GDPR: il nuovo regolamento sulla protezione dei dati personali

Shape
MiWeb - Blog: Notizie - GDPR: il nuovo regolamento sulla protezione dei dati personali

Cos'è il GDPR 679/2016

Il GDPR (General data protection regulation) è il Regolamento UE sulla privacy, divenuto operativo il 25 maggio 2018. Con il regolamento l’Unione Europea ha voluto introdurre nuove regole in materia di protezione delle persone fisiche in merito al trattamento dei dati personali e alla libera circolazione degli stessi.  Per comprendere la ratio del decreto è fondamentale inquadrare prioritariamente di quali tipi di "dati personali" stiamo parlando e cosa si intende con il termine "gestione".

Con la dicitura "dati personali" ci si riferisce a qualsiasi informazione riguardante una persona fisica, identificata o identificabile attraverso il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, sociologica, genetica, psichica, economica, culturale o sociale (GDPR 679/2016, ex art. 4). Con il termine "gestione" ci si riferisce al trattamento del dato e più precisamente alle modalità di raccolta, di utilizzo, di conservazione e infine di cancellazione.

Il 19 settembre 2018 è entrato in vigore il decreto legislativo 101/2018 di adeguamento della normativa nazionale alle disposizioni del GDPR, mettendo fine ad una serie di incertezze che avevano concesso ampi spazi alle imprese per procrastinare gli adempienti necessari a mettersi in regola.

L'applicazione della nuova legge sulla privacy

Gli art. 2 e 3 del GDPR fissano i criteri di applicazione materiale e territoriale della normativa. I trattamenti di dati soggetti alla nuova disciplina riguardano sia i processi automatizzati che semi automatizzati nonché quelli tradizionali. Ogni trattamento quindi, indipendentemente dalla modalità di raccolta, sarà soggetto al GDPR.
Restano esclusi solo i trattamenti in ambito penale per finalità di indagine da parte delle autorità competenti e i trattamenti ai fini di politica estera e di sicurezza nazionale.

La norma si applica indipendentemente dal fatto che il trattamento sia effettuato o meno in territorio UE ovvero riguarda anche i titolari del trattamento non stabiliti nell’Unione Europea ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale.

Come mettersi in regola con il GDPR

Le PMI che devono mettersi in regola ed adempiere alle disposizioni della norma saranno costrette ad effettuare una serie di operazioni preliminari volte a verificare lo stato attuale, cosiddetto "as is", per poi disporre un piano operativo di adeguamento ed infine di mantenimento. Tra le attività da svolgere, va ricordata la nomina delle figure coinvolte nel processo di trasformazione e gestione e la pianificazione di un piano di formazione del personale.

Tra la documentazione disponibile per interpretare le disposizioni normative, segnaliamo la "Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali" pubblicata dal Garante per la protezione dei dati personali. La guida contiene una panoramica delle principali problematiche che imprese e soggetti pubblici dovranno tenere presente in fase di adeguamento nonché suggerimenti su una serie di azioni, fondate sulle disposizioni normative contenute nel testo del GDPR, da mettere in atto fin da subito.

Il Garante ci invita a considerare con attenzione l’accento posto dalla norma sul termine accountability (responsabilizzazione) di titolari e responsabili del trattamento dei dati, ovvero sull’adozione di comportamenti proattivi e tali da dimostrare la concreta attuazione di misure finalizzate ad assicurare l’applicazione del regolamento (art.25 GDPR).

L’analisi preventiva e l’impegno concreto e misurabile ci indicano la portata di questa norma che dovrà essere interpretata dalle singole aziende in modo totalmente personalizzato e tenendo conto dei diversi scenari applicativi.

Il Responsabile della protezione dei dati (DPO)

L’art.37 del GDPR dispone l’obbligo in capo al Titolare del trattamento dei dati di nominare, congiuntamente al Responsabile del trattamento dei dati, un Responsabile della protezione dei dati anche detto DPO (data protection officer).  Questa figura aziendale è obbligatoria nei seguenti casi:

  • quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni;

  • quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

  • quando le attività principali del Titolare del trattamento o del Responsabile del trattamento, consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari e sensibili) o di dati relativi a condanne penali e a reati di cui all’art. 10.

Il DPO potrà essere scelto all’interno dell’azienda ma potrà anche essere un professionista esterno purché si tratti sempre di soggetto in possesso di conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati. Questo ruolo, particolarmente delicato, dovrà pertanto essere ricoperto da un soggetto con competenze giuridiche, informatiche, di gestione del rischio e dei processi.
Va ricordato che, nei casi di nomina obbligatoria visti in precedenza, il nominativo andrà comunicato al Garante per la privacy.

Controlli e violazione dei dati personali

Agli arti. 33 e 34 del GDPR si rinvia ai controlli e alle misure previste in caso di data breach (violazione dei dati personali).
Per violazione dei dati personali si intende la violazione della sicurezza che comporti accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Il GDPR dispone l’obbligo di notifica delle violazioni entro 72 ore dal momento in cui si è venuti a conoscenza della violazione stessa.

Eseguire i controlli periodici sulle misure previste in caso di data breach significa aver predisposto tali misure. Queste dipendono in larga parte dal sistema di conservazione dei dati che presumibilmente sarà informatizzato.
La manutenzione dei server e dei dischi di rete, la revisione delle copie e la distruzione dei dati dovranno essere eseguiti regolarmente secondo un piano stabilito e supervisionati dalla figura preposta a tali mansioni. Tra le disposizioni della norma vi è anche la predisposizione e la gestione del registro dei trattamenti che sarà la base della successiva attività ispettiva.
Il registro è il documento all’interno del quale bisogna indicare le caratteristiche del Titolare del trattamento dei dati e del Responsabile del trattamento. Questo documento dovrà essere utilizzato per effettuare controlli e verifiche ed anche per l’autovalutazione da parte della PMI. La tenuta del registro è obbligatoria per tutti i titolari di trattamento dei dati ad eccezione delle imprese con meno di 250 dipendenti.

Queste ultime sono invece soggette ed obbligate alla tenuta del registro nel caso in cui:

  • la gestione del dato possa costituire un rischio per i diritti e la libertà dell’interessato;
  • il trattamento del dato non sia occasionale o riguardi particolari tipologie di dati.

Per essere in regola le imprese dovranno aggiornare anche i moduli per l’informativa sul trattamento dei dati e quelli per il rilascio del consenso. L’informativa sul trattamento dei dati dovrà spiegare in maniera semplice e con un linguaggio di facile comprensione, come saranno utilizzati i dati e anche per quanto tempo saranno conservati

Nel caso di utilizzo dei dati dei clienti per finalità di marketing e quindi condivisione dei dati con altri soggetti, l’impresa sarà tenuta ad informare i clienti del fatto che i loro dati verranno trasmessi a terzi. In caso di mancata trasmissione dell’informativa i dati non potranno essere trasferiti. Il consenso al trattamento dei dati dovrà essere preventivo rispetto a qualunque utilizzo del dato. A differenza di quanto accadeva fino a ieri, dove valeva la regola del consenso tacito, oggi non sarà più così ed il consenso dovrà essere prestato in forma esplicita.
Le opzioni sulle caselle non potranno essere già barrate traendo così in confusione il soggetto che deve rilasciare il consenso.

Il consenso potrà essere revocato in ogni momento con il conseguente obbligo da parte dell’azienda di cancellazione di tutti i dati in suo possesso.
Tra le novità ci pare interessante segnalare anche l’introduzione del consenso per la raccolta dati in caso di minori sulle piattaforme internet. Per i minori di 16 anni sarà necessario il consenso al trattamento dei dati da parte di un genitore.

Il diritto all'oblio previsto dal GDPR

L’impresa non potrà più conservare i dati per un tempo illimitato. Il dato potrà essere conservato e gestito solo per il periodo di tempo strettamente correlato con le finalità di raccolta del dato stesso. Al termine di questo periodo dovrà essere distrutto.
Questo tema ci permette di richiamare un’ulteriore novità introdotta dal GDPR che interviene sulla disciplina del diritto all’oblio. Il diritto alla cancellazione (diritto all’oblio) è un tema sensibile, molto discusso e controverso.

All’art. 17 del GDPR si stabilisce che, l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare i dati personali quando ricorrano i seguenti motivi:

  • i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  • l’interessato revoca il consenso su cui si basa il trattamento;
  • l’interessato si oppone al trattamento ai sensi della norma e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
  • i dati personali sono stati trattati illecitamente;
  • i dati personali devono essere cancellati per adempiere ad un obbligo giuridico previsto dal diritto della UE;
  • i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’art. 8 (minori di 16 anni).

Il consumatore o l’utente potrà chiedere la cancellazione dei propri dati personali online quando questi non sono più necessari al raggiungimento del fine dichiarato in sede di rilascio del consenso al trattamento.
Ricordiamo infine gli obblighi relativi alla portabilità dei dati, una novità che può interessare da vicino moltissimi consumatori perché consente di richiedere il trasferimento dei propri dati personali da un gestore ad un altro in caso di cambio di fornitore per una grande quantità di servizi, da quelli internet (provider di posta o di dominio) alle utenze.
L’impresa che eroga questo genere di servizi, non potrà rifiutare la trasmissione dei dati in suo possesso ad esempio ad un concorrente qualora l’interessato ne faccia richiesta.

Cosa si rischia nel caso di mancato adeguamento al GDPR

La mancata applicazione delle disposizioni contenute nel GDPR , da parte di imprese e professionisti, fa’ scattare sanzioni che il decreto stabilisce nella misura massima di 20 milioni di euro o il 4% del fatturato annuo. E’ tuttavia doveroso ricordare che il decreto stabilisce un cosiddetto "periodo di grazia" di otto mesi in cui le sanzioni potrebbero non essere applicate o applicate in misura ridotta.

L’art. 22 comma 13 del decreto legislativo 10 agosto 2018 n. 101 recita così: "per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del DGPR, della fase di prima applicazione delle disposizioni sanzionatorie".
L’articolo non sembra stabilire chiaramente un periodo di inapplicabilità delle sanzioni, bensì invita il Garante a tenere conto della situazione delle imprese per valutare la loro capacità di adeguarsi in tempi brevi o meno.

Concludiamo dicendo che dal 2016 ad oggi c’è stato tempo sufficiente per prendere confidenza con i nuovi indirizzi in materia di privacy e gestione dei dati personali. Anche il periodo di tolleranza volge al termine e alle imprese non resta che avviare questo ennesimo processo di adeguamento e trasformazione o completarlo per i più virtuosi, consigliando sempre una lettura attenta e scrupolosa dell’intero testo normativo.

Scrivici per ricevere più informazioni

Messaggio inviato correttamente
Impossibile inviare il messaggio
Aumenta la tua visiblità sul web
Scopri come

Ultimi Post

Il modo migliore per realizzare un e-commerce, il tuo negozio online

20 SET 2019

Quando si vuole creare un e-commerce partendo da zero, non si può può proprio fare a meno di prendere in considerazione un gran ventaglio di possibilità differenti. Una di queste riguarda la possibilità di creare il proprio e-shop su misura, con il codice scritto a mano senza usare il CMS.

Contest mondiale di grafici per la creazione di loghi per aziende

15 LUG 2019

Il contest mondiale è un'ottima soluzione per creare un logo originale, professionale e di successo. La moltitudine di creatività a livello mondiale produce un'ampia scelta di loghi, diversi sensi estetici e impatti visivi, nel quale trovare l'essenza di un'azienda o di un brand.

Conseguenze Trump Ban: Stati Uniti contro Hauwei e Cina

24 MAG 2019

Non solo Google ha deciso di interrompere i rapporti con Huawei, spinti dalla decisione americana anche Intel, Broadcom, la tedesca Infineon Technologies, Western Digital e Micron Technologies si sono unite a questo divorzio creando nella stessa Huawei uno scenario futuro non troppo rassicurante.

Archivio