Il GDPR, solamente un costo per le aziende o vera utilità?


Il GDPR riguarderà tutte le aziende a livello globale che processano i dati dei cittadini della Ue. Ciò significa che tutte le informazioni che riguardano i cittadini dell’Unione Europea dovranno rispettare le richieste del GDPR, la prima legge globale sulla data protection

Tempo di lettura: 27 minuti



Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del testo del Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy.

Il GDPR riguarderà tutte le imprese a livello globale che processano i dati dei cittadini della Ue. Per la prima volta, la Commissione Europea esporta in tutto il mondo dei principi europei sulla data protection. Ciò significa che tutte le informazioni che riguardano i cittadini dell’Unione Europea dovranno rispettare le richieste del GDPR, rendendo così il regolamento Ue la prima legge globale sulla data protection.

Il regolamento allarga la portata della definizione di dato personale. Il GDPR considera dati personali tutti i dati che possono servire ad identificare un individuo compresi, per la prima volta, i dati genetici, culturali ed economici o sociali.

La prova del consenso valido all’utilizzo dei dati personali sarà una delle sfide maggiori presenti nel GDPR. Aziende e organizzazioni dovranno assicurare un linguaggio semplice quando domandano il consenso alla raccolta di dati personali.

Dovranno essere chiare sulle finalità dell’uso dei dati personali, e dovranno accettare il fatto che silenzio e inazione non rappresentano più un consenso. Senza la prova di consensi chiari le autorità potranno chiudere le attività di elaborazione dei dati personali.

Il GDPR impone la nomina del DPO (Data protection officer) nella PA e per tutte le organizzazioni che trattano dati personali come attività principale o che richiedono il monitoraggio di grandi quantità di dati o che processano dati su larga scala che riguardano determinate categorie di persone.

Secondo stime dell’IAPP (International Association of Privacy Professionals) saranno almeno 28mila i DPO che verranno assunti entro l’entrata in vigore del nuovo regolamento in Europa.

In Germania la nomina di un DPO è obbligatoria per le aziende con più di 10 dipendenti, ma questa figura professionale prenderà piede anche nelle imprese con meno dipendenti che processano grandi quantitativi di dati.

L’obbligo del Privacy impact assessment nel GDPR dipende in larga misura, secondo gli analisti, dall’influsso del Garante britannico. Di fatto, il GDPR richiede ai controllori della privacy in azienda di condurre valutazioni di impatto per tutte le attività a rischio di attacchi e falle per minimizzare appunto il rischio di perdite o furti di dati. La compliance dovrà essere garantita dal DPO in riferimento a tutti i progetti che coinvolgono l’utilizzo di dati personali.

Il GDPR armonizza le diverse leggi europee sulle notifiche in materia di Data breach.

La regolazione richiede che le organizzazioni devono notificare alle autorità locali i data breach entro 72 ore dalla scoperta della falla. Ciò implica che aziende e organizzazioni abbiano a disposizione tecnologie per scoprire e rispondere ai dati breach in tempi stretti.

Il GDPR introduce il diritto all’oblio con regole stringenti. Il principio di base riguarda la minimizzazione dei dati conservati dalle organizzazioni, l’obbligo di non cambiare in corso d’opera lo scopo per il quale i dati sono stati raccolti. Ciò implica che per ogni utilizzo dei dati diverso dall’originale sarà necessario ottenere un nuovo consenso dei soggetti coinvolti.

Le aziende dovranno quindi disporre di tecnologie per cancellare in tempo reale dati su richiesta dei soggetti.

Protezione dati personali: l'evoluzione

Protezione dati personali

La necessità di emanare un Regolamento Europeo in materia di protezione dei dati personali nasce dalla continua evoluzione degli stessi concetti di privacy e protezione dei dati personali e quindi della relativa tutela dovuta principalmente alla diffusione del progresso tecnologico.

La direttiva 95/46/CE, in materia di protezione dei dati personali, è stata adottata nel 1995 con due obiettivi: salvaguardare il diritto fondamentale alla protezione dei dati e garantire la libera circolazione dei dati personali tra gli Stati membri.

Successivamente gli enormi sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali. La portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso.

La tecnologia attuale consente alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività e, sempre più spesso, gli stessi privati rendono pubbliche sulla rete mondiale informazioni personali che li riguardano.

Le nuove tecnologie non hanno trasformato solo l’economia, ma anche le relazioni sociali. Di conseguenza è diventato necessario instaurare un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione che, affiancato da efficaci misure di attuazione, consentirà lo sviluppo dell’economia digitale nel mercato interno. Garantirà alle persone fisiche il controllo dei loro dati personali e rafforzerà la certezza giuridica e operativa per i soggetti economici e le autorità pubbliche.

LEGGI ANCHE: Protezione dati e avvocati: come difendere il segreto professionale.

Principi fondamentali del Regolamento Europeo in materia di protezione dei dati personali

Il principio della trasparenza il quale impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro.

Ciò riguarda in particolare l'informazione degli interessati sull'identità del responsabile del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento equo e trasparente con riguardo agli interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.

È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi al trattamento.

Si ricorda che come principio di carattere generale il diritto alla trasparenza indica il diritto di ogni cittadino-consumatore a ricevere informazioni, comprensibili, chiare e trasparenti in ogni fase del suo rapporto con l’erogatore del servizio.

La trasparenza dallo stesso d.lgs. n. 33/2013 è stata intesa come accessibilità totale delle informazioni concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche.

L’art. 12 del Regolamento sancisce che il responsabile del trattamento debba adottare misure appropriate per fornire all'interessato tutte le informazioni necessarie e le comunicazioni relative al trattamento dei dati personali in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

Le informazioni sono fornite per iscritto o con altri mezzi, se del caso in formato elettronico. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato. Lo stesso responsabile del trattamento deve fornire all'interessato le informazioni relative all'azione intrapresa riguardo ad una richiesta di accesso ai sensi degli articoli da 15 a 20 senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della richiesta stessa.

Tale termine può essere prorogato per un massimo di altri due mesi, se necessario, tenuto conto della complessità della richiesta e del numero di richieste. Qualora si applichi la proroga, l'interessato è informato dei motivi del ritardo entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta in formato elettronico, le informazioni sono fornite, ove possibile, in formato elettronico, salvo indicazione diversa dell’interessato. Se non ottempera alla richiesta dell'interessato, il responsabile del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale.

Gli artt. 14 e 14-bis del Regolamento individuano, poi, con precisione le informazioni che il responsabile del trattamento deve fornire all’interessato, rispettivamente qualora i dati siano raccolti presso l'interessato oppure quando i dati non siano stati ottenuti presso l’interessato.

Il diritto all’oblio il quale consiste nel diritto di ogni persona di rettificare i dati personali che la riguardano e il “diritto alla cancellazione e all’oblio”, se la conservazione di tali dati non è conforme al Regolamento. In particolare, l’interessato deve avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento.

L’oblio è un diritto che va oltre la tutela della privacy e che, a oggi, non trova legittimazione nell’ordinamento nazionale ed europeo. Come fondamento normativo del diritto all'oblio, il Codice della Privacy prevede che il trattamento non sia legittimo qualora i dati siano conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo superiore a quello necessario

Nel testo del Regolamento il diritto all’oblio è recepito dall’art. 17 dove viene sancito che l'interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione dei dati personali che lo riguardano. Il responsabile del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

  • a) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  • b) l’interessato ritira il consenso su cui si basa il trattamento e non sussiste altro motivo legittimo per trattare i dati;
  • c) l'interessato si oppone al trattamento dei dati personali e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
  • d) i dati sono stati trattati illecitamente;
  • e) i dati devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o degli Stati membri cui è soggetto il responsabile del trattamento;
  • f) i dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Inoltre sempre l’art. 17 chiarisce che il responsabile del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione prende le misure ragionevoli, anche tecniche, per informare i responsabili del trattamento che stanno trattando i dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Il principio di accountability in virtù del quale il Regolamento dispone che il responsabile del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme allo stesso Regolamento.

Il Regolamento recepisce tale principio all’art. 22 il quale prevede che tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento.

Dette misure sono riesaminate e aggiornate qualora necessario. Inoltre, se ciò è proporzionato rispetto alle attività di trattamento, le predette misure includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del responsabile del trattamento.

Chi è il Data Protection Officer?

Chi è il Data Protection Officer?

A partire dal 25 maggio 2018, diventerà direttamente applicabile in Italia il nuovo Regolamento Europeo in materia di protezione dei dati personali (Regolamento UE 2016/679) che introduce importanti novità in tema Privacy, tra cui la figura del Data Protection Officer, ovvero il responsabile della protezione dei dati personali.

È un soggetto che, per competenza, conoscenze ed esperienza è incaricato di sorvegliare e promuovere il rispetto del Regolamento Europeo all’interno di un’azienda o di un’organizzazione.

Il DPO avrà l’incarico di supportare il titolare in una serie di attività e decisioni relative alla privacy e al trattamento dei dati. Il suo compito principale è quello di assicurare la protezione del patrimonio informativo aziendale e dei dati personali trattati dagli stessi.

E’ una figura professionale di livello elevato che non solo deve conoscere in modo approfondito la normativa di settore, ma deve anche possedere delle qualità manageriali ed una buona conoscenza delle nuove tecnologie.

E’ evidente che per svolgere la sua funzione di consulenza deve avere una buona competenza di carattere generale sui diversi aspetti sia di carattere normativo che organizzativo.

Data Protection Officer: quando si deve nominare?

Il Regolamento Europeo Privacy, all’art.37, ha sancito che il titolare del trattamento ed il responsabile designano sistematicamente un responsabile della protezione dei dati personali (DPO) in tre casi:

1) Se il trattamento è effettuato da autorità pubblica o da organismo pubblico.

2) Se le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono un monitoraggio regolare e sistematico di dati su larga scala.

I fattori connotanti un trattamento regolare e sistematico sono:

  • Regolare, indicante un trattamento di dati che avviene in modo continuativo, ovvero ad intervalli definiti per un arco di tempo definito, ricorrente o ripetuto ad intervalli costanti, che avviene in modo costante o a intervalli periodici.
  • Sistematico, corrisponde ad un trattamento di dati: che avviene per sistema, predeterminato, organizzato o metodico, che ha luogo nell’ambito di un progetto complessivo di raccolta dati, svolto nell’ambito di una strategia.

3) Se le attività principali del titolare o del responsabile del trattamento, consistono nel trattamento su larga scala di categorie particolari di dati.

I fattori connotanti un trattamento su larga scala, sono: il numero di soggetti interessati dal trattamento, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la durata, ovvero la persistenza dell’attività del trattamento, la portata geografica dell’attività del trattamento.

Qual è il ruolo del DPO?

Ai sensi dell’art. 39 del Regolamento Europeo Privacy, il DPO ha il ruolo fondamentale di vigilare sul rispetto della normativa privacy all’interno dell’azienda.

Una volta nominato, il responsabile protezione dati dovrà:

  • Fornire consulenza sugli obblighi che derivano dalla normativa privacy, coinvolgendo il titolare dell’azienda e tutti i soggetti incaricati nel trattamento dei dati.
  • Vigilare sul rispetto della norma privacy, ad esempio sulla corretta attribuzione delle responsabilità, sulla formazione e sulla sensibilizzazione del personale.
  • Fornire un parere in merito alla valutazione di impatto sulla protezione dei dati.
  • Cooperare con le autorità di controllo (Garante Privacy) e fungere da contatto per le questioni connesse al trattamento.
  • Fungere da interlocutore per tutti gli interessati (i soggetti a cui si riferiscono i dati) sia per questioni relative al trattamento dei loro dati personali che per l’esercizio dei propri diritti.

Quali sono le attività che il DPO deve svolgere in un’azienda?

  • Conoscere tutti gli aspetti organizzativi dell’azienda o ente: il DPO deve necessariamente analizzare ed approfondire il core business dell’azienda o comunque i compiti e le funzioni fondamentali dell’ente che assiste. Tale attività è fondamentale per consigliare nel modo migliore il titolare o responsabile del trattamento.
  • Mappare e classificare i trattamenti dati con un occhio particolare ai dati che vengono trasferiti all’estero ed a eventuali accordi di carattere contrattuale (binding corporate rules). In genere questo tipo di attività viene svolto attraverso la diretta compilazione dei registri delle attività di trattamento che, come già si è avuto modo di vedere, per quanto considerate a livello di Regolamento attività proprie del titolare e del responsabile del trattamento, alla fine vengono svolte dallo stesso DPO, più che altro, per ragioni di opportunità.
  • Individuare un organigramma privacy e prevedere un coordinamento funzionale, ai fini privacy, tra i diversi uffici della realtà organizzativa. Si tratta di un aspetto delicato ma fondamentale che può consentire allo stesso DPO di individuare con immediatezza eventuali problematiche che dovessero insorgere nell’ambito dell’azienda o ente.
  • Prevedere specifiche policy del trattamento dei dati e fornire attività di consulenza in tale settore con un’attenzione particolare rivolta all’utilizzo delle nuove tecnologie (videosorveglianza, biometria, Rfid, big data, uso della rete per attività di marketing, profilazione, posta elettronica aziendale, sistemi automatici decisionali ed utilizzo dell’IA, tecnologie robotiche, cloud computing, IoT, ecc.).
  • Analizzare l’impatto delle predette nuove tecnologie in ambito protezione dei dati personali al fine di fornire specifica consulenza al titolare del trattamento per la predisposizione di un DPIA (Data Protetion Impact Assessment).
  • Aiutare il titolare del trattamento nel predisporre un’efficace politica di sicurezza informatica. A tal fine sarà necessario dare utili suggerimenti in merito anche alla definizione di programmi di formazione ed aggiornamento per tutti gli operatori (incaricati) e naturalmente per i responsabili del trattamento.
  • Curare, tramite il titolare del trattamento, i rapporti con gli interessati al fine di fornire risposta adeguata a determinate richieste di chiarimenti in materia o a reclami/ricorsi.
  • Supportare il titolare del trattamento nella predisposizione di specifici report di data breach e nelle relative comunicazioni agli interessati.
  • Aiutare il titolare del trattamento nella predisposizione e gestione di specifici audit privacy interni ed esterni.
  • Mantenersi aggiornati con riferimento alla normativa nazionale ed europea in materia di protezione dei dati personali confrontandosi nel caso anche con altri DPO.
  • Curare i rapporti con l’Autorità garante su tutte le tematiche che dovessero investire l’azienda o l’ente in materia di privacy.
  • Monitorare in generale tutte le attività di trattamento dati al fine di assicurare il rispetto della normativa nella specifica realtà organizzativa di riferimento.

In termini più generali possiamo individuare le seguenti attività che dovranno rappresentare un punto di riferimento continuo per un DPO:

  • Struttura di governance (individuazione responsabili per la privacy dei dati, la gestione del responsabile, procedure di segnalazione a fini gestionali).
  • Gestione archivio dati personali (modalità di gestione per l’archiviazione dei dati personali o flussi di dati personali con classi definite di dati).
  • Policy privacy dati personali (politiche e procedure in materia di privacy, requisiti di legge, gestione dei rischi operativi).
  • Programma formazione (formazione continua e sensibilizzazione per promuovere il rispetto della privacy).
  • Gestione del rischio connesso all’Information Security (programma di sicurezza delle informazioni e valutazioni dei rischi).
  • Gestione del rischio di terze parti (contratti con terzi coerenti con la riservatezza dei dati, policy, requisiti, e tolleranza del rischio operativo).
  • Comunicazioni (informazioni e comunicazioni agli individui coerenti con la politica privacy).
  • Risposta richieste e reclami di privati (procedure efficaci per le interazioni con gli individui in materia di dati personali).
  • Individuare e monitorare nuove pratiche operative (monitorare pratiche organizzative per identificare nuovi processi o modificare quelli esistenti al fine di garantire l'attuazione della Privacy by design).
  • Gestione data breach.
  • Verificare politiche, pratiche e procedure operative ai fini della conformità alla normativa sulla privacy.
  • Best practices.

Quali sono le aziende obbligate a nominare un DPO?

Mediante una lettura sovrapposta del Regolamento Europeo Privacy e delle linee guida fornite dai Garanti Europei (Gruppo di lavoro art.29), i soggetti obbligati a nominare un DPO sono tutte quelle aziende e quei professionisti che operano su banche dati (clienti, dipendenti e fornitori, consulenti), effettuano attività di marketing attraverso la profilazione online dei clienti, trattano dati sensibili e/o giudiziari, utilizzano apparecchiature tecnologiche di geolocalizzazione e georeferenziazione, videosorveglianza, controllo accessi, sistemi biometrici.

L’obbligo di nominare i DPO ricorre, quindi, per i seguenti enti privati:

  • Istituzioni finanziarie ed istituti di credito.
  • Società di recupero crediti.
  • Istituzioni e compagnie assicurative.
  • Aziende sanitarie private, cliniche, poliambulatori, laboratori analisi cliniche e diagnostiche ed altri istituti sanitari.
  • Società di servizi/consulenza.
  • Centri elaborazione dati ed internet provider.
  • Società di somministrazione di pubblica utilità.
  • Società di trasporti.
  • Agenzie di viaggio, strutture alberghiere e ricettive in genere.
  • Società commerciali ed industriali allorquando trattino una mola di dati personali di larga scala.

Sanzioni per la mancata nomina di un DPO?

L’art. 83 del Regolamento Europeo Privacy prevede che, la mancanza di nomina di un DPO è soggetta ad una sanzione amministrativa fino a 10.000.000 € o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente se superiore.

Conclusioni

In definitiva è chiaro che tra gli obiettivi fondamentali del Regolamento vi sono quelli di garantire certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese. Offrire alle persone fisiche in tutti gli Stati membri il medesimo livello di azionabilità dei diritti.

Definire obblighi e responsabilità dei responsabili del trattamento e degli incaricati del trattamento ed assicurare un monitoraggio costante del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri.

Il GDPR rappresenta una nuova idea di concepire il dato personale, per troppi anni oggetto di mercificazione, con le conseguenze che sono sotto gli occhi di tutti: spamming, profilazione a 360° ecc.

L’adeguamento delle aziende al nuovo regolamento Europeo, porterà delle spese, tra i costi di adeguamento e nomine per i DPO. Spese che risultano necessarie vista l’evoluzione e l’importanza che il dato personale ha assunto negli ultimi anni.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale

La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.