Il GDPR è un argomento complesso; cerchiamo di fare un poco di chiarezza sul regolamento europeo 2016/679, per capire cosa dobbiamo fare per adeguarci.
- GDPR
- 1. Che cos’è il GDPR?
Per “GDPR” (“General Data Protection Regulation”) si intende il nuovo Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali. La nuova normativa è entrata in vigore in tutti i Paesi dell’Unione Europea il 25 maggio 2016 e viene applicata dal 25 maggio 2018.
Il GDPR introduce importantissime novità per cittadini e imprese, con l’obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell’economia digitale.
Ricordiamo che il GDPR si applica a tutti i dati personali, sia che vengano archiviati, conservati e trattati con strumenti manuali che tramite computer.
- 2. Quali sono le mie responsabilità come azienda o studio e cosa rischio?
Ai sensi del GDPR, dovrai adottare tutte le misure di protezione dei dati previste dalla normativa. Ecco alcuni esempi di quello che dovrai fare per adeguarti al GDPR:
- informa in modo chiaro, semplice e non “legalese” i tuoi clienti, dipendenti e gli altri interessati di come tratti i loro dati: dì loro chi sei quando richiedi dei dati, perché li stai trattando, per quanto tempo verranno conservati e a chi devono essere comunicati;
- chiedi in modo esplicito il consenso delle persone di cui raccogli i dati; in caso di minori, verifica il limite di età per chiedere il consenso dei genitori;
- assicurati di poter rispondere alle richieste degli interessati: il GDPR attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un'altra azienda (i.e. portabilità);
- in caso di violazioni di dati o data breach – ad esempio, in caso di divulgazione non autorizzata di dati a causa di un problema di sicurezza – dovrai darne comunicazione entro 72 ore all’Autorità di controllo;
- nel caso in cui tu intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni, dovrai assicurarti di ricorrere solamente a responsabili del trattamento che presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati
Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, che comprendono multe fino a 20 milioni di Euro o – nel caso di imprese – fino al 4% del fatturato globale dell’esercizio precedente, se superiore.
- 3. Come faccio a sapere se il GDPR si applica alla mia attività?
Se sei un’azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, sei tenuto ad adeguarti al GDPR. Il GDPR si applica anche a imprese ed enti che hanno sede al di fuori dell’Unione Europea, ad esempio se vendono beni o servizi, anche via internet, all’interno dell’Unione Europea.
Ma che cos’è un dato personale? In pratica, un dato personale è qualunque informazione riconducibile ad un individuo. Ad esempio, sono dati personali il nome e cognome di una persona e tutti i suoi dati anagrafici, l’indirizzo e-mail, il numero di telefono, ma anche una fotografia, i suoi dati biometrici (es. l’impronta digitale o le caratteristiche della sua firma autografa), il suono della sua voce, le sue abitudini alimentari. Alcune categorie di dati (come quelli relativi ai dati genetici, allo stato di salute, all’orientamento sessuale o all’apparenza a partiti e sindacati) sono considerati sensibili e richiedono misure aggiuntive di protezione in base alla normativa.
Ricordiamo che il GDPR si applica a tutti i dati personali, sia che vengano archiviati, conservati e trattati con strumenti manuali che tramite computer.
- 4. Cosa si intende per “trattamento” di dati personali? Quali trattamenti esegue tipicamente un’azienda o uno studio professionale?
Per “trattamento” si intende qualunque tipo di operazione che viene svolta su dati personali. Ad esempio, raccogliere dei dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR.
I trattamenti sono normalmente descritti– ad esempio ai fini della compilazione del Registro dei trattamenti – attraverso il riferimento a processi o banche dati aziendali.
Ecco alcuni esempi di banche dati e attività la cui gestione rappresenta tipicamente un’operazione di trattamento da parte di studi professionali e aziende:
- anagrafiche clienti
- anagrafiche dipendenti
- anagrafiche fornitori
- videosorveglianza
- campagne commerciali e di marketing
- gestione di un sito web
- 5. Cosa devo fare per adeguarmi e da dove cominciare?
La nuova normativa richiede di adottare una serie di misure per proteggere in modo adeguato i dati delle persone con cui la tua azienda o il tuo studio si trova ad operare, ad esempio i dati dei tuoi dipendenti e dei tuoi clienti.
La prima cosa da fare, quindi, è prendere consapevolezza:
- Informati (ad esempio qui http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali
- attivati per capire quali dati tratta la tua azienda o il tuo studio, a chi appartengono, per quali finalità li utilizzi, a quali rischi sono esposti e a chi vengono comunicati;
- documenta i trattamenti di dati che hai individuato: il GDPR richiede di tenere (anche in formato elettronico) un Registro aggiornato dei dati personali che gestisci. Il Registro dei trattamenti potrebbe non essere necessario in alcuni casi specifici. Tuttavia, anche in questi casi è raccomandato dal Garante per la Protezione dei dati personali in quanto rappresenta uno strumento fondamentalenon soltanto ai fini dell'eventuale supervisione da parte dell’Autorità di controllo, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti svolti ed è uno strumento indispensabile per ogni valutazione e analisi del rischio.
- 6. Quali sono I principali soggetti della Privacy?
I principali soggetti della Privacy sono:
l’interessato, il titolare del trattametno dei dati, il Reponsabile del trattamento, il DPO, il terzo e l’Autorità di Constrollo. Interessato: la persona fisica cui si riferiscono i dati personali.
Titolare del Trattamento: la persona fisica, la società, l’associazione o un’altra entità che controlla il trattamento dei dati personali ed è autorizzata a prendere decisioni essenziali sulle finalità e modalità di tale trattamento, comprese le misure di sicurezza applicabili.
Responsabile del Trattamento: la persona fisica, la società, l’associazione o l’organizzazione a cui il Titolare ha affidato l’attività specifica di gestione e controllo dei dati personali, in base all’esperienza e/o alle competenze pertinenti in materia.
DPO (Data Protection Officer): il professionista con conoscenze specialistiche sulla legislazione e sulle pratiche in materia di protezione dei dati. Egli è designato dal Titolare / Responsabile in tre occasioni: Il trattamento è effettuato da un’autorità pubblica; Il trattamento è su larga scala e coinvolge dati sensibili; Il trattamento richiede un controllo regolare e sistematico degli Interessati. T
erzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento. E’ una persona autorizzata al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile.
Autorità di Controllo: l’autorità pubblica indipendente istituita da uno Stato membro www.garanteprivacy.it.
- 7. Cosa significa “consenso” ?
Il “consenso” è la libera indicazione della volontà del soggetto interessato di accettare esplicitamente una specifica operazione di trattamento relativa ai propri dati personali, di cui era stato informato in anticipo da colui che ha il potere di decidere su tale elaborazione (il Titolare del trattamento). Alcuni tipi di trattamento possono essere eseguiti senza il consenso dell’Interessato, ai sensi della sezione 24 del Codice italiano in materia di protezione dei dati. Il Regolamento UE 679/2016 tratta negli articoli 7 e 8 il “consenso” quale onere della prova della sussistenza del consenso al trattamento prestato dall’interessato è in capo al titolare. In qualsiasi momento l’interessato può revocare il proprio consenso, senza che questo pregiudichi la liceità del trattamento già effettuato precedentemente. Il trattamento dei dati del minore è lecito solo se questo abbia almeno 16 anni (in alcuni stati anche 13), altrimenti è necessario il consenso prestato o autorizzato dal titolare della responsabilità genitori.
- 8. Cosa significa “informativa”?
L’informativa è un avviso contenente le informazioni che il Titolare del trattamento è tenuto a fornire a tutti gli interessati, sia per via orale che per iscritto, in modo chiaro conciso, in merito a quando e come i dati vengono raccolti sia direttamente dall’Interessato che tramite terzi, e come gli stessi vengono utilizzati.
- 9. Che diritti hanno gli INTERESSATI?
Il Regolamento europeo dà un ampio spazio ai diritti dell’interessato rispetto al passato, ed un intero capo del regolamento europeo è dedicato a tale argomento.
Diritti di natura conoscitiva: Diritto all’informativa Diritto di accesso Diritto alla comunicazione di una violazione dei dati Diritti di controllo: Consenso al trattamento Diritto di limitazione del trattamento Revoca del consenso al trattamento Diritto di opposizione al trattamento Diritto alla portabilità dei dati Diritto di rettifica ed integrazione Diritto alla cancellazione e all’oblio Decisioni basate unicamente su trattamento automatizzato
In particolare ha assunto rilievo il cosiddetto DIRITTO ALL’OBLIO (art. 17)
- diritto di veder cancellati i propri dati personali presso il titolare che li tratta
- diritto di veder cancellati i rinvii a questi dati, che potrebbero apparire sui motori di ricerca più diffusi
Il diritto ad «essere dimenticati» deve concordarsi con il diritto di informazione e di libera espressione (si pensi ad un fatto di cronaca in cui è coinvolto l’interessato), e in generale con l’interesse pubblico e con eventuali obblighi legali.
Pertanto l’interessato non sempre potrà richiedere la cancellazione immediata dei dati che lo riguardano (riportati ad esempio da un sito web) fintanto che tali dati avranno una rilevanza pubblica, stante ovviamente la correttezza degli stessi.
L’interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano se sussiste uno dei seguenti motivi:
- I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti
- L’interessato revoca il consenso
- L’interessato si oppone al trattamento
- I dati personali sono stati trattati illecitamente
- I dati personali devono essere cancellati per adempiere ad un obbligo legale
Il diritto alla cancellazione non si applica se il trattamento è necessario:
- all’esercizio del diritto alla libertà di espressione e di informazione
- Per l’adempimento all’obbligo legale che richieda il trattamento previsto dal diritto dell’unione o dello stato membro cui è soggetto il titolare del trattamento, o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri
- Per motivi di interesse pubblico nel settore della sanità pubblica
- Ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
- Per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria
L’interessato ha il diritto di ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
- Contesta l’esattezza dei dati personali.
- Il trattamento è illecito e l’interessato si oppone alla cancellazione e chiede, invece, che ne sia limitato l’utilizzo.
- Benchè il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato in sede giudiziaria.
- l’interessato si è opposto al trattamento, in attesa della verifica in merito alla eventuale verifica della prevalenza dei motivi legittimi del titolare del trattamento.
Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento di un diritto in sede giudiziale, o per motivi di interesse pubblico.
- 10. Come bisogna comportarsi con i "cookies" ?
I cookie sono delle stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale o browser, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Questi possono essere di prima e terza parte.
L’editore del sito è chiamato a dare informativa sui cookie da lui installati. Nell’ambito dei siti internet non basta inserire la privacy policy in un’unica pagina web indicante ogni informazione sui dati trattati ma andranno create tante informative quanti sono i tipi di cookie utilizzati.
n presenza di un sito internet contenente cookie analitici di terze parti dove sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già si dispone è sufficiente la sola informativa dei cookie, nel caso in cui non vengano adottati strumenti che riducono il potere identificativo dei cookies o la terza parte incrocia le informazioni raccolte con altre di cui già si dispone, sarà necessario predisporre l’informativa, inserire un banner con informativa breve e notificare al Garante Privacy l’uso di questi cookie. In presenza di “profilazione” con cookie analitici di terza parte è necessaria l’informativa e il banner.
La tenuta di un registro del consenso degli utenti per l’accettazione dei cookie nel proprio dispositivo è obbligatorio nel momento in cui è presente l’obbligo di inserimento del banner ed è necessario tenerlo in modo tale che, in caso di richiesta da parte di un visitatore, ci sia la possibilità di prenderne visione e che sia possibile cancellare i dati del visitatore. Nel caso in cui nel sito siano presenti solo cookie tecnici, analitici di prima parte e di terza parte (nel momento in cui vengono anonimizzati i dati e non c’è un incrocio degli stessi da parte della terza parte) non sussiste l’obbligo di tenuta del registro del consenso.
- 11. Come si applica la normativa della videosorveglianza per le persone fisiche?
La “videosorveglianza“ che le persone fisiche fanno per scopi esclusivamente personali (videocitofono, sistema di ripresa di sicurezza ecc) se non viene condivisa/diffusa sistematicamente con terzi e non vengono rese pubbliche le riprese, non si applica la normativa Privacy.
- 12. E’ obbligatoria la nomina di un “responsabile alla protezione dei dati”?
Secondo l’art. 37 del GDPR, la nomina di un “responsabile alla protezione dei dati” è obbligatoria per il settore pubblico. L’obbligo sussiste anche nel settore privato per le grandi imprese o per le imprese che effettuato trattamenti a rischio (ad esempio trattamento su larga scala di dati sensibili, monitoraggio regolare e sistematico degli interessati su larga scala)
- 13. Cos'è il registro del trattamento ?
Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”
COSA DEVE CONTENERE IL REGISTRO DEL TRATTAMENTO DATI
- Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- Le finalità del trattamento;
- La descrizione delle categorie di interessati e delle categorie di dati personali;
- Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
- Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
- I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- Una descrizione generale delle misure di sicurezza tecniche e organizzative.
Questo registro rappresenta dunque una delle novità e, al tempo stesso, uno degli adempimenti più importanti concernenti le attività di trattamento.
Così, al titolare del trattamento è imposto l’obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge; quest’obbligo grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.
CHI DEVE DOTARSI DI QUESTO STRUMENTO
L’obbligo di redazione e adozione del registro non è generale: infatti il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
Anche quando non ne sussiste l'obbligo, il registro del trattamento è sempre consigliato perchè, oltre a servire come inventario per le banche dati, è lo strumento principe per dimostrare l'adeguamento della struttura
- 14. Cosa possiamo fare per aiutarti ?
Essere compliance al GDPR e continuare ad esserlo nel tempo può essere una sfida impegnativa, soprattutto se non si è mai affrontato in modo serio la problematica della privacy e della sicurezza dei dati.
Quello che mi piace fare, per aiutare il cliente a raggiungere il risultato, è affidarmi al buonsenso e alla buona logica. Ho sempre diffidato da consulenze cervellotiche fatte da scienziati e stregoni di turno, e penso che la soluzione sia spesso nella risposta più semplice.
Anche nel caso del GDPR si può, senza grandi spese ed inverstimenti, arrivare al risultato, ricordando sempre che tale regolamento è sostanziale più che formale. Ciò significa che non ci sono ricette magiche o ilste della spesa, e che ogni scelta e investimento deve essere fatta in modo proporzionale e adeguato alla propria situazione.
Sottolineo e ripeto il fatto che il concetto, secondo il quale il GDPR, debba essere applicato solo in presenza di dati personali trattati tramite computer, è completamente errato. Il Regolamento Europeo UE 2016/679 si applica ai dati personali, indipendentemente dagli strumenti usati per trattarli.