Gli interventi formativi e le pubblicazioni contenenti i passaggi decisivi e le conseguenze pregiudizievoli previste dal regolamento europeo non sono certo stati esigui in tutti questi mesi, eppure negli operatori permane ancora incertezza sul percorso da intraprendere verso la compliance al GDPR. La preoccupazione è ben comprensibile in quanto il GDPR rappresenta una vera e propria svolta epocale che porta le aziende a prevedere un nuovo sistema, inspirato alla trasparenza, alla legalità ed alla correttezza nel trattamento dei dati personali.
Il punto di partenza è senza dubbio la consapevolezza. L’adeguamento ai nuovi adempimenti deve essere frutto di presa di coscienza da parte del responsabile del trattamento e/o responsabile in ordine ai nuovi obblighi ed alle sanzioni che a breve diverranno applicabili. Vediamo quindi cosa cambierà.
Vedi il regolamento: General Data Protection Regulation
A CHI SI APPLICA IL REGOLAMENTO?
Il GDPR si applica a qualsiasi organizzazione nell’Unione Europea che tratti dati personali, indipendentemente dal fatto che l’organizzazione abbia una presenza nell’Unione europea o dal fatto che il trattamento sia condotto all’interno dell’Unione europea.
Pertanto, se l’azienda raccoglie, archivia, gestisce o analizza dati personali di qualsiasi tipo, inclusi gli indirizzi email, è probabile che sia tenuta all’applicazione del GDPR.
COSA CAMBIA CON IL GDPR?
Rispetto al passato, il principale cambiamento è costituito dall’obbligo di reimpostare un processo sostanziale in base al concreto rischio collegato al trattamento dei dati.
La Protezione dei Dati Personali all’interno di un’organizzazione aziendale non costituirà più un semplice e formale adempimento, ma costituirà per l’azienda un punto di partenza importante per affermarsi sul mercato in modo altamente competitivo.
QUALI SONO LE PRINCIPALI NOVITA’?
Il GDPR stabilisce una serie di requisiti relativi al consenso, ai diritti individuali e al trattamento dei dati. In via non esaustiva si analizzano quelli più significativi
Consenso
Il consenso è fra i requisiti che il GDPR disciplina con maggiore attenzione e rigore. La nuova disciplina richiede che sia: informato ,esplicito, inequivocabile; libero; specifico; verificabile; revocabile.
Le organizzazioni hanno l’obbligo di presentare informazioni sul trattamento “in forma concisa, trasparente, intelligibile e facilmente accessibile, usando un linguaggio chiaro e chiaro” ( articolo 12 ). Laddove il trattamento dei dati si basa sul consenso, le organizzazioni necessitano del consenso esplicito degli individui e devono essere in grado di dimostrare che le persone hanno dato il consenso ( articolo 7 ).
Diritti riconosciuti agli interessati
Il GDPR estende la gamma dei diritti riconosciuti in capo agli interessati che sono i seguenti:
- Diritto di accesso (art.15) che prevede la possibilità di chiedere la verifica dell’utilizzo dei dati ed anche una copia degli stessi.
- Diritto di rettifica (art.16) che autorizza gli interessati a chiedere la correzione di dati personali inesatti;
- Diritto di cancellazione (art.17) nel caso in cui i dati non devono più essere elaborati per il motivo originale sono stati raccolti, opposizione al trattamento, obbligo di cancellazione derivante da un obbligo di legge, illiceità del trattamento;
- Diritto di limitazione del trattamento (art.18)
- Diritto alla portabilità dei dati (art.20) consegnati all’interessato in formato strutturato e di uso comune e leggibile per la trasmissione ad altro titolare del trattamento senza impedimenti del precedente;
- Diritto di Obiezione (art.21) rispetto al trattamento dei dati, alla profilazione ed al marketing diretto, salvo il caso previsto dal n.6.
L’informativa del trattamento dei dati personali
Le aziende che trattano dati hanno l’obbligo di fornire un’adeguata informativa, ai sensi dell’art.13 par.1 e 14 par.1 del GDPR. Tale informativa deve obbligatoriamente specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati (data retention) o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Riguardo la forma, il GDPR indica che sia resa in forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile per iscritto, preferibilmente in formato elettronico, ma è ammessa anche la forma orale purchè sia provata con altri mezzi l’identità dell’interessato. Particolari le prescrizioni previste per i minori
Cosa non cambia?
L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – art. 13 del regolamento). Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
IL TRATTAMENTO DEI DATI
Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento alla luce di alcuni criteri specifici indicati nel regolamento.
Il primo fra tali criteri è il “data protection by default and by design”, che impone di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
I soggetti che effettuano il trattamento
Cosa non cambia rispetto al D.Lgs 196/2003?
l regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).
I rapporti fra Titolare ed il Responsabile
Il Titolare è chi concretamente determina il modo in cui verranno utilizzati i dati personali, mentre il Responsabile chi elabora i dati personali per conto e sulle istruzioni del Titolare, ciascuno con le responsabilità specifiche di ciascuna parte sono stabilite negli articoli 24-43 .
I rapporti fra entrambi sono disciplinati dall’articolo 28 che stabilisce che fra i Titolari ed i Responsabili devono esserci contratti che definiscono l’ambito del trattamento. Questi contratti devono essere “scritti, anche in formato elettronico”.
DPO (ART.37)
E’ un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati adottate dal Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy.it/regolamentoue/DPIA). All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.
Dunque, l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia, con eventuale successiva consultazione dell’Autorità, tranne alcune specifiche situazioni di trattamento (vedi art. 36, paragrafo 5 del regolamento). Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” (l’erede dell’attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.
Registro dei trattamenti
Previsto dall’art. 30 per i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, si tratta in realtà di uno strumento fondamentale consigliabile a qualsiasi realtà aziendale. Rivela la sua utilità ai fini della dimostrazione dell’accountability, in caso di eventuale supervisione da parte del Garante, ma contribuisce a fornire quadro aggiornato dei trattamenti in essere all’interno di un’azienda. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Misure di sicurezza
Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Si richiama l’attenzione anche sulla possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate.
Tuttavia, l’Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni; inoltre, per alcune tipologie di trattamenti (quelli di cui all’art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all’art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.
Notifica delle violazioni di dati personali (Data Breach)
A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85).
La tua azienda ha bisogno di una consulenza? Ti guidiamo verso la compliance!
Le aziende non sono tutte uguali ed hanno necessità di un’analisi personalizzata che valuti l’effettiva consistenza del trattamento concretamente effettuato e le misure realmente necessarie da un punto di vista legale e tecnologico.