Privacy: si cambia In vigore il nuovo GDPR

Posted By Antonio Alivesi on Giu 11, 2018 | 0 comments


Il provvedimento, meglio noto con l’acronimo di GDPR (General Data Protection Regulation), abroga la Direttiva 1995/46 e, di conseguenza, le norme che a livello nazionale l’hanno recepita, fra cui il Codice della Privacy italiano (D. Lgs. 196/2003).

La novità essenziale che caratterizza il Regolamento riguarda senza dubbio l’introduzione del principio di “responsabilizzazione” (accountability) del soggetto che tratta i dati.

In base a tale principio, spetta ora a tale soggetto sia il compito di valutare in concreto i rischi che il trattamento dei dati comporta e, quindi, decidere in autonomia le modalità, le garanzie e i limiti del trattamento, sia l’obbligo di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

Con il GDPR viene meno il concetto di misure “minime” di sicurezza, in quanto il Regolamento UE impone di adottare misure “adeguate” la cui concreta adozione è rimessa la soggetto che effettua il trattamento dei dati. E di chiara evidenza che una siffatta impostazione della norma, il cui approccio è basato sull’analisi del rischio, aumenta la libertà d’azione ma, al contempo, anche la responsabilità.

Le sanzioni pecuniarie previste in caso di inosservanza delle regole, sono più elevate che in passato e vanno da 10 milioni di euro a 20 milioni di euro, o per le imprese dal 2 al 4% del fatturato mondiale annuo.

Fonti: Regolamento UE 2016/679; Guida all’applicazione del Regolamento UE 2016/679

PRINCIPALI CONFERME

PRINCIPI GENERALI
Il Regolamento non modifica i principi generali di liceità, trasparenza, proporzionalità e sicurezza su cui si fonda la normativa nazionale in tema di privacy. Viene confermato il fatto che ogni trattamento di dati, per definirsi lecito, deve essere fondato su una idonea base giuridica. Le “condizioni di liceità” previste dal Regolamento coincidono con quelle individuate dal D. Lgs. 196/2003 (consenso dell’interessato adempimento di obblighi di legge o contrattuali; inoltre, interesse vitale dell’interessato o di terzi, interesse pubblico, o esercizio di pubblici poteri, interesse legittimo del titolare)

CATEGORIE DI DATI
Il Regolamento, pur con alcune modifiche terminologiche, mantiene l’attuale distinzione fra le categorie di dati: Dati personali Qualsiasi informazione inerente una persona fisica identificata o identificabile, anche indirettamente.

Rientrano in tale definizione: cognome, nome, luogo e data di nascita, C.F., indirizzo di residenza, telefono, coordinate IBAN; Dati “particolari” Dati che rivelano l’origine razziate o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati relativi atta salute, alla vita o all’orientamento sessuale (i c.d. dati sensibili, secondo il Codice della Privacy), dati genetici (risultanti da analisi di campioni biologici della persona), dati biometrici (impronte digitali, geometria della mano o del volto, conformazione della retina o dell’iride); Dati “penali” Dati relativi a condanne penali e ai reati o a connesse a misure di sicurezza (i c.d. dati giudiziari, secondo il Codice della Privacy).

SOGGETTI
Il Regolamento conferma inoltre le caratteristiche principali di alcuni ruoli e figure già esistenti: Titolare del trattamento È il soggetto (persona fisica, società, ente … ) che effettua il trattamento determinandone finalità e mezzi ed è il destinatario delle maggior parte degli obblighi stabiliti dal GDPR;

Responsabile del trattamento È il soggetto che tratta i dati per conto del titolare; Incaricato È colui che agisce sotto t’autorità del titolare o del responsabile in base alle istruzioni ricevute da tali soggetti (es. dipendenti, collaboratori, ecc.); Interessato È la persona fisica a cui i dati personali trattati si riferiscono e il cui diritto atta riservatezza è garantito dalla normativa (es. clienti, fornitori, dipendenti, collaboratori, visitatori. Siti web, candidati all’assunzione).

PRINCIPALI MODIFICHE 1. INFORMATIVA (ART. 13 E 14)
L’informativa è la dichiarazione mediante la quale il soggetto che effettua il trattamento (titolare o responsabile) rende noti i termini, le condizioni e le finalità del trattamento dei dati, per consentire all’interessato di valutarne le conseguenze ed eventualmente esercitare i propri di ritti. Contenuti dell’informativa sono elencati in modo tassativo negli art. 13 e 14 e sono in parte diversi rispetto al passato. In particolare, nel caso di raccolta di dati presso l’interessato occorrerà fornire: > la base giuridica del trattamento > il legittimo interesse perseguito dal titolare; > il periodo di conservazione dei dati o i criteri per determinarlo; > il diritto dell’interessato di avere accesso ai dati e di chiederne la portabilità; > il diritto di revocare il consenso al trattamento; > il diritto di proporre reclamo al Garante; > solo se applicabile: l’esistenza di processi decisionali automatizzati, ivi compresa la profilazione; la logica utilizzata e le conseguenze per l’interessato; > solo se applicabile: i dati di contatto del responsabile della protezione dei dati (RDP o DPO), la cui nomina è obbligatoria solo in alcuni casi particolari.

TEMPISTICHE Il Regolamento precisa che l’informativa va fornita una sola volta, nel momento in cui i dati sono ottenuti o al momento della prima comunicazione rivolta all’interessato e, comunque, entro il termine di un mese dall’acquisizione dei dati. Per quanto concerne la forma dell’informativa il Regolamento prescrive che essa debba essere: concisa, trasparente, intellegibile e che le informazioni siano fornite per iscritto. Sarà quindi necessario verificare il testo delle attuali informative in uso presso le Imprese, al fine di renderle aderenti al dettato del GDPR.

CONSENSO (ART. 7)
Il consenso dell’interessato è una delle oasi giuridiche che possono legittimare il trattamento dei dati. La richiesta del consenso al trattamento è necessaria qualora non sussista, in precedenza, una delle altre condizioni di liceità previste dalla normativa (es.: l’adempimento di un obbligo di legge o di un contratto). In particolare, il consenso deve essere: > espresso: non esiste consenso tacito o presunto; > libero e consapevole: il consenso deve essere manifestato mediante una dichiarazione espressa o un’azione positiva (si esclude l’utilizzo di caselle prebarrate); > informato: il consenso deve essere preceduto da un’adeguata informativa; > distinguibile: la richiesta del consenso, se inserita in un documento, deve distinguersi in modo chiaro dal resto del testo; > specifico: se il trattamento persegue finalità diverse occorre acquisire separatamente per ciascuna di esse un consenso specifico. L’onere della prova, che l’interessato abbia prestato il proprio consenso, grava sul soggetto che effettua il trattamento. Di conseguenza, è opportuno acquisire il consenso in forma scritta. I consensi già raccolti restano validi se hanno le caratteristiche di cui sopra, altrimenti occorre raccoglierli nuo vamente.

MISURE DI SICUREZZA (ART. 32)
A seguito dell’introduzione del principio di accountability, le imprese saranno tenute a valutare in proprio, qua – li misure adottare al fine di garantire un livello di sicurezza adeguato al rischio connesso al trattamento dei dati effettuato

Per tale motivo il GDPR farà venire meno l’adozione delle misure minime di sicurezza (Allegato B del D. Lgs. 196/2003) a favore dell’adozione, da parte del titolare del trattamento, di misure tecniche e organizzative adeguate rispetto ai rischi (distruzione, perdita, modifica, accesso o divulgazione non autorizzati) legati al trattamento svolto.

La qualità delle misure di sicurezza necessarie a garantire un livello di protezione “adeguato”, andrà valutata alla luce della natura dei dati trattati (comuni o “particolari”), degli strumenti utilizzati per il trattamento (cartacei o elettronici), della tipologia e del numero dei soggetti incaricati del trattamento, nonché della probabilità e gravità dei rischi.

Occorre ricordare che, in caso di contestazione, incombe sempre sul titolare del trattamento l’onere di dimostrare di aver posto in essere le misure tecniche e organizzative “adeguate” a garantire che il trattamento sia stato effettuato conformemente al dettato del GDPR.

Per tale motivo è opportuno che le imprese si dotino del c.d. “Registro delle attività di trattamento” (art. 30).

Esso consiste in un registro da tenere in forma scritta (anche informatizzata) e da aggiornare costantemente, nel quale devono essere indicati: > i dati del titolare del trattamento > le finalità del trattamento > descrizione delle categorie di interessati e i dati personali > le categorie di destinatari > i termini previsti per la cancellazione dei dati > la descrizione delle misure di sicurezza tecniche e organizzative.

Il Registro delle attività di trattamento potrà quindi rappresentare uno strumento gestionale attraverso il quale dimostrare la mappatura completa e aggiornata dei trattamenti effettuati. Esso permetterà una corretta pianificazione ed il costante monitoraggio della politica di sicurezza dei dati, al fine di garantire l’integrità, la riservatezza e disponibilità. Esso, infine, consentirà all’impresa di dimostrare la propria conformità ai principi di responsabilizzazione e di rendicontazione imposti dal GDPR.

DIRITTI DEGLI INTERESSATI (ART. 15 E 55.)
Il GDPR integra e rafforza la tutela dei diritti degli interessati (ovvero dei soggetti i cui dati sono sottoposti a trattamento). I diritti si estrinsecano in: > diritto di accesso: l’interessato ha diritto di sapere se un soggetto è in possesso dei propri dati e di conoscere, categorie, origine, finalità e durata del trattamento; > diritto di rettifica: l’interessato ha diritto di ottenere la modifica o l’integrazione dei dati inesatti o incompleti; > diritto di cancellazione: l’interessato ha diritto ad ottenere la cancellazione dei dati, qualora le finalità che giustificano il trattamento vengano meno, nei casi di revoca del consenso, opposizione e trattamento illecito. Se il trattamento è avvenuto a mezzo stampa o internet l’interessato ha diritto ad ottenere il c.d. diritto all’oblio. > limitazione del trattamento: l’interessato ha diritto a bloccare temporaneamente il trattamento dei dati in caso di contestazione.

Per le imprese occorre verificare che i diritti degli interessati siano esplicitati in modo preciso nell’informativa, al fine di prevedere specifiche procedure da attivare per assicurare il tempestivo esercizio, da parte dell’interessato, dei diritti sopracitati.

Il GDPR prevede, nel caso di violazioni più lievi, l’avvertimento o l’ammonimento, l’inibizione o l’ingiunzione. Nel caso in cui siano accertate, a seguito di indagini dell’autorità o sulla base di segnalazioni o reclami da parte degli interessati, violazioni degli obblighi stabiliti dal Regolamento, l’importo delle sanzioni pecuniarie che il Garante della Privacy potrà infliggere è molto più elevato che in passato.

Nei casi di maggiore gravità esso può arrivare fino a un massimo di 20 milioni di euro (o fino al 4% del fatturato mondiale).

PRINCIPALI NORME NUOVE
1. PRIVACY BY DESIGN E BY DEFAULT (ART. 25)
Il GDPR, in base al principio dell’accountability, introduce due nuovi criteri, quello dell’obbligo di protezione dei dati “fin dalla progettazione” (privacy by design) e per “impostazione predefinita” (privacy by default). In pratica, occorre che il titolare garantisca la protezione dei dati fin dal momento della progettazione dei sistemi di raccolta per garantire che siano trattati solo quei dati che risultino strettamente necessari a perseguire ciascuna finalità del trattamento. Per rispettare il principio di privacy by design l’impresa dovrà attuare, fin dalla progettazione, misure tecniche e organizzative che consentano di raccogliere solo i dati strettamente necessari e minimizzare i rischi del loro trattamento. Per rispettare il principio di privacy by default l’impresa dovrà fare in modo che le misure tecniche e organizzative adottate si attivino in forma automatica ogni volta che ci si trovi dinanzi ad un trattamento di dati personali.

2. DATA BREACH (ART. 33)
Nel caso in cui si verifichino eventi quali, attacchi informatici, incidenti o calamità naturali, attraverso i quali i dati personali possono essere oggetto di perdita, distruzione, o diffusione indebita, allora ci troviamo in presenza di una violazione dei dati personali (data breach). In tali casi il GDPR obbliga l’impresa a darne comunicazione al Garante entro 72 ore dalla conoscenza del fatto e a procedere alla comunicazione anche agli interessati qualora il rischio per i diritti loro connessi sia elevato.

3. R.D.P (ART. 37 E 55)
Nel caso in cui le attività principali del titolare o del responsabile consistano in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o in trattamenti su larga scala di dati sensibili, o di dati relativi a condanne penali e a reati, il GDPR stabilisce l’obbligo di nomina di un Responsabile della Protezione dei Dati (R.D.P. o D.P.O. nell’accezione inglese).

Si tratta di una figura di garanzia cui sono attribuiti compiti di consulenza e vigilanza, sulla corretta applicazione del GDPR in azienda, oltre a funzioni esterne di coordinamento nei rapporti con il Garante della Privacy.

A titolo esemplificativo e non esaustivo sono tenuti alla nomina di un Responsabile della Protezione dei Dati: gli istituti di credito; le imprese assicurative; i sistemi di informazione creditizia; le società finanziarie; le società di informazioni commerciali; le società di revisione contabile; le società di recupero crediti; gli istituti di vigilanza; i partiti e i movimenti politici; i sindacati; le società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); le imprese di somministrazione di lavoro e di ricerca del personale; le società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, le terme, i laboratori di analisi mediche e i centri di riabilitazione; le società di call center; le società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Per contro, il GDPR indica che la designazione del responsabile della Protezione dei Dati non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

 

Submit a Comment

Il tuo indirizzo email non sarà pubblicato.