GDPR in sintesi


Il GDPR diventerà direttamente applicabile in tutti gli Stati Ue a partire dal 25 maggio 2018, ripercorriamo, in sintesi, i punti fondamentali della riforma

Tempo di lettura: 16 minuti



Il prossimo 25 maggio (fra pochi giorni), gli Stati Membri dell’Unione europea (quindi anche l’Italia), dovranno obbligatoriamente applicare il nuovo regolamento europeo in materia di protezione dei dati personali: il Regolamento Ue 2016/679, meglio conosciuto con l’acronimo inglese GDPR, “General Data Protection Regulation”.

Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE, è stato, infatti, pubblicato in Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, e diventerà direttamente applicabile in tutti gli Stati Ue a partire dal 25 maggio di quest’anno.

GDPR: punti fondamentali della riforma

GDPR: punti fondamentali della riforma

Innanzitutto, bisogna sicuramente evidenziare che la strada sarà molto più facile per coloro i quali (imprese, enti privati e pubblici, professionisti), si sono sempre adoperati per garantire il massimo rispetto della normativa già esistente in materia di riservatezza e protezione dei dati personali – non solo il D.lgs. 196/03, ma anche i numerosi Provvedimenti del Garante – che dovranno soro implementare alcune regole.

Tra cui, quelle minime che devono necessariamente essere adottate:

  • definizione di una politica di conservazione dei dati.
  • aggiornamento delle informative ai sensi dell’art. 13 del GDPR.
  • verifica delle condizioni di liceità dei trattamenti e delle fattispecie per cui è necessario richiedere il consenso(artt. da 6 a 10).
  • revisione dei rapporti con tutti i responsabili esterni dei trattamenti (con ritrattazione degli obblighi previsti all’art. 28).
  • revisione/aggiornamento dell’analisi dei rischi per la definizione di misure di sicurezza adeguate (art. 32).
  • per gli enti pubblici (e per i privati qualora ricorrano le condizioni di cui all’art. 37.1), l’obbligo di individuare e nominare un Data Protection Officer.

Vediamo, ora, nel dettaglio alcuni rilevanti novità della nuova disciplina.

GDPR: chi riguarda?

Il GDPR è destinato a tutte quelle aziende che raccolgono e/o elaborano dati personali di cittadini europei e ha effetto anche se le imprese che possiedono i dati hanno sede al di fuori dei confini dell’UE, offrono servizi o prodotti all’interno del mercato unico (come ad esempio gli USA, dove sono collocate la maggior parte delle società informatiche).

La nuova normativa, insomma si applica a tutte le aziende, ovunque stabilite, al fine di offrire una tutela diretta ai cittadini e prevedendo che sia compito delle aziende adeguarsi alla nuova disciplina.

GDPR: i dati personali

Con l’entrata in vigore del GDPR viene ampliata la definizione di dato personale e sensibile, con cui non si farà più riferimento solo ai classici dati sensibili come indirizzo o numero di telefono, ma anche agli identificativi online come cookie, indirizzi IP, geolocalizzazione ed email.

Il Regolamento, infatti, non si limita a parlare solo di dati personali, ma individua quattro macro-categorie di interesse:

  • dati personali: qualsiasi informazione che possa identificare la persona, incluso nome, cognome, caratteristiche fisiche e anche identificativi online;
  • dati genetici: dati ottenuti tramite analisi di DNA o RNA da un campione biologico;
  • dati biometrici: qualsiasi caratteristica fisica identificativa della persona, come l’impronta digitale, l’iride o l’immagine facciale;
  • dati sulla salute: qualsiasi dato relativo alla salute, tanto fisica quanto mentale, presente, passato o futuro.

Al fine di garantire un approccio uniforme alla nuova disciplina e dirimere le difficoltà iniziali, è stato introdotto lo “sportello unico” (one stop shop). le le imprese che operano in più Stati Ue avranno a che fare con una sola Autorità di vigilanza (Garante Privacy), cioè quella del paese dove hanno la sede principale, piuttosto che con le autorità di 28 Stati europee.

LEGGI ANCHE: GDPR: i poteri dell’Autorità Garante

GDPR: raccolta e trattamento dei dati

GDPR: raccolta e trattamento dei dati

Per adeguarsi al nuovo regolamento, nel raccogliere i dati, le aziende devono seguire innanzitutto questi punti specifici:

  • permettere all’utente di fornire il proprio consenso in modo esplicito e tracciabile;
  • predisporre un’informativa sul trattamento dei dati personali che sia trasparente, chiara e facilmente accessibile;
  • garantire che i dati raccolti siano pertinenti, adeguati e limitati alle finalità per cui vengono richiesti e trattati.

Pertanto, al fine di trattare i dati personali, le società dovranno ricevere esplicito consenso degli utenti (salvo alcune eccezioni, come ad esempio la richiesta da parte delle forze dell’ordine).

Nella richiesta di consenso, la società deve esprimere chiaramente quali sono le finalità del trattamento dei dati e se questi vengono utilizzati da società terze (ad esempio per fini pubblicitari). La richiesta, quindi, deve essere chiara, comprensibile e deve essere presentata in una schermata facilmente riconoscibile.

Inoltre, bisogna garantire all’utente il diritto di revocare il proprio consenso in qualsiasi momento e di esprimere nuovamente il consenso esplicito in caso di modifica del trattamento dei dati., o di implemento con nuovi servizi o funzioni del sito web, app o programma adoperato e che prevede l’utilizzo dei dati personali degli utenti.

Ne consegue che, i dati potranno essere raccolti e utilizzati solo per gli scopi indicati esplicitamente nel consenso, e non più “per ogni altra iniziati”.

Inoltre, viene introdotta un principio di responsabilizzazione per le aziende, nel processo di adeguamento al GDPR e per le misure adottate, dovendo garantire la massima sicurezza dalla fase di raccolta sino a quella di elaborazione e conservazione dei dati.

GDPR: portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali, con cui si è inteso dare la possibilità a qualsiasi utente di trasferire i dati da un titolare del trattamento a un altro. Il cittadino deve, infatti, poter ottenere facilmente una copia dei propri dati personali, in un formato leggibile e facilmente trasferibile.

La norma trova un eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico (come ad esempio le anagrafi): in questo caso il diritto non potrà essere esercitato.

Inoltre, in un’ottica garantista, viene anche vietato il trasferimento di dati personali verso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela della privacy.

Il principio accountability nel GDPR

Con il nuovo regolamento, sono stati ampliati gli obblighi in materia di tutela dei dati personali in capo al Titolare e al Responsabile del trattamento.

Non dovranno solo garantire il rispetto delle regole fissate per il trattamento dei dati personali, ma dovranno adottare, e dimostrare di aver adottato, una serie di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi, adeguati al settore di interesse in cui svolge la propria attività.

Il principio di accountability, è stato tradotto in italiano con il termine “responsabilizzazione”: con la responsabilizzazione del titolare del trattamento, si richiede non solo il rispetto degli obblighi iniziali previsti nel Regolamento, ma anche una continua attività di controllo e verifica delle proprie attività di trattamento.

Data breach e GDPR

Data breach e GDPR

È stato disciplinato l’obbligo, in capo al titolare del trattamento, di comunicare eventuali violazioni di dati personali (data breach) all’ Autorità Garante e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

È fondamentale, per le aziende adoperarsi per garantire il corretto funzionamento di questo meccanismo: il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali.

Il titolare, poi, dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni. Tuttavia, potrà decidere di non informarli qualora ritenga che la violazione non comporti un rischio elevato per i loro diritti; o se dimostrerà di avere già adottato misure di sicurezza; o ancora, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio.

In ogni caso, l’Autorità Garante potrà imporre al titolare del trattamento di informare gli interessati, sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

Il Data Protection Officer (DPO)

Tra i principali obblighi previsti dal nuovo regolamento europeo sulla privacy c’è quello, per alcune società, di adeguare il proprio organigramma privacy inserendo all’interno dello stesso la figura del DPO, acronimo di Data Protection Officer

Il Responsabile della protezione dei dati personali, incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, tra personale interno o esterno all’azienda.

Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

Il DPO è una figura professionale, con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi e dotato di conoscenze specialistiche della normativa e delle prassi in materia di protezione dati, nonché delle norme e delle procedure amministrative che caratterizzano il settore in cui opera.

Si richiede che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente in settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare.

Importante è garantire l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati: nessuno può dargli alcuna istruzione circa l'esecuzione dei suoi compiti e il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO, essendo tenuto in ogni caso al segreto e alla riservatezza in ordine alle sue funzioni di responsabile della protezione.

LEGGI ANCHE: GDPR: quali le regole per i soggetti pubblici?

Il diritto all’oblio

Il diritto all’oblio, può essere definito come il diritto si ciascuna persona “ad essere dimenticata”.

Più precisamente, il diritto all’oblio è il diritto a non restare esposti, per un tempo infinito, alle conseguenze dannose, che possono derivare all’onore e alla reputazione, da fatti commessi in passato o nei quali si è rimasti in qualche modo coinvolti e che furono oggetto di cronaca.

Pertanto, con tale espressione, si fa riferimento ad una particolare forma di garanzia che prevede la non diffondibilità, senza particolari motivi, di precedenti pregiudizievoli per l’onore di una persona.

Di conseguenza, deve essere garantito all’interessato, il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali, qualora non siano più necessari per le finalità per le quali sono stati raccolti e trattati.

Il diritto all’oblio è un diritto di creazione prevalentemente giurisprudenziale, e solo con il nuovo GDPR si è introdotto, all’art.17, una norma apposita dedicata al “diritto alla cancellazione o diritto all’oblio”, nel quale viene stabilito che ogni interessato ha diritto ad ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.

Dal canto suo il titolare del trattamento ha l'obbligo di cancellare, senza ingiustificato ritardo, i dati personali di chi lo richiede qualora ricorrano le condizioni previste dalla norma.

All’autorità di controllo, per noi il Garante Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie.

Privacy e Trasparenza

Importante è anche l’impatto del nuovo regolamento sul complicato rapporto tra privacy (diritto alla riservatezza) e trasparenza (diritto a poter sempre accedere alle informazioni raccolte).

La normativa comunitaria non modifica direttamente le norme nazionali in materia di accesso ai documenti amministrativi (né quelle attualmente applicate alle innumerevoli istituzioni europee). Ma sottolinea l’assenza di un rapporto di contraddizione tra i due aspetti/diritti, in quanto tanto i valori di “trasparenza”, quanto quelli di “tutela efficace della riservatezza” sono considerati meritevoli di efficace protezione.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale

La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.