GDPR: Quando si applica?

Il GDPR si applica quando:

• la base operativa dell’organizzazione si trova nell’Unione Europea (indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o no); o l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei;
• l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE;
Il regolamento europeo 679:16, si applica quindi in quasi tutte le attività (Società pubbliche e priva-te, Professionisti, Studi professionali, Pubbliche Amministrazioni, Associazioni, Cooperative, etc di ogni settore e dimensione), spesso anche se la sede non si trova nell’Unione Europea.
Il GDPR è pienamente applicabile a partire dal 25 maggio 2018.

Di seguito vengono elencate le principali novità introdotte dal Regolamento Europeo. Da notare che il testo del regolamento non si limita a definire la gestione della privacy ma delinea un vero e proprio “schema” de-finendo diritti, obblighi e procedure. Conseguentemente vi sono nuove figure professionali e la definizione dello schema dei diritti con la definizione e l’ambito di applicazione.
Da evidenziare che tutto il Regolamento è basato sulla applicazione di tre concetti cardine che sono “Pri-vacy by design”, “Privacy by default” e “Accountability”. La comprensione del Regolamento passa senza dubbio dalla comprensione di questi tre concetti che, per la legislazione italiana, introducono delle novità rilevanti. Partiamo dalla definizione dei diritti con una breve descrizione:

► Diritto alla Trasparenza Informativa: una attenzione particolare è posta sulla necessità di assicurare la consapevolezza dell’interessato, fornendo informazioni sulle attività svolte in modo conciso, trasparente, comprensibile, facilmente accessibile, in un linguaggio chiaro e semplice (soprattutto se rivolte a un minore) e gratuito. Inoltre l’utente deve essere consapevole e consenziente nel caso di trasferimento dati Extra UE.
► Diritto al Consenso Attivo: il consenso dell’interessato deve essere effettivo ed inequivocabile (me-diante dichiarazione scritta ma anche mediante apposita casella in un formulario web)
► Diritto alla Profilazione Consenziente: viene sancito il diritto a non subire operazioni di profilazione (creazione di profili utente e personali) inconsapevoli.
► Diritto alla Portabilità, accesso, rettifica e cancellazione dei Dati Personali: viene riconosciuto il diritto dell’interessato di ottenere la restituzione dei propri dati personali da un fornitore di servizi on-line per tra-smetterli ad un fornitore terzo; L’interessato può anche richiedere in ogni momento l’eventuale rettifica, in caso di informazioni non corrette, nonché la cancellazione o limitazione dei propri Dati in caso di cessazio-ne del servizio
► Diritto alla Comunicazione delle Violazioni: è prevista una nuova procedura ad hoc per la notifica di questi eventi;
► Diritto all’oblio: ossia viene codificato il diritto di chiedere ai diversi motori di ricerca di togliere i riferi-menti dell’interessato dalle indicizzazioni ovvero la cancellazione dai singoli siti web;
Alcune definizioni sono state evidenziate con riferimento ai diversi procedimenti:

► Joint controllers: Ovvero corresponsabili del trattamento (Art. 26) Si prevede che possa esserci una contitolarità tra due o più titolari del trattamento. I responsabili devono stipulare tra loro un accordo che metta in evidenza in particolare i diritti degli interessati in relazione alle diverse figure;

► Nuova definizione di “dato personale”: Il regolamento introduce le definizioni di dato genetico, dato biometrico, dati relativi alla salute che non sono previsti esplicitamente nel codice della Privacy.
► Principio di “Accountability”: si chiede (artt. 24, 27, 28, 29) al responsabile di agire secondo un prin-cipio di responsabilizzazione che consenta di essere in grado di dimostrare che le misure tecniche/organiz-zative sono aderenti alle specifiche del regolamento e che l’adeguata applicazione di tali misure sia sempre monitorata nel tempo e adeguata dinamicamente ai cambiamenti. Codici di condotta, certificazioni e Risk Assessment periodici sono gli strumenti previsti.

Il GDPR prevede la possibilità, dipendente caso per caso, di individuare più figure coinvolte a diverso titolo nella gestione dei dati Personali e Sensibili trattati in azienda: Titolare, Contitolare, Responsabile, sub-Re-sponsabile, Amministratore di sistema, Soggetti autorizzati
Una delle figure chiave del Regolamento è certamente quella del DPO (Data Protection OFficer), ovvero nella traduzione italiana del Responsabile per la protezione dei dati personali. Di seguito viene riportata una sintesi dei requisiti e delle funzioni di questa figura oltre che le fattispecie per le quali è obbligatoria.

1. possedere un’adeguata conoscenza della normativa, delle prassi di gestione dei dati personali, della gestione dei processi informatici, della sicurezza dei dati e di altre questioni critiche relative al trattamento di dati personali e sensibili;
2. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio, purché possa adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse.

Il titolare o il responsabile del trattamento dovranno mettere a disposizione del DPO le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

1. informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli
2. obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
3. verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del tratta-mento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizza-zione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
4. fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
5. fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al tratta-mento dei loro dati o all’esercizio dei loro diritti;
6. fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmen-te, consultare il Garante di propria iniziativa.

Amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;

tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati, oppure nel trattamento su larga scala di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Esempi specifici: istituti di credito, società finanziarie, imprese assicurative, imprese di somministra-zione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, società di call center, società che forniscono servizi informatici e altre

Un titolare del trattamento o un responsabile del trattamento: possono comunque designare un DPO anche in casi diversi da quelli sopra indicati.

Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dati Personali.

► Approccio alla Privacy by Design; si passa, per usare i termini inglesi in voga nel dibattito durante l’iter legislativo, da una gestione della privacy “one size fits all” fatta di policy e documenti ad una gestione della privacy “risk based” applicata al funzionamento di ogni Processo Aziendale ed alla progettazione di ciascun Prodotto o Servizio. In altre parole si deve applicare alla gestione della privacy e dei processi aziendali coin-volti non tanto una serie di documenti e moduli standard ma piuttosto una analisi puntuale di ogni singola situazione aziendale;

► Approccio alla Privacy by Default, che in poche parole significa che la protezione del dato deve diven-tare l’impostazione predefinita di tutte le procedure. Il postulato di questo approccio è che nelle diverse pro-cedure organizzative, per impostazione predefinita, devono essere utilizzati unicamente i dati strettamente necessari alle finalità del trattamento

► Gestione basata sul Principio di Accountability: Il titolare del trattamento deve predisporre misure tecniche e organizzative adeguate per garantire che il trattamento sia conforme al Regolamento. Inoltre, deve essere in grado di dimostrare tale conformità nel tempo (in tal senso, “accountability” potrebbe essere tradotto in “rendicontazione”).

Il Titolare non deve limitarsi a fare il minimo, ma dimostrare di avere un atteggiamento proattivo e essersi impegnato al massimo per:

a. implementare un sistema di gestione della privacy, tracciabile, rendicontabile e monitorabile nel tem-po;
b. formare e creare consapevolezza a tutto lo staff dell’organizzazione coinvolto nella gestione dei trat-tamenti di Dati Personali, sulle tematiche Privacy e sulle procedure interne definite (Art. 29 del GDPR).

Vengono introdotte sanzioni amministrative pecuniarie elevate, che possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente
In particolare il GDPR conferisce agli utenti il diritto esplicito di presentare un reclamo presso un’autorità di controllo qualora ritengano che il trattamento dei loro dati personali sia stato effettuato in violazione delle disposizioni del regolamento. Ad esempio, se viene presentata una segnalazione all’autorità in merito a un’istanza di violazione della normativa, l’autorità può scegliere di effettuare una verifica dei processi di trattamento dei dati da parte dell’organizzazione. Qualora si accerti che alcune attività di trattamento siano state svolte in modo illecito, non solo viene comminata una sanzione pecuniaria, ma all’organizzazione può anche essere vietato di fare un ulteriore uso sia dei dati oggetto del reclamo che dei dati acquisiti utilizzando meccanismi analoghi. Ciò significa che se l’uso improprio riguardava, ad esempio, la raccolta di un indirizzo email, l’organizzazione rischia di non poter utilizzare l’intero database di email in suo possesso.
Il GDPR conferisce inoltre agli utenti il diritto al risarcimento di eventuali danni derivanti dall’inosservanza delle norme da parte di un’organizzazione, rendendo in tal modo i trasgressori suscettibili di essere citati in giudizio.

Di seguito i 8 cardini da comprendere per la Compliance al regolamento europeo 679 del 2016 sulla Pri-vacy.

L’informativa dovrà avere forma scritta e recare i nuovi requisiti indicati dall’art. 13-14 GDPR. Il titolare deve acquisire un consenso inequivocabile al trattamento. Infografiche, linguaggio chiaro, soluzioni tecniche e grafiche devono creare l’informativa più semplice e completa possibile.
In particolare gli utenti devono poter:

► essere informati sull’identità del titolare del sito/app, sui dati raccolti, sui loro diritti in relazione a tali dati, sulle modalità di notifica delle modifiche alla policy, sulla data a partire dalla quale la policy è entrata in vigore e su eventuali accessi di terzi ai loro dati (ad esempio tramite widget di terza parte, pulsanti sociali, servizi pubblicitari etc.). Gli utenti devono inoltre essere a conoscenza delle condizioni di utilizzo del servizio (comprese le eventuali condizioni di vendita dei loro dati)
► essere in grado di prestare, negare o revocare il loro consenso (a seconda della normativa applicabi-le). Secondo il GDPR, il consenso deve essere “esplicito e libero”. Ciò significa che le modalità di acquisi-zione del consenso devono essere inequivocabili e prevedere una chiara azione di “opt-in” (il regolamento vieta espressamente l’uso di checkbox preselezionate o di altri sistemi alternativi di “opt-out”). Il regolamen-to sancisce inoltre un diritto specifico alla revoca del consenso, che deve essere tanto facile quanto lo è il suo conferimento., quindi è fondamentale registrare in modo chiaro tutti i consensi acquisiti
► essere informati sull’uso dei cookie e avere la possibilità di acconsentire o rifiutare. La direttiva ePri-vacy o la Cookie Law impongono infatti la raccolta di un consenso informato dell’utente prima di installare cookie sul suo dispositivo e di iniziare il tracciamento.

La designazione del soggetto responsabile del trattamento dei dati personali deve avvenire con contratto o atto giuridico avente forma scritta. Particolare attenzione va prestata agli elementi da inserire in tale contrat-to, analiticamente indicati dall’art. 28 GDPR. Viene inoltre riconosciuta la figura del subresponsabile.

GDPR in pratica
I rapporti contrattuali con fornitori e consulenti che trattano dati personali per conto del titolare del trattamento, come ad esempio società informatiche e webmaster, devono includere clausole contrattuali che garantiscano adeguati livelli di sicurezza e la partecipazione dei responsabili nelle procedure di Data Breach o nel dare riscon-tro alle richieste degli interessati.

In alcuni casi è obbligatoria la nomina di un DPO (Data Protection Officer), figura con competenze multidi-sciplinari sia giuridiche che informatiche, con il compito di controllare in modo indipendente il trattamento dei dati e implementare il sistema di gestione della privacy.

Il DPO fornisce consulenza, sorveglia l’osservanza del regolamento, fornisce pareri in merito alla DPIA, coopera con l’Autorità di controllo e funge da punto di contatto con la stessa.

Inoltre secondo l’art. 29 GDPR, ogni organizzazione è obbligata e responsabile a formare tutti i dipendenti che sono coinvolti con trattamenti su dati personali, al fine di fornire loro piena consapevolezza (Secondo il principio dell’Accountability) delle responsabilità, dei rischi e delle procedure connesse alla gestione delle loro attività lavorative ordinarie.

GDPR in pratica
Il Garante Privacy italiano ha pubblicato apposite FAQ per suggerire alcune tipologie di soggetti privati per i quali potrebbe essere obbligatoria la nomina del DPO, come ad esempio istituti di credito, società finanziarie, imprese assicurative, imprese di somministrazione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, società di call center, società che forniscono servizi informatici e altre.

La protezione dei dati deve essere posta in essere fin dalla progettazione di servizi basati sul trattamento dei dati personali. La tutela dei dati deve essere “pensata” fin dall’inizio di ogni processo aziendale. La protezione dei dati deve diventare l’impostazione predefinita: il titolare deve garantire misure tecniche e organizzative adeguate affinché siano trattati solo i dati necessari per una determinata finalità.

GDPR in pratica
Le Linee guida in materia di valutazione di impatto sulla protezione dei dati WP248 elencano alcune categorie di trattamento che potrebbero comportare un obbligo di effettuazione della DPIA come, ad esempio, la raccolta di dati pubblici dei media sociali per la generazione di profili, un’azienda che monitora sistematicamente le attività dei suoi dipendenti, controllando anche la postazione di lavoro dei dipendenti, le loro attività in Internet.

GDPR in pratica
Il titolare del trattamento dovrà prevedere regolamenti interni e procedure per stabilire ruoli e responsabilità nei trattamenti dei dati personali, al fine di mettere in sicurezza i singoli trattamenti.

Il titolare del trattamento deve predisporre misure tecniche e organizzative adeguate per garantire che il trattamento è conforme al Regolamento. Inoltre, deve essere in grado di dimostrare tale conformità (in tal senso, “accountability” potrebbe essere tradotto in “rendicontazione”). Il Titolare non deve limitarsi a fare il minimo, ma dimostrare di avere un atteggiamento proattivo e essersi impegnato al massimo per implemen-tare un sistema di gestione della privacy.di una azienda e migliorarne sia la reputazione che l’efficienza nella gestione della clientela e dei fornitori.

L’adeguamento al Regolamento europeo richiede un approccio multidisciplinare: l’azienda deve ideare un vero e proprio modello di gestione privacy, sulla base di una progettazione che consideri in modo adeguato i dati personali effettivamente trattati dall’azienda.
Non è possibile utilizzare l’approccio del “copia-incolla” senza un’attenta analisi delle conseguenze per la propria realtà.
La gestione della privacy non si limita alla creazione della modulistica o alla gestione della sicurezza in-formatica. L’adeguamento al Regolamento Europeo Privacy può migliorare la gestione dei dati all’interno di una azienda e migliorarne sia la reputazione che l’efficienza nella gestione della clientela e dei fornitori.