge, interesse legittimo, interesse pubblico, ecc.) e le finalità del trattamento (ovvero lo scopo della raccolta o dellelaborazione dei dati);
- i destinatari o le categorie di destinatari dei dati personali: a chi saranno comunicati quei dati o con chi verranno condivisi, anche semplicemente per poter effettuare un servizio richiesto dallo stesso interessato;
- leventuale intenzione di trasferire i dati personali a un Paese terzo (cioè extra-europeo) o a unorganizzazione internazionale: in poche parole, è necessario comunicare allinteressato se i suoi dati verranno diffusi al di fuori del territorio dellUnione Europea;
- il periodo di conservazione dei dati o i criteri utilizzati per determinarlo: periodo che sarà strettamente correlato allo scopo perseguito con il trattamento;
- lesistenza, in capo allinteressato, di una serie di diritti e, in particolare: diritto di accesso ai dati; diritto di chiedere rettifica, cancellazione, o limitazione del trattamento; diritto di opporsi al trattamento; diritto alla portabilità dei dati; diritto di revocare il consenso al trattamento, diritto di proporre reclamo allautorità di controllo. È dunque compito del titolare far conoscere allinteressato quali siano questi diritti e come poterli esercitare concretamente;
- lobbligatorietà (o meno) di dare comunicazione dei dati personali: il titolare deve quindi dire allinteressato se la raccolta di quei dati sia necessaria o meno per poter fornire un servizio o dare esecuzione a una richiesta rivolta dallinteressato stesso, ecc. Inoltre, occorre spiegare allinteressato cosa succede nellipotesi in cui lo stesso non voglia comunicare i dati richiesti (il che, per lo più, consisterà nellimpossibilità di fornire il servizio in oggetto).
- lesistenza di un processo decisionale automatizzato, compresa la profilazione, aggiungendo in questo caso informazioni che consentano allinteressato di capire in cosa consista nella pratica quel trattamento: ad esempio, informazioni sugli strumenti utilizzati, sulla portata del trattamento così effettuato, sulla diffusione dei dati che ne può conseguire e così via;
- le categorie di dati personali in questione (ad esempio, se sono raccolti dati particolari) e, nel caso in cui i dati personali non siano stati ottenuti direttamente dallinteressato, la fonte da cui arrivano e leventualità che provengano da fonti accessibili al pubblico.
GDPR, quali sono gli strumenti necessari per essere in compliance
Il Regolamento europeo per la protezione dai dati personali lascia un certo margine di discrezionalità ai titolari del trattamento nel decidere le concrete modalità da adottare al fine di conformarsi alle sue disposizioni. A questa maggiore libertà si contrappone, tuttavia, lonere di dimostrare le ragioni a fondamento delle decisioni prese, attraverso le quali si ritiene di poter raggiungere un adeguato livello di conformità alla normativa.
Come previsto infatti dallarticolo n. 78 del GDPR, la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede ladozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente Regolamento. Per tale motivo, è quindi necessario che il titolare del trattamento dei dati personali predisponga delle linee guida, delle politiche interne e delle procedure, che possano rientrare a far parte di un sistema di gestione della protezione dei dati dinamico, aggiornato, monitorato e basato sui principi della privacy by design e by default, con obiettivo quello di garantire, a seguito di una completa valutazione dei rischi, lintegrità, la riservatezza e la disponibilità dei dati.
Le possibili sanzioni
Il sistema sanzionatorio delineato dal Regolamento si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie, rientranti nellinsieme degli strumenti che le autorità di controllo in ogni singolo Stato membro dellUnione Europea ha a disposizione, al fine di assicurare una corretta e uniforme applicazione delle disposizioni del GDPR in tutto il territorio europeo. Insieme, o in sostituzione, alle sanzioni pecuniarie, le autorità di controllo possono altresì esercitare poteri correttivi, quali avvertimenti o ammonimenti a seconda che i trattamenti previsti possano violare o abbiano violato il Regolamento. Ad esempio: ingiungere di soddisfare le richieste dellinteressato o di conformare i trattamenti al Regolamento entro un dato termine; imporre una limitazione transitoria o definitiva al trattamento; ordinare la cancellazione o la rettifica di dati; ordinare la sospensione dei flussi di dati, ecc.
In merito ai reati penali, il legislatore nazionale ha ristrutturato totalmente le disposizioni del Codice Privacy introducendo nuove fattispecie di reato, quali ad esempio: il trattamento illecito di dati personali verso Paesi terzi; la diffusione illecita di dati personali; la falsità nelle dichiarazioni rese al Garante; linosservanza dei provvedimenti del Garante, ecc.
Ricapitolando
In tema di protezione dei dati personali e conformità al GDPR, le tre competenze chiave che unazienda deve mettere in campo per essere in grado di garantire effettivamente la sicurezza dei dati personali in relazione alla loro disponibilità, riservatezza e integrità, sono quella legale/organizzativa, quella gestionale e quella relativa alla sicurezza informatica. La mancanza anche di una sola di esse può rendere fragile il sistema di gestione privacy allinterno dellazienda. Da un punto di vista legale/organizzativo, è necessario implementare tutta la modulistica attraverso la quale dare concreto seguito al sistema di gestione della privacy, ad esempio predisponendo le nomine ai soggetti autorizzati, sottoscrivendo gli atti di nomina dei responsabili del trattamento, redigendo e pubblicando le Informative la dove necessario, con le opportune dichiarazioni di consenso, individuando ruoli e responsabilità allinterno della propria organizzazione, etc.
Altrettanto fondamentale, infine, conoscere i processi della propria azienda al fine di individuare mediante un approccio basato sul rischio, i possibili impatti negativi sui diritti e le libertà delle persone fisiche, adottando e/o integrando di conseguenza le misure di sicurezza necessarie per ridurre il rischio almeno a un livello accettabile.