adempimenti privacy

Dal 25 maggio, in tema di privacy, per il nostro Paese, e in generale per tutta l’Europa, sono cambiate molte cose. Questo per via dell’entrata in vigore, a partire da quella data, del GDPR. Acronimo che sta per “General Data Protection Regulation” e che ha sicuramente introdotto molte novità, ma ha anche confermato alcuni aspetti del nostro Codice della Privacy.

Vediamo insieme quali sono i cambiamenti e le “conferme”, iniziando con il capire cos’è il GDPR, a cosa serve e chi sono i diretti interessati.

Perché il GDPR

Il GDPR, in realtà, altro non è che il regolamento UE 2016/679 che il Parlamento Europeo e il Consiglio hanno approvato il 27 aprile 2016. Perché si è sentita la necessità di un regolamento come il GDPR? Per armonizzare e semplificare “la protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati” all’interno dell’Unione Europea.

La necessità di avere un regolamento che tutelasse i cittadini ed i dati da questi scambiati è risultata evidente in considerazione della costante evoluzione tecnologica che penetra in modo sempre maggiore nelle vite dei singoli ricavandone informazioni di ogni genere, trattandoli per scopi a volte illeciti e a volte invasivi: ne sono un esempio evidente gli ultimi fatti che hanno riguardato Facebook e la massiccia violazione dei dati personali.

Cosa si intende per trattamento dei dati personali?

È “trattamento” qualunque operazione che consenta la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione dei dati. Non necessariamente tutte insieme: basta una sola di queste operazioni, fatta per uno scopo che non sia puramente “domestico” (come fosse la rubrica del cellulare) per aversi un “trattamento”

GDPR: cosa cambia rispetto al passato

Rispetto al nostro Codice della Privacy, il GDPR introduce diverse novità che possiamo riassumere in questo modo:

  • nuove modalità nella raccolta del consenso;
  • limitazioni per il trattamento automatizzato dei dati personali;
  • nuove responsabilità e nuovi “ruoli” per le persone che, all’interno di un contesto di business, si occupano del trattamento dei dati;
  • nuovi adempimenti da parte delle aziende;
  • criteri rigorosi per il trasferimento dei dati al di fuori dell’Europa;
  • sanzioni pesanti per i casi di violazione (data breach).

GDPR: a chi è rivolto e gli interessati

Per “interessato al trattamento” il GDPR intende la persona fisica alla quale si riferiscono i dati personali trattati.

Quali sono i dati personali

Cosa si intende per dati personali? Questo è un punto che sicuramente merita attenzione.

Con dati personali si intendonointendono tutte le informazioni relative ad una persona, come può essere il nome, il cognome, la data e il luogo di nascita, la residenza, l’indirizzo email, il numero di telefono, il codice fiscale, la targa del veicolo e così via.

Se quelli appena detti sono dati “generici”, spesso ricavabili da elenchi pubblici e che poco dicono sulla persona, bisogna considerare che, a maggior ragione, sono “dati personali” soprattutto le informazioni che riguardano lo stato di salute, l’orientamento sessuale, l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici o biometrici della persona, vale a dire tutto ciò che identifica più da vicino la personalità dell’individuo.

Questi ultimi dati sono stati sinora indicati (perché così definiti dal Codice della Privacy) come dati sensibili.

Il GDPR, tuttavia, all’articolo 9, parla di dati particolari, vietandone il trattamento salvo il consenso esplicito dell’interessato o la necessità del trattamento per l’assolvimento di specifici obblighi di legge da parte del Titolare del trattamento, o per l’esercizio di diritti specifici da parte del Titolare o dell’interessato.

GDPR: quali sono le aziende interessate

Le aziende interessate sono tutte quelle che raccolgono, archiviano e usano dati personali. Sia che lo facciano direttamente che se hanno incaricato terzi di farlo in loro vece.

Le aziende sono tenute alla tutela della privacy non solo nei confronti dei propri clienti, ma anche nei confronti dei dipendenti e dei fornitori.

Sono interessati dal GDPR anche i liberi professionisti: anche costoro, infatti, raccolgono e trattano i dati dei clienti nello svolgimento della propria attività.

Il principio di accountability

Il regolamento europeo cambia approccio rispetto al Codice della Privacy, che imponeva delle misure minime da attuare a tutela dei dati personali: il GDPR lascia al Titolare del trattamento (di cui parleremo più avanti) un ampio margine di libertà nella scelta delle misure protettive da porre in essere in funzione della realtà produttiva nella quale opera.

Il nuovo assetto si basa, quindi, sul concetto di accountability ossia di responsabilità (del Titolare del trattamento, appunto) nella protezione dei dati personali.

Se da un lato, il Titolare non è più vincolato a un elenco di misure minime da predisporre, dall’altro sono previste sanzioni molto più elevate (fino a 20 milioni di euro o al 4% del fatturato mondiale dell’impresa) nel caso in cui il Titolare approfitti della libertà concessagli per non proteggere i dati raccolti e per non rispettare le regole.

Chi sono il titolare e il responsabile del trattamento

Titolare del trattamento è la persona fisica o giuridica (quindi anche una società) che decide come devono essere trattati i dati.  In sostanza, è il soggetto che prende le decisioni circa lo scopo e il modo del trattamento dei dati personali, circa gli strumenti da utilizzare per il trattamento (la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’uso, la diffusione ecc. dei dati) e circa la sicurezza del trattamento, compreso il profilo della sicurezza e cioè che i dati non possano essere “sottratti” o comunque usati illegittimamente.

Responsabile del trattamento è la persona fisica o giuridica, nominata dal Titolare, che tratta i dati personali per conto di quest’ultimo, sulla base di un contratto che individua il suo perimetro d’azione.

L’onere della prova

Il concreto pericolo che corrono le aziende ed i professionisti che trattano dati personali è che chiunque può segnalare al Garante della Privacy una loro violazione della normativa introdotta, appunto, dal GDPR.

In tale ipotesi, incombe sul Titolare del trattamento l’onere di provare di avere adottato tutte le misure giuridiche, organizzative e tecniche idonee a proteggere i dati trattati.

Il registro dei trattamenti

Tra le novità introdotte dal GDPR c’è la previsione (all’art 30) di un nuovo adempimento per le aziende con un numero di dipendenti pari o superiore a 250: la tenuta del registro dei trattamenti.

Di cosa si tratta? Il registro è un documento (anche digitale) nel quale viene riportato tutto lo storico delle attività di trattamento dati che vengono svolte dal Titolare. In particolare, vengono indicati:

  1. il nome e i dati di contatto del Titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie dei dati personali trattati;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  6. dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Per le aziende di dimensioni più piccole, la tenuta del registro dei trattamenti è prevista (art. 30 paragrafo 5 del GDPR) solamente qualora i trattamenti effettuati possano presentare un rischio per i diritti e la libertà dell’interessato. Ma non solo, anche quando il trattamento non sia occasionale, o ancora quando includa i dati cosiddetti sensibili (quelli che il GDPR definisce particolari in quanto relativi all’origine razziale, all’orientamento sessuale, allo stato di salute ecc.) o quelli relativi a condanne penali e a reati di cui all’articolo 10.

GDPR: cosa si intende per privacy by design/by default

Il regolamento impone che, già dal momento della programmazione del trattamento di Information Technology, la tutela della privacy sia anch’essa un requisito della progettazione dei sistemi e applicativi da utilizzare (privacy by design).

Soprattutto, però, il regolamento stabilisce che la tutela della privacy debba essere la “impostazione predefinita” dell’Information Technology (privacy by default): misure e sistemi devono essere, come impostazione di default, rispettosi del principio della raccolta dei soli dati personali indispensabili alla finalità del trattamento, e cioè dei dati realmente essenziali e non, genericamente, di dati anche superflui.

Il DPO o responsabile della protezione dei dati

Ulteriore novità introdotta dal GDPR è la previsione della figura del DPO (Data Protection Officer), che ha il compito di vigilare sul trattamento e sulla protezione dei dati personali, con funzioni di carattere consultivo in favore del Titolare e del Responsabile del trattamento su tutte le tematiche privacy.

Può essere interno o esterno all’azienda e la sua nomina è obbligatoria:

  • per le aziende che superano i 250 dipendenti;
  • per gli enti pubblici e la PA;
  • per le imprese, società o liberi professionisti che si occupano di dati in larga scala.

Perché è una figura fondamentale? Perché è colui che, dotato di conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, si occupa di consigliare i Titolari di trattamenti, di visionare i processi all’interno dell’azienda e di verificare che siano in linea con quanto dettato dal GDPR: il DPO controlla, insomma, che i dati siano gestiti correttamente.

Inoltre, funge da intermediario tra l’azienda ed il Garante per la Privacy per tutte le problematiche inerenti la privacy in azienda.

La valutazione dei rischi

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento (art. 35) obbliga il Titolare a svolgere una “valutazione d’impatto privacy” (“DPIA”, ossia Data Protection Impact Assessment).

Di fatto, il DPIA consiste nella valutazione preventiva delle conseguenze alle quali andrebbe incontro un trattamento qualora dovessero essere violate le misure di protezione dei dati.

Compete quindi al Titolare del Trattamento il compito di individuare le misure idonee a ridurre i rischi, predisponendo costantemente gli interventi tecnici, giuridici ed organizzativi diretti ad adeguare i sistemi ai rischi che, di volta in volta, con l’incalzare della tecnologia, possono presentarsi.

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché costituisce l’effetto diretto della responsabilizzazione (accountability) dei Titolari nei confronti dei trattamenti effettuati.

Violazione dei dati o data breach

Tra le novità c’è anche il c.d. data breach: in caso di violazione dei dati che possa compromettere le libertà e i diritti delle persone interessate, il GDPR prevede un preciso obbligo di notifica e comunicazione in capo al Titolare del trattamento, il quale ha 72 ore dalla conoscenza della violazione per effettuare una segnalazione alla competente autorità di controllo.

Gli artt. 33 e 34 del GDPR indicano, poi, i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione del data breach.

Le sanzioni

Il trattamento dei dati in violazione delle norme previste dal GDPR (che, ricordiamo, è in vigore dal 25 maggio 2018) determina l’applicazione di sanzioni amministrative pecuniarie “proporzionate e dissuasive” (art. 83 GDPR) particolarmente severe: le stesse possono, infatti, arrivare a 20 milioni di euro o, per le imprese, al 4% del fatturato mondiale annuo.

Le sanzioni, in ogni caso, sono applicate in funzione del singolo caso: si tiene conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi (il carattere doloso o colposo della violazione, le misure adottate ecc.).

GDPR: il decreto attuativo di agosto

Come abbiamo già detto, il GDPR è entrato in vigore a partire dal 25 maggio 2018. Le aziende, le imprese ed i professionisti che trattano dati personali sono, pertanto, tenuti a rispettare quanto stabilito dal Regolamento 2016/679 indipendentemente dal fatto che la delega per l’approvazione dello schema di decreto legislativo per l’adeguamento della legge sulla privacy al Regolamento UE 2016/279 è slittata al 21 agosto 2018.

GDPR: cosa possono fare le aziende

Ogni azione deve essere calata nella specificità della propria realtà e, in caso di controlli, farà la differenza poter documentare e giustificare le scelte e le cautele attuate nel rispetto della normativa vigente.

Per chi non è ancora in regola

Chi non è ancora in regola è bene che si rivolga a Professionisti che, prima di tutto, aiutino a valutare la situazione e informare dei rischi. Che, successivamente, sappiano indirizzare e responsabilizzare l’azienda nella individuazione e valutazione della mole e del tipo di dati trattati, delle procedure, delle cautele e degli adempimenti da attuare al fine di improntare l’attività d’impresa al rispetto della normativa sulla privacy e poterne dare la prova in caso di controlli, così da evitare o ridurre al minimo le pesanti conseguenti dei provvedimenti delle Autorità.

La consulenza legale

Una consulenza legale può servire per valutare e verificare il gap da colmare per essere in linea con il GDPR, per attuare concretamente gli adempimenti in esso previsti, per valutare l’opportunità della tenuta in azienda di un registro dei trattamenti.

Più in generale, per avere un supporto nella definizione della privacy policy aziendale, nonché nella redazione delle necessarie informative ai clienti, ai fornitori, ai dipendenti ecc.

Avete dubbi o perplessità? Volete sapere se state procedendo nel modo giusto o più semplicemente volete avere un confronto con dei Professionisti in materia? Siamo a Vostra disposizione.

Contattateci!