GDPR: ecco in 10 punti le maggiori novità del nuovo Regolamento Privacy

GDPR: ecco in 10 punti le maggiori novità del nuovo Regolamento Privacy
11 maggio 2018 kinetica
Guide

Il 25 maggio è alle porte. Ecco allora in 10 punti le maggiori novità da seguire per chiunque effettui trattamenti su dati personali per assicurare la compliance della propria struttura.

1) LA PRIVACY

Il Regolamento europeo 2016/679 sulla protezione dei dati personali entrerà in vigore il 25 maggio 2018 e sarà valido direttamente e in modo uguale in tutti i 27 Paesi membri.
Ci sono novità importanti rispetto alla precedente disciplina nazionale (i cui pilastri sono la L. 675/1996 e il D.Lgs. 193/2003) volte sia a garantire la circolazione dei dati, sia a tutelare il diritto alla privacy delle persone fisiche.

Il Concetto di Privacy coincide con il diritto alla riservatezza delle informazioni personali e della propria vita privata e trova fondamento nei principi costituzionali che tutelano i diritti e le libertà fondamentali (artt. 2 e 3 Cost).

La recente diffusione delle nuove tecnologie ha contribuito ad un assottigliamento della barriera della privacy e lo stesso concetto di privacy si è profondamente evoluto: da diritto “a essere lasciato solo” (right to be let alone) è arrivato a indicare il diritto al controllo sui propri dati personali. Le evoluzioni normative riguardanti la privacy hanno imposto l’adozione di cautele giuridiche, tecniche ed organizzative necessarie per procedere in maniera corretta al trattamento dei dati personali. Ebbene tali cautele, introdotte in parte già nella precedente disciplina (Codice della Privacy), trovano ora ampio spazio e particolare attenzione nel nuovo Regolamento Europeo sulla Privacy.

Con il regolamento la normativa in materia di protezione dei dati personali assume un ruolo determinante per l’adozione di qualsiasi attività e decisione da parte di soggetti economici e pubblici che implichi un trattamento di dati personali.

2) PRINCIPALI NOVITÀ INTRODOTTE DAL REGOLAMENTO

Il regolamento introduce importanti novità per garantire un elevato livello di tutela degli interessati.
Il nuovo principio di responsabilizzazione e dovere di rendicontazione (accountability) secondo il quale, il titolare del trattamento è obbligato a mettere in atto “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento è effettuato conformemente al regolamento”.

Sulla base di questo principio tutti i soggetti che partecipano al trattamento dati devono essere consapevoli e responsabili e devono tenere la documentazione di tutti i trattamenti effettuati.

Il regolamento impone, inoltre, l’obbligo generale in capo al titolare di adottare misure tecniche ed organizzative adeguate al rischio del trattamento.

Non esistono più le misure minime di sicurezza, come nella precedente disciplina, ma è il titolare che, sulla base del principio della responsabilizzazione, dovrà valutare l’adeguatezza delle misure di sicurezza da mettere in campo.

In questa valutazione di adeguatezza, il Titolare dovrà tenere conto dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, delle finalità del trattamento, del rischio di probabilità e gravità per i diritti e le libertà degli interessati.

Allo stato attuale, comunque, vengono indicate come adeguate alcune misure di sicurezza quali:

  • la pseudonimizzazione e la cifratura (ovvero solo chi ha le chiavi di lettura potrà leggere quei
    dati in chiaro, per tutti gli altri appariranno cifrati, cioè illegibili)
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali
  • le procedure volte a testare e verificare regolarmente l’efficacia delle misure tecniche per
    garantire la sicurezza dei trattamenti.

Anche la formazione e l’istruzione del Titolare, del Responsabile, degli incaricati del trattamento, sono considerate alla stregua di adeguate misure di sicurezza.

A integrare l’approccio di accountability intervengono i principi di privacy by design e privacy by default che impongono l’adozione di misure di protezione fin dalla fase di progettazione del trattamento, oltre a prescrivere un utilizzo dei dati (minimo e pertinente), ovvero necessari a rispondere a delle finalità specifiche.

Gli adempimenti in capo al titolare del trattamento diventano più specifici: viene, introdotto l’obbligo di tenere un registro delle attività di trattamento che contiene tutte le informazioni e i documenti prescritti dal regolamento.

In pratica, chiunque effettua un trattamento dati per ragioni professionali, lavorative, economiche, dovrà tenere tali registri, compreso i lavoratori autonomi e le Piccole e Medie imprese.

Viene anche previsto l’obbligo della dpia (data protection impact assessment) che rappresenta la valutazione del rischio conseguente a un ipotetico data breach (violazione dei dati rappresentato da perdita, furto, distruzione).

Pertanto in particolari casi, quali la sorveglianza sistematica su larga scala, il trattamento di particolari tipologie di dati o nel caso di profilazione ad alto rischio, il Regolamento prescrive una valutazione preventiva e sistematica delle finalità e della necessità del trattamento DPIA.

La legge applicabile è sempre quella del soggetto i cui dati vengono raccolti.
Pertanto i Social network, le piattaforme web e i motori di ricerca sono soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE.

Sono ampliati i diritti degli interessati con la previsione – per esempio – del diritto della portabilità dei dati, per cui l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti.

Viene anche codificato il cosiddetto diritto all’oblio, ossia la possibilità di decidere che i propri dati siano cancellati e non sottoposti ulteriormente ad alcun trattamento.

Le persone deputate al trattamento dei dati, siano essi responsabili o incaricati del trattamento, devono essere autorizzate espressamente e debitamente istruite mediante apposite lettere di incarico e designazione.

L’informativa da rendere agli interessati deve essere concisa, trasparente, facilmente accessibile, con un linguaggio semplice e chiaro anche attraverso icone standardizzate.

Viene abolito l’obbligo di preventiva notifica per il trattamento di dati sensibili al Garante, ma qualsiasi violazione dei dati personali, conseguente ad attacchi informatici, accessi abusivi, incidenti o altre calamità dalle quali dovesse verificarsi la perdita, la distruzione o la diffusione indebita di dati personali trattati (cosiddetto, data breach), deve essere notificata al garante entro 72 ore dal cosiddetto data breach.

Viene introdotto obbligatoriamente per le PA la nuova figura del responsabile della protezione dati, cosiddetto data protection officer (DPO) e viene previsto un sistema sanzionatorio più severo in tutti gli stati membri.

3) IL NUOVO REGOLAMENTO CHI TUTELA

Il regolamento protegge solo le persone fisiche, cosiddetti < interessati > nel momento in cui vengono trattati i loro dati personali.
Sono quindi escluse le persone giuridiche, ossia i dati riferiti a quest’ultime.

Il regolamento non si applica al trattamento di dati effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico, oppure nel trattamento dei dati effettuati dalle autorità competenti a fini di prevenzione, indagine o accertamento di reati, o per la salvaguardia contro minacce alla sicurezza pubblica.

4) COS’E’ IL DATO PERSONALE

Il dato personale si riferisce a “qualsiasi informazione relativa a una persona fisica identificata o identificabile”.

Si può identificare una persona fisica direttamente o indirettamente, per esempio mediante un identificativo online o uno o più elementi caratteristici della sua identità fisica, il nome, un numero di identificazione, dati relativi all’ubicazione, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Il concetto di dato personale è volutamente ampio in modo da poter ricomprendere qualsiasi evoluzione tecnologica che permetta di identificare direttamente o indirettamente una persona fisica.

Il regolamento identifica anche una categoria di dati, cosiddetti particolari (dati sensibili), quali: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, l’appartenenza sindacale; i dati genetici, che forniscano sulla persona informazioni sul suo stato di salute; i dati biometrici, i dati relativi alla salute, alla vita sessuale, all’orientamento sessuale o all’identità di genere di una persona.

Nei i casi in cui il trattamento abbia ad oggetto questa particolare categoria di dati, in linea di principio, il trattamento è ammesso solo ed esclusivamente quando ricorre il consenso dell’interessato o nel caso di specifiche previsioni normative.

Qualche suggerimento pratico:

Gli indirizzi email generici (info@nome-azienda.it) si differenziano dagli indirizzi di persone fisiche o persone fisiche interne all’azienda:
cognome@mail.com -> persona fisica (si applica il regolamento)
cognome@nome-azienda.com -> persona fisica (si applica il regolamento)
info@nome-azienda.it -> persona giuridica (non si applica il regolamento)

5) IL TRATTAMENTO

E’ qualsiasi operazione o insieme di operazioni – dalla raccolta alla cancellazione – compiute sia digitalmente che analogicamente (cartacee) aventi ad oggetto dati personali o insiemi di dati personali.

Per trattamento si intende, dunque, la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, fino alla cancellazione o distruzione.

La profilazione è un’attività di trattamento cui il regolamento ha attribuito particolare attenzione.

La profilazione include, infatti il sesso, l’età, le preferenze commerciali, la data e l’ora di accesso alla rete, collegamenti, geolocalizzazione e moltissime altre informazioni.

E’ una forma di trattamento di dati personali finalizzato a valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, ecc.

6) LE FIGURE DEL TRATTAMENTO

Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri (contitolari), determina le finalità e i mezzi del trattamento di dati personali.
Decide del trattamento dei dati, ne determina le finalità, come trattarli e ne è responsabile.

Il titolare è, l’azienda, il libero professionista, il Presidente di un Ente, il Sindaco di un Comune, che ottiene i consensi per il trattamento dei dati personali.
In capo al titolare sorgono nuovi obblighi e responsabilità più inasprite.
Il Titolare deve sempre definire la la base giuridica sulla quale è consentito il trattamento dei dati personali.

Degli esempi di basi giuridiche sono i consensi, interessi legittimi, servizi pubblici o di pubblico interesse, base legale, obblighi contrattuali.
Deve garantire ai destinatari, in maniera semplice, trasparente e sicura, determinati diritti (diritto di informazione, di rettifica, diritto di accesso, di cancellazione, ecc).

Deve garantire un consenso volontario e trasparente del destinatario sul trattamento dei dati. Sempre il titolare deve, nei casi previsti dal Regolamento, nominare il DPO.

Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento rispettando le istruzioni impartite dal titolare.

Ricevente la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
Il ricevente può essere il soggetto con cui il titolare ha un accordo commerciale e attraverso il quale persegue le finalità del trattamento (condivisione dei dati personali).

Data protection officier
L’applicazione del principio di Accountability, inteso come responsabilizzazione e dovere di rendicontazione, introduce fra gli altri la figura del DPO Data Protection Officer. Questa figura svolge un compito fondamentale nell’assicurare che il titolare del trattamento ottemperi con diligenza alle prescrizioni contenute nel Regolamento Europeo.

Il DPO è un supervisore indipendente, con funzioni di supporto, consultazione formazione e informazione e ha il compito di cooperare con il Garante della Privacy, costituendo il punto di contatto, anche rispetto agli interessati, tra l’Amministrazione e l’Autorità.

Gli obblighi del Titolare nei confronti del DPO prevedono il suo coinvolgimento tempestivo in tutte le questioni riguardanti la protezione dei dati personali, e sostenerlo nell’esecuzione dei suoi compiti. Egli dovrà:

  1. informare e fornire consulenza al Titolare o al Responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento stesso;
  2. sorvegliare sull’Osservanza del Regolamento e in generale sulle politiche del Titolare o del Responsabile;
  3. curare o coadiuvare la formazione e la sensibilizzazione del personale in materia di Privacy;
  4. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati;
  5. cooperare con l’autorità di controllo e fungere da contatto con essa.

I suoi dati dovranno essere sempre pubblicati in chiaro dalla PA e il suo nominativo comunicato al Garante. Sono obbligati alla nomina del DPO:

  1. amministrazioni ed enti pubblici ad eccezione delle autorità giudiziarie.
  2. tutti i soggetti la cui attività principale consiste in trattamenti che per natura, oggetto o finalità richiedono il controllo regolare e sistematico degli interessati.
  3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici Art. 37 Reg. UE 2016/679

I principali compiti del DPO:
Informare e assistere il Titolare del trattamento e i lavoratori nella corretta applicazione del Regolamento

  1. vigilare sulla corretta applicazione della disciplina privacy (regolamento – policy) attraverso attività di audit e di formazione/sensibilizzazione dei lavoratori.
  2. fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.
  3. fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti.
  4. gestire le richieste provenienti dall’Autorità Garante per la protezione dei dati personali (es. rispondendo alle note di chiarimenti) oppure le istanze presentate dal Titolare del trattamento (es. istanze di verifica preliminare ex art. 17 C.d.P.)
    Art. 39 Reg. UE 2016/679

Il DPO deve essere in possesso di qualità professionali e di ampia conoscenza della normativa e delle prassi in materia di trattamento dei dati personali.
Può essere un dipendete del PA o un soggetto esterno sulla base di uno specifico contratto di servizi, purché appunto altamente specializzato in materia.

7) A chi si applica il GDPR

Il GDPR prevede l’applicazione della nuova disciplina a tutte le “organizzazioni” che trattano i dati personali di persone fisiche che risiedono nei paesi dell’Unione europea.
Per organizzazioni il regolamento intende un soggetto quale un professionista, un’azienda, un istituto o un’istituzione nazionale, un’associazione, un sindacato, un partito politico, ecc…

Non è rilevante che la sede dell’organizzazione sia nella UE, in quanto il GDPR si applica anche alle aziende statunitensi che trattano i dati degli europei.
Il regolamento si applica anche ai partner e fornitori (esempio email marketing) dell’organizzazione che trattano i dati personali e che assumono quindi il ruolo di responsabili del trattamento.

La responsabilità diventa quindi solidale tra il titolare e il responsabile ed è fondamentale che tra tali soggetti vengano stipulati dei contratti al fine di assicurare la conformità al regolamento.

8) Informativa e Consenso

Il Regolamento dedica specifiche disposizioni al contenuto dell’informativa, distinguendo a seconda che il dato sia raccolto direttamente presso l’interessato o presso terzi.

Ai sensi dell’articolo 12 del Regolamento, l’informativa deve essere resa in forma concisa, facilmente accessibile, con un linguaggio chiaro, per iscritto o con altri mezzi, esempio elettronici oralmente solo se richiesto dall’interessato e purché sia comprovata con altri mezzi l’identità dell’interessato anche in combinazione con l’utilizzo di icone standardizzate.

L’informativa deve contenere, obbligatoriamente, i seguenti dati:

  • l’identità e i dati di contatto del Titolare del trattamento
  • i dati di contatto del DPO, nel caso di Pubblica Amministrazione o ove nominato le finalità del trattamento
  • gli eventuali destinatari dei dati
  • l’eventuale intenzione del Titolare di trasferire i dati a un paese terzo o a un’organizzazione internazionale

Infine, per garantire il più corretto trattamento il Titolare deve fornire all’interessato le seguenti ulteriori informazioni:

  • il periodo di conservazione dei dati, oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
  • l’esistenza del diritto dell’interessato di chiedere al Titolare del trattamento l’accesso ai propri dati personali, la loro rettifica, la loro cancellazione, la loro limitazione o portabilità
  • l’esistenza dei diritto di revocare, in qualsiasi momento, il consenso al trattamento dei propri dati
  • il diritto di proporre reclamo a un’autorità di controllo.

Se la comunicazione dei dati personali è un obbligo legale o contrattuale oppure un requisito necessario per concludere un contratto, il Titolare dovrà informare l’interessato delle conseguenze della mancata comunicazione dei suoi dati.

Infine, nel caso in cui il Titolare del trattamento intenda trattare ulteriormente i dati, per una finalità diversa da quella per i quali sono stati raccolti, prima di tale ulteriore trattamento, dovrà integrare l’informativa in merito a tale diversa finalità e raccoglierne lo specifico consenso.

Il Consenso

Il Consenso dell’interessato è invece disciplinato dall’articolo 7 del regolamento e rappresenta una condizione di liceità del trattamento stesso.

E’ definito “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, che i dati personali che lo riguardano siano oggetto di trattamento”

Il consenso per essere valido deve essere espresso mediante un atto positivo libero, specifico, informato ed inequivocabile.

Il consenso può essere revocato in qualsiasi momento senza che pregiudichi la liceità del trattamento basato sul consenso prima della revoca.

Esempio concreto:

Un utente entra nel sito web di un’azienda di comunicazione e si iscrive alla newsletter.
Per far ciò inserisce il suo indirizzo email e conferisce il consenso per il trattamento dei dati inseriti al fine di ricevere la newsletter.

Questo utente è soggetto interessato nonché destinatario.
Il proprietario dei sito web che ottiene i dati ed il consenso diventa il titolare del trattamento dei dati personali inseriti.

Nel caso in cui il titolare (proprietario del sito) trasmette i dati del Destinatario all’agenzia di marketing, quest’ultima assume il ruolo di responsabile del trattamento.
Tale rapporto deve essere regolato da un contratto tra titolare e responsabile avente ad oggetto le istruzioni per il trattamento dei dati personali.

9) Obbligo di notifica data breach

Il Regolamento prevede espressamente l’obbligo di notificare la violazione dei dati personali (data breach) all’autorità di controllo e, in alcuni casi, anche agli interessati del trattamento.

La notifica riguarda OGNI violazione dei dati (tranne che se i dati sono cifrati o pseudonomizzati) e deve essere effettuata dal Titolare del trattamento, ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza della violazione.
Se la violazione riguarda trattamenti svolti da un Responsabile quest’ultimo deve informare il Titolare senza ritardo.

La notifica all’autorità deve

  • descrivere la natura della violazione dei dati personali, ed ove possibile, la categoria e il numero approssimativo degli interessati.
  • comunicare il nome e i dati di contatto presso cui ottenere maggiori informazioni possibili sulla violazione.
  • descrivere le probabili conseguenze della violazione dei dati personali
  • descrivere le misure adottate per porre rimedio alla violazione o anche per attenuare i possibili effetti negativi.

Il titolare dovrà infine comunicare all’interessato la violazione dei dati personali quando questa violazione sia suscettibile di rappresentare un rischio elevato per i diritti e le libertà delle persone.

L’impianto sanzionatorio previsto dal Regolamento è particolarmente severo ed equivalente in tutti gli Stati Membri con sanzioni pecuniarie, effettive, proporzionali e dissuasive.
Le sanzioni per i responsabili del trattamento ma soprattutto per i titolari sono molto alte!

Il GDPR prevede multe fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per la maggior parte delle infrazioni.
Per gli abusi gravi invece fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente o 10 o 20 milioni di euro.

10) Responsabilità in caso di violazione

È importante sapere che per la gestione dei dati è sempre responsabile il titolare.

Questo significa che il titolare non potrà pronunciarsi sui contratti che ha stipulato con i suoi partner o responsabili del trattamento.

Se i tuoi responsabili del trattamento non hanno sede nell’UE, fa molta attenzione che siano conformi al GDPR.

A causa delle ridotte possibilità di essere multati, della lontananza e assenza di contatti nell’UE, hanno meno voglia e interesse di essere in conformità al GDPR, rispetto alle ditte con sede nell’UE.

Hai bisogno di consulenza?

Kinetica può assisterti nelle operazioni di:

  • analisi dell’infrastruttura tecnologica per determinare se è a norma con il nuovo Regolamento;
  • relazionare cosa è necessario fare per adeguarsi;
  • porre in essere le misure necessarie per l’adeguamento informatico.

E’ un processo che ci vede in stretta collaborazione con il Titolare del Trattamento, il Consulente Privacy o il Responsabile della Protezione dei Dati dell’azienda, con i quali è necessario dialogare per effettuare un corretto adeguamento. Se non hai un consulente Privacy che ti segue, Kinetica ha intrapreso una parternship con lo Studio Legale WildSide, specializzato in diritto della Privacy e nuove tecnologie.

La scadenza è vicina. Se ti è necessaria la consulenza di Kinetica contatta il nostro responsabile commerciale Luciano Piana per fissare un appuntamento.

Se ti piace l'articolo, metti un like!

Modulo contatti

Tutti i campi sono obbligatori.

captcha


Accetto l’informativa privacy policy*.