General data protection regulation. GDPR.

di 08/05/2018 Maggio 13th, 2018 Privacy

Il 25 maggio 2018 troverà applicazione la nuova disciplina in materia di Protezione dei dati (Privacy) contenuta nello specifico Regolamento UE, più appropriatamente “General data protection regulation. GDPR”.

Tale disciplina è obbligatoria ed applicabile ad ogni “Entità” giuridica, a prescindere dalla forma societaria e organizzativa assunta (ditta individuale, società, Ente del terzo settore, Associazione culturale e/o sportiva), che detiene ed elabora “dati personali” di soggetti privati.
Premesso che ogni trattamento di dati deve rispettare i fondamenti di liceità, correttezza e trasparenza, anche nella nuova disciplina assume particolare importanza l’Informativa all’interessato ed il consenso dello stesso.

La crescente preoccupazione per il furto e l’abuso dei big data e delle informazioni personali ha condotto l’Unione Europea (UE) all’approvazione del regolamento generale sulla protezione dei dati (GDPR) che applica il diritto alla protezione dei dati personali di ogni individuo in tutta l’Unione Europea con effetto dal 25 maggio 2018.

IL GDPR si applica a qualsiasi società, entità o organizzazione che opera all’interno dell’UE e ad organizzazioni al di fuori dell’UE che offrono beni o servizi a clienti o imprese nell’UE. La normativa individua due tipi di soggetti attribuitivi di funzioni e compiti: titolari dei dati e responsabili dei dati.

GDPR applica obblighi legali al responsabile del trattamento dei dati per la conservazione e modalità di elaborazione dei dati personali, fornendo un alto livello di responsabilità legale qualora l’organizzazione violi il regolamento.

I dati protetti dal GDPR sono:

  • Dati personali come nome, indirizzo, nazionalità e numeri di previdenza sociale;
  • Informazioni Web come posizione, indirizzo IP, cookie e tag RFID;
  • Salute e documentazione genetica;
  • Informazioni biometriche;
  • Profilo razziale / etnico;
  • Associazione / opinione politica;
  • Orientamento sessuale.

Con il GDPR, gli individui hanno i seguenti diritti:

  1.  diritto di accesso: significa che gli individui hanno il diritto di richiedere l’accesso ai propri dati personali e di chiedere come i loro dati vengono utilizzati dalle società (Enti) dopo che sono stati raccolti. La società (Ente) deve fornire una copia dei dati personali, a titolo gratuito ed in formato elettronico, se richiesto,
  2. diritto all’oblio: se i consumatori non sono più clienti o se ritirano il loro consenso da una società per utilizzare i loro dati personali, hanno il diritto di cancellare i loro dati;
  3. diritto alla portabilità dei dati: gli individui hanno diritto di trasferire i propri dati da un fornitore di servizi a un altro. E deve avvenire in un formato di utilizzo comune eleggibile da una macchina;
  4. diritto di essere informato: relativamente alla raccolta dati da parte dell’azienda (Ente), le persone devono essere informate prima che i dati vengono raccolti. I consumatori devono scegliere di raccogliere i loro dati e il consenso deve essere dato liberamente piuttosto che implicitamente;
  5. diritto di avere informazioni corrette: questo assicura che le persone possano avere i loro dati aggiornati se questi sono incompleti o errati;
  6. diritto di limitare l’elaborazione: gli individui possono chiedere che i loro dati non vengano utilizzati per l’elaborazione. La loro registrazione può rimanere disponibile, ma non essere utilizzata;
  7. diritto di opporsi: questo include il diritto delle persone di interrompere l’elaborazione dei propri dati per il marketing diretto. Non ci sono esenzioni a questa regola e qualsiasi elaborazione deve interrompersi non appena la richiesta viene ricevuta. Inoltre, questo diritto deve essere chiarito agli individui all’inizio di ogni comunicazione;
  8. diritto di essere informato: se c’è stata una violazione dei dati che compromette i dati personali di una persona, l’individuo ha il diritto di essere informato entro 72 ore dalla prima volta che è venuta a conoscenza della violazione.

Giurisdizione: tutte i soggetti che detengono e elaborano informazioni personali di individui che vivono nell’Unione Europea, indipendentemente dalla loro sede, devono seguire il nuovo regolamento.

Regime sanzionatorio

Non conformità e sanzioni: il regolamento prevede che le entità che violano la conformità normativa possano essere multate fino al 4% del fatturato globale annuale o 20 milioni di euro (a seconda di quale sia maggiore).
È importante notare che queste regole si applicano sia ai titolari che ai responsabili. L’art. 83, par. 3 e 4, Regolamento UE n. 679/2016 prevede due distinte categorie di sanzioni amministrative pecuniarie a seconda della natura della violazione.

In particolare, sono previste le seguenti sanzioni:

  • fino al 2% del fatturato dell’esercizio precedente per le sanzioni relative agli obblighi:
    • del Titolare / Responsabile del trattamento;
    • dell’Organismo di certificazione;
    • dell’Organismo di controllo.
  • fino al 4% del fatturato dell’esercizio precedente per le violazioni relative:
    • ai principi base del Trattamento, comprese le condizioni di consenso;
    • ai diritti degli Interessati;
    • ai trasferimenti dei dati personali a un destinatario di uno Stato terzo o un’organizzazione internazionale;
    • a qualsiasi obbligo ai sensi della legislazione nazionale adottata a norma del Capo IX;
    • all’inosservanza di un ordine, di una limitazione provvisoria / definitiva di trattamento o di un ordine di sospensione dei flussi di dati all’Autorità di controllo o il negato accesso.

Merita infine sottolineare che, con il Comunicato 19.4.2018, il Garante della Privacy è intervenuto smentendo la notizia circolata su Internet, circa un possibile differimento dello svolgimento delle funzioni ispettive e sanzionatorie e affermando che “Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo, fissata al 25 maggio 2018.”

Consenso: la richiesta di consenso deve essere fornita in forma comprensibile e facilmente accessibile, con lo scopo del trattamento dei dati allegato a tale consenso. Il consenso deve essere inequivocabile e distinguibile con un linguaggio semplice.
Deve essere altrettanto facile ritirare il consenso.

Le organizzazioni che offrono servizi online ai minori di sedici anni dovranno ottenere il consenso dei genitori per elaborare i dati, e queste organizzazioni sono inoltre obbligate a compiere uno sforzo ragionevole per verificare l’età o il consenso dei genitori di soggetti giovani.

Tutte le organizzazioni le cui attività principali comprendono l’elaborazione di un volume significativo di dati personali sono obbligate a nominare un responsabile della protezione dei dati (DPO o RPD) che deve disporre di risorse sufficienti per svolgere i propri compiti.
I compiti del Responsabile della Protezione dei Dati includono la notifica ai responsabili del trattamento dei dati dei loro obblighi legali, il monitoraggio delle conformità ai sensi del GDPR e la segnalazione agli alti dirigenti.

Come adeguarsi al cambiamento

La migrazione verso i nuovi concetti di tutela e riduzione del rischio può essere alquanto laboriosa sia dal punto di vista organizzativo che economico.
Fondamentale, nell’ottica dell’organizzazione dei processi, è individuare un percorso strutturato che conduca alla piena attuazione dei principi contenuti nel Regolamento UE n. 679/2016.

Dando per scontata la necessaria conoscenza della normativa, la prima attività da compiere è una ricognizione ed identificazione dei trattamenti di dati personali, che potrà, poi sfociare nella predisposizione del registro dei trattamenti svolti.

Dopo la classificazione delle categorie di trattamenti di dati, sarà necessario individuare le unità aziendali (addetti degli Enti) che se ne occupano con la mappatura dei soggetti da autorizzare.

L’operazione più importante, però, sarà l’individuazione dei rischi che incombono sui dati, che potrà eventualmente sfociare nella predisposizione di una valutazione di impatto dei trattamenti (DPIA) e la conseguente adozione di contromisure adeguate.

Il Regolamento UE n. 679/2016, però, introducendo il principio di accountability, intende responsabilizzare il Titolare imponendogli il mantenimento della sicurezza dei trattamenti nel tempo, anche in ragione dell’evoluzione tecnologica.
Non sarà quindi più sufficiente intendere la protezione del dato come sistema statico, ma sarà necessario procedere a valutazioni periodiche dell’esistente e ad analisi preventive in caso di introduzione di nuove tipologie di trattamento.

Ciò implica non solo una costante attenzione e verifiche periodiche dell’efficacia delle misure individuate, ma anche una costante valutazione del contesto in cui avviene il trattamento perché non è necessariamente detto che ciò che andava bene prima debba andare bene anche dopo.

In conclusione, va segnalato che sarà di fondamentale importanza la documentazione e rendicontazione di tutte le attività svolte per la tutela della riservatezza del dato.

Sarà quindi necessario dotarsi di procedure interne organizzate e standardizzate che consentano il monitoraggio di ogni fase di trattamento nell’ottica dellariduzione del rischio e l’organizzazione di momenti formativi per i soggetti autorizzati (obbligatori ex art. 29, Regolamento UE n. 679/2016).

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.