CHE COSA È IL GDPR?
Il GDPR è il Regolamento Europeo n. 2016/679 del 27 aprile 2016, adottato dal Parlamento Europeo e dal Consiglio, e avente ad oggetto la protezione dei dati delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione degli stessi all’interno dell’Unione Europea.
Si tratta di un atto legislativo europeo di portata generale, le cui disposizioni sono integralmente obbligatorie ed automaticamente vincolanti, in tutti gli Stati membri fin dalla sua piena applicabilità (25 maggio 2018).
In Italia, il D.lgs.101/2018 ha adeguato e modificato la normativa nazionale in materia di protezione di dati personali armonizzando le norme nazionali con quelle introdotte dal Regolamento Europeo.
A CHI SI APPLICA IL GDPR?
In linea generale il GDPR si applica ad ogni trattamento di dati personali di persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza.
Pertanto, tutte le aziende che trattando dati di persone fisiche sono sottoposte al Regolamento.
COSA SI INTENDE PER DATO PERSONALE?
Per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (l’interessato). Sono incluse tutte le informazioni che anche indirettamente consentono di identificare un soggetto.
A titolo esemplificativo e non esaustivo, sono considerati dati personali il nome, il cognome, il numero di telefono, l’indirizzo e-mail, il codice fiscale, l’immagine fotografica, una targa automobilistica, mentre altre tipologie di dati personali possono essere meno immediati da considerare, come ad esempio l’indirizzo IP o l’identificativo pubblicitario del proprio dispositivo mobile. Il GDPR è stato pensato per essere pronto alle innovazioni tecnologiche del futuro: non sappiamo ancora cosa potrebbe diventare domani un dato personale.
Si possono considerare dati non personali invece, i numeri di registrazione della società, indirizzi di posta elettronica generici (non nominativi) e dati resi anonimi (dati irreversibilmente non associabili ad una specifica persona fisica).
COSA SONO I DATI PARTICOLARI?
Il Regolamento ha previsto una tutela rafforzata, integrata dalle ulteriori condizioni e limitazioni previste dalla normativa nazionale, per il trattamento delle categorie particolari di dati, ad esempio i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale, e per i dati relativi a condanne penali o reati e dati relativi ai minori.
CHE COSA È UN TRATTAMENTO DI DATI?
Si considera trattamento di dati personali qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Come possiamo notare, i concetti di dato personale e di trattamento sono molto ampi tali da ricomprendere qualsiasi informazione e l’intero ciclo di vita di un dato personale.
CHI È IL TITOLARE DEL TRATTAMENTO DI DATI?
Il Titolare del trattamento è il soggetto che decide in merito a finalità e mezzi del trattamento. Quando un’azienda tratta i dati dei propri dipendenti nell’ambito della gestione contratto di lavoro subordinato, oppure di clienti e fornitori per le finalità amministrative, oppure decide di attivare sul proprio sito web un servizio di invio di newsletter contenenti proposte commerciali, allora ricopre il ruolo di Titolare. Uno o più titolari, nel caso in cui determinino congiuntamente finalità e i mezzi del trattamento, potranno essere considerati Contitolari, e dovranno determinare le rispettive responsabilità mediante un accordo interno tra le parti.
A tale figura, il GDPR attribuisce la maggior parte degli adempimenti di compliance, alcuni dei quali sono condivisi con un altro soggetto estremamente rilevante: il Responsabile del trattamento.
I dati personali possono essere trattati solo da soggetti specificatamente autorizzati dal Titolare del Trattamento.
CHI È IL RESPONSABILE DEL TRATTAMENTO?
Il Responsabile del trattamento è il soggetto che esegue un trattamento di dati personali per conto di un titolare. Il titolare dovrà individuare nello specifico tali soggetti, provvedendo a fornire le istruzioni relative al trattamento e a stipulare uno specifico contratto di trattamento dati (i cui contenuti sono indicati all’art. 28 del GDPR). Ad esempio, un’azienda che offre servizi in outsourcing, anche infragruppo, sviluppa un software gestito in Cloud, oppure raccoglie ed elabora informazioni, fornisce servizi di contabilità o elaborazione buste paga, o gestisce piattaforme online per conto dei propri clienti, probabilmente ricoprirà il ruolo di Responsabile per i trattamenti di dati personali che deriveranno da tali attività.
CHI E’ IL RESPONSABILE DELLA PROTEZIONE DI DATI (DPO) E QUANDO DEVE ESSERE NOMINATO?
Il Responsabile della Protezione dei Dati (RPD), anche noto come Data Protection Officer (DPO), è una figura designata in funzione delle sue qualità professionali, in particolare dalla sua conoscenza specifica della normativa e della capacità di svolgere i compiti che il Regolamento prevede per tale figura.
Si tratta di una figura che deve essere obbligatoriamente designata in caso di trattamento effettuati da un’Autorità pubblica o un organismo pubblico, o se il Titolare o il Responsabile effettuano un trattamento che richiede un monitoraggio su larga scala, oppure se vengono effettuati trattamenti su larga scala di categorie particolari o dati relativi a condanne penali o reati.
Inoltre, il DPO può essere alternativamente un dipendente del Titolare o del Responsabile oppure un soggetto esterno che svolge le sue funzioni sulla base di un contratto di servizi. Sia nel caso di designazione interna o esterna il DPO non deve essere in conflitto di interessi al fine di garantire l’indipendenza della propria funzione.
QUALI SONO LE BASI GIURIDICHE DEL TRATTAMENTO DI DATI?
Il Regolamento Europeo prevede che ogni trattamento di dati personali effettuato dal Titolare deve basarsi e trovare il proprio fondamento all’interno di un’idonea base giuridica ovvero ciò che autorizza legalmente il trattamento dei dati personali, soddisfacendo il principio di liceità (art. 6 GDPR).
Le basi giuridiche previste dal GDPR sono:
– il consenso, fonte generale di legittimazione di ogni trattamento, il quale deve essere inequivocabile, libero, specifico, informato, verificabile e revocabile;
– l’adempimento di obbligo contrattuale o misure precontrattuali;
– l’adempimento di obblighi legali cui è soggetto il titolare del trattamento;
– gli interessi vitali della persona interessata o di terzi;
– il legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati;
– l’interesse pubblico o l’esercizio di pubblici poteri.
QUALI SONO GLI OBBLIGHI INFORMATIVI PREVISTI DAL GDPR?
Agli articoli 13 e 14 il GDPR introduce le informazioni che i Titolari devono fornire ai soggetti i cui dati personali sono trattati dal Titolare cosiddetti “Interessati” attraverso l’Informativa Privacy. Negli stessi articoli sono indicate nel dettaglio le informazioni da fornire, prevedendo che le stesse siano redatte in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, prendendo in forte considerazione i casi in cui le informazioni siano destinate ai minori.
Si tratta di un aspetto fondamentale della protezione dei dati personali, in quanto le informazioni sono necessarie all’interessato per conoscere come sono trattati i suoi dati, quali sono i suoi diritti e soprattutto per poter prendere una decisione consapevole in caso di richieste di consensi e, in generale, per mantenere il controllo sui propri dati.
QUALI SONO I DIRITTI DEGLI INTERESSATI?
Uno degli obiettivi principali del Regolamento Europeo consiste nel garantire la protezione dei dati personali degli interessati.
La legge consente agli interessati di prendere provvedimenti nei confronti dei dati personali in possesso delle aziende e ha concesso loro un elenco di 8 diritti: diritto di essere informati, diritto di accesso, diritto di rettifica, diritto alla cancellazione, diritto di limitare il trattamento, diritto alla portabilità dei dati, diritto di opposizione, diritti relativi al processo decisionale automatizzato e alla profilazione.
A COSA SERVE IL REGISTRO DEI TRATTAMENTI E CHI LO DEVE TENERE?
Il GDPR introduce all’art. 30 uno strumento essenziale ai fini della compliance: il registro dei trattamenti.
Sia i Titolari del Trattamento che i Responsabili del Trattamento devono tenere un registro dei trattamenti riportando le informazioni richieste dalla norma.
Il registro può essere tenuto in formato elettronico ed è messo a disposizione dell’autorità di controllo. In caso di attività ispettiva, il registro del trattamento è lo strumento principale per rendere conto delle attività di trattamento svolte e, soprattutto, il punto di partenza per la gestione interna dell’accountability aziendale.
COSA VUOL DIRE “PRIVACY BY DESIGN” E “PRIVACY BY DEFAULT”?
Tra la serie di obblighi previsti dal GDPR, finalizzati a rafforzare le tutele in capo agli Interessati, vi sono due concetti previsti dall’art. 25 del Regolamento: Privacy by Default e Privacy by Design.
L’approccio di Privacy by design consiste nell’esame puntuale e preventivo, fin dalla progettazione, del trattamento dei dati personali che il Titolare desidera effettuare e degli strumenti che intende utilizzare, nonché una verifica costante anche durante il trattamento stesso.
L’approccio di Privacy by default richiede al Titolare di individuare quelle misure adeguate a garantire in via preventiva il trattamento dei soli dati necessari per ogni specifica finalità.
Questo aspetto della normativa richiede alle aziende di includere la protezione dei dati personali all’interno dei propri progetti sin dal momento in cui vengono concepiti. Tale impostazione è di vitale importanza per chi utilizza o produce software o applicazioni (sia per uso interno in qualità di Titolare del trattamento, sia per la commercializzazione, con gestione in qualità di Responsabile del trattamento) anche perché gli utenti sono sempre più attenti alle tematiche privacy e, soprattutto, perché intervenire successivamente comporta costi rilevanti.
QUANDO SI DEVE FARE LA VALUTAZIONE DEL RISCHIO?
In virtù del principio di accountability, il Titolare deve valutare il rischio per i diritti e le libertà degli interessati relativo alle operazioni del trattamento in termini di gravità e probabilità ed individuare le situazioni in cui il rischio dovesse essere elevato per porre in atto le azioni richieste dal Regolamento. In particolare, è necessario individuare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
La normativa, quindi, non offre un set precostituito di misure di sicurezza da applicare, bensì lascia in capo a Titolari e Responsabili del trattamento il compito di individuarle a seconda del contesto e delle attività di valutazione del rischio.
QUANDO SI DEVE FARE LA VALUTAZIONE DI IMPATTO?
Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.
COSA VUOL DIRE “SICUREZZA INFORMATICA”?
Il concetto di “sicurezza informatica” si riferisce all’insieme di pratiche, politiche, procedure e strumenti che vengono utilizzati per proteggere i sistemi informatici, le reti, i dati e le informazioni da accessi e modifiche non autorizzate o compromissioni. In altre parole, la sicurezza informatica mira a garantire la riservatezza, l’integrità e la disponibilità delle informazioni digitali.
La mancanza di misure di sicurezza idonee rende i sistemi aziendali più vulnerabili alle violazioni di dati personali con gravi conseguenze quali il furto di identità, frodi finanziarie, danni reputazionali, perdita di dati, business continuità.
A fronte di minacce sempre più pericolose, sarà bene mettere in pratica solide strategie di sicurezza. Queste ultime prevedono diversi livelli di protezione per difendersi dai crimini informatici, compresi gli attacchi che mirano ad accedere, modificare o eliminare dati, estorcere denaro agli utenti o alle organizzazioni, o interrompere le normali operazioni aziendali.
E’ NECESSARIA LA FORMAZIONE DEI SOGGETTI AUTORIZZATI AL TRATTAMENTO?
Il GDPR impone che il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento.
La formazione dei propri incaricati, oltre a essere un obbligo da rispettare, oltre ad essere una misura di prevenzione dei rischi fondamentale considerando anche l’imprevedibilità dell’errore umano, sui cui i criminali informatici fanno leva sempre più spesso poiché, oltre alle alte probabilità di successo, consente di bypassare le misure di sicurezza.
IN CASO DI VIOLAZIONE DI DATI PERSONALI COSA E’ NECESSARIO FARE?
ll Regolamento prevede espressamente in capo al Titolare del Trattamento, l’obbligo di notificare la violazione dei dati personali (cd. Data Breach) all’autorità di controllo e, in alcuni casi, anche agli interessati del trattamento.
In caso di violazione dei dati, il Titolare del trattamento deve notificare la violazione all’autorità competente ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza della violazione.
Se la violazione riguarda trattamenti svolti da un Responsabile quest’ultimo deve informare il Titolare senza ritardo.
Il Titolare dovrà infine comunicare all’interessato la violazione dei dati personali quando questa violazione sia suscettibile di rappresentare un rischio elevato per i diritti e le libertà delle persone.
E’ POSSIBILE TRASFERIRE I DATI IN PAESI EXTRA UE?
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).
QUALI SONO LE CONSEGUENZE IN CASO DI VIOLAZIONE DEL GDPR?
Il GDPR prevede delle sanzioni particolarmente severe in caso di violazione della privacy. Il regime sanzionatorio è disciplinato dagli art. 83 e 84 del GDPR e dal Titolo III del D.lgs. 196/2003, come novellato dal D.Lgs 101/2018. Le sanzioni possono essere amministrative, penali e civili.
Inoltre, chiunque ritenga di aver subito un danno in conseguenza di un trattamento illecito dei dati personali può richiedere il risarcimento del danno materiale e immateriale (sanzione civile).
