GDPR: tutto quello che c'è da sapere
- Regolamento europeo privacy
- A chi si applica il GDPR
- GDPR in sintesi
- Il DPO – Data Protection Officer
- I registri delle attività di trattamento
- GDPR: cosa fare per adeguarsi
- Normativa privacy
Regolamento europeo privacy
Il GDPR (acronimo di General Data Protection Regulation) è stato emanato nel 2016 (è infatti il regolamento UE 679 del 2016), ma è entrato in vigore il 25 maggio 2018. Esso pone molte nuove regole e importanti adempimenti che gli Stati membri devono rispettare.
In Italia, come vedremo meglio più avanti, la sua disciplina è stata completata con il decreto legislativo numero 101/2018, di adeguamento della normativa italiana alle norme europee.
GDPR testo
Scarica il testo del regolamento Gdpr pubblicato sulla Gazzetta Ufficiale dell'Unione Europea
A chi si applica il GDPR
Nell'analizzare il nuovo regolamento la prima cosa da fare è quella di individuarne il campo di applicazione.
Il GDPR, in particolare, ha un impatto su tutti i professionisti e le imprese che, a prescindere da dove si trovino, vengano in contatto con i dati personali dei cittadini europei.
Campo di applicazione materiale
Più tecnicamente, le nuove norme interessano tutti i professionisti e le imprese che trattano i dati personali delle (sole) persone fisiche in maniera interamente o parzialmente automatizzata o in maniera non automatizzata se i dati sono contenuti in un archivio o sono destinati a figurarvi.
Restano tuttavia esclusi dal campo di applicazione del GDPR:
- i trattamenti di dati personali che non rientrano nel campo di applicazione del diritto UE;
- i trattamenti di dati personali che sono effettuati dagli Stati membri nell'esercizio di attività rientranti nell'ambito della politica estera e di sicurezza comune;
- i trattamenti di dati personali che sono effettuati da una persona fisica nell'esercizio di attività a carattere esclusivamente personale o domestico;
- i trattamenti di dati personali che sono effettuati dalle autorità competenti con finalità di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, comprese la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
Campo di applicazione territoriale
Così definito il campo di applicazione materiale del Regolamento, va detto che lo stesso è circoscritto anche a livello territoriale, in quanto riguarda esclusivamente il trattamento dei dati personali effettuato nell'ambito delle attività poste in essere dal titolare del trattamento o da un responsabile del trattamento di uno stabilimento nell'Unione, anche se il trattamento è eseguito al di fuori dell'Unione.
Il GDPR, inoltre, si applica al trattamento dei dati personali di interessati che si trovano nell'Unione da parte del titolare o del responsabile del trattamento che non è stabilito nell'Unione, quando lo stesso riguarda:
- l'offerta di beni o la prestazione di servizi a tali interessati nell'Unione o
- il monitoraggio del comportamento tenuto dagli interessati all'interno dell'Unione.
Infine, l'applicazione del Regolamento si estende anche al trattamento dei dati personali effettuato dal titolare non stabilito nell'Unione ma in un luogo che è soggetto, in virtù del diritto internazionale pubblico, al diritto di uno Stato membro.
GDPR in sintesi
In sinstesi, in forza del Regolamento in vigore dal 25 maggio 2018, i dati personali:
- devono essere trattati nel rispetto dei principi di liceità (come esattamente individuata dall'articolo 6 del Regolamento), correttezza e trasparenza;
- devono essere raccolti per finalità determinate, esplicite e legittime e trattati in maniera compatibile con tali finalità;
- devono rispondere al principio di minimizzazione e, quindi, essere adeguati, pertinenti e limitati a quanto necessario per rispettare le finalità del trattamento;
- devono essere esatti e, quindi, eventualmente aggiornati;
- devono essere conservati in maniera da consentire l'identificazione degli interessati solo per il tempo necessario al conseguimento delle finalità del trattamento e per periodi più lunghi solo per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica, statistici;
- devono essere trattati in maniera tale che sia garantita una loro adeguata sicurezza.
Il consenso dell'interessato al trattamento
Tra i vari aspetti di carattere generale della nuova normativa, occorre inoltre soffermarsi sulle previsioni che regolamentano il consenso dell'interessato al trattamento.
Infatti, il GDPR stabilisce che l'onere di dimostrare che l'interessato ha prestato il proprio consenso al trattamento grava sul titolare, il quale deve avere cura di fornire una richiesta di consenso chiara. La richiesta, laddove la dichiarazione da far sottoscrivere all'interessato riguardi anche altre questioni, deve inoltre essere agevolmente distinguibile dalle altre materie, comprensibile, facilmente accessibile e fatta con un linguaggio semplice e chiaro.
Revoca del consenso
Nel caso in cui l'interessato revochi il proprio consenso (cosa possibile in qualsiasi momento con la stessa facilità prevista per dare il consenso), il trattamento effettuato prima della revoca resta comunque lecito e di tale circostanza l'interessato deve essere informato prima di esprimere il proprio consenso.
I diritti dell'interessato
L'interessato del trattamento è tutelato dal Regolamento con la previsione di diversi diritti, ovverosia:
- il diritto alla trasparenza circa le modalità con le quali sarà eseguito il trattamento;
- il diritto di ricevere dal titolare o dal responsabile del trattamento delle specifiche informazioni circa i propri dati;
- il diritto di accedere ai propri dati e di chiederne la rettifica o la cancellazione (cd. diritto all'oblio);
- il diritto a che il trattamento dei propri dati, in specifici casi e a specifiche condizioni, sia limitato;
- il diritto di opporsi al trattamento per specifici e documentati motivi;
- il diritto alla portabilità dei dati personali.
La portabilità dei dati personali
Con particolare riferimento a tale ultimo aspetto, va detto che il diritto a trasferire i propri dati da un titolare del trattamento a un altro non è tuttavia esercitabile se i dati sono contenuti in archivi di interesse pubblico (ad esempio nelle anagrafi) o se gli stessi vogliono essere spostati in paesi extra Ue o in organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.
Il diritto all'oblio
Un particolare approfondimento lo merita poi il cd. diritto all'oblio, che è il diritto dell'interessato a che il titolare del trattamento cancelli senza ingiustificato ritardo i suoi dati personali. Tale diritto, infatti, è esercitabile nelle seguenti ipotesi:
- i dati personali non sono più necessari rispetto alle finalità della raccolta o del trattamento;
- l'interessato ha revocato il consenso su cui si fonda il trattamento e quest'ultimo non ha altro fondamento giuridico;
- l'interessato si oppone al trattamento e non sussiste alcun motivo giuridico per procedervi comunque;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere a un obbligo legale cui è soggetto il titolare del trattamento;
- i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione.
Il DPO – Data Protection Officer
Il Regolamento ha introdotto poi una nuova figura, che assume un ruolo di primo piano nel nuovo sistema della privacy: il DPO – Data Protection Officer, al quale viene affidato il compito di garantire che le imprese e gli enti gestiscano i dati personali trattati in maniera corretta.
Il DPO (o responsabile della protezione dei dati), deve essere necessariamente nominato dal titolare e dal responsabile del trattamento nei seguenti casi:
- quando il trattamento è effettuato da un'autorità pubblica o un organismo pubblico diverso dalle autorità giurisdizionali nell'esercizio delle loro funzioni;
- quando le attività principali poste in essere dal titolare o dal responsabile del trattamento richiedono (per la loro natura, per il loro ambito di applicazione e/o per le loro finalità) il monitoraggio regolare e sistematico degli interessati su larga scala;
- quando le attività principali poste in essere dal titolare o dal responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a specifici reati.
DPO può essere sia un dipendente del titolare o del responsabile del trattamento, che un soggetto esterno chiamato ad assolvere i suoi compiti in base a un contratto di servizi. La scelta va fatta comunque tra soggetti che abbiano delle qualità professionali adeguate e che quindi conoscano in maniera specialistica la normativa e la prassi in materia di protezione dei dati personali e che siano in grado di assolvere i compiti affidati dal Regolamento al responsabile della protezione dei dati.
I compiti del DPO
Nel dettaglio, al responsabile della protezione dei dati sono affidati dei compiti ben precisi che lo rendono una figura che, sebbene non vada a sostituire nella loro centralità il titolare e il responsabile del trattamento, assume un ruolo chiave ai fini della tutela e della protezione dei dati personali.
Il DPO, infatti, deve:
- dare un adeguato supporto informativo e consulenziale al titolare del trattamento, al responsabile del trattamento e ai dipendenti incaricati del trattamento;
- sorvegliare che il Regolamento sia adeguatamente osservato e che siano rispettate anche le altre disposizioni dell'Unione o interne in materia di privacy e le politiche sulla protezione dei dati personali adottate dal titolare o dal responsabile del trattamento;
- essere disposto a fornire, su eventuale richieste, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento in conformità con il Regolamento;
- cooperare con l'autorità di controllo e fungere da punto di contatto per quest'ultima con riferimento alle questioni connesse al trattamento;
- effettuare, se necessario, delle consultazioni relative al trattamento.
I registri delle attività di trattamento
Altro aspetto di particolare rilievo del GDPR è rappresentato dall'introduzione di due registri fondamentali nella gestione dei dati personali.
Innanzitutto, ogni titolare del trattamento e, ove applicabile, il suo rappresentante sono onerati della tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità nel quale vanno riportati:
il nome e i contatti del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del DPO;
- le finalità del trattamento;
- la descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatario cui sono stati o saranno comunicati i dati personali raccolti;
- gli eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, con l'identificazione di tali soggetti e, ove necessaria, la documentazione delle garanzie adeguate;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati (ove possibile);
- la descrizione generale delle misure di sicurezza tecniche e organizzative (ove possibile).
Il responsabile del trattamento e, ove applicabile, il suo rappresentante sono invece onerati della tenuta di un registro delle categorie di attività svolte per conto di un titolare del trattamento.
In esso vanno riportati:
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale si agisce, del rappresentante del titolare del trattamento o del
- responsabile del trattamento e, ove applicabile, del DPO;
- le categorie dei trattamenti che sono stati effettuati per conto di ogni titolare del trattamento;
- gli eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale e, se del caso, la documentazione delle garanzie adeguate;
- una descrizione generale delle misure di sicurezza tecniche e organizzative (ove possibile).
Entrambi i registri devono essere tenuti in forma scritta, anche in formato elettronico.
GDPR: cosa fare per adeguarsi
Per adeguarsi alle previsioni del GDPR è quindi necessario eseguire alcune fondamentali azioni.
Innanzitutto, bisogna provvedere a predisporre i registri delle attività di trattamento.
Inoltre è fondamentale dotarsi di un Data Protection Officer, se si è tra i soggetti tenuti a provvedervi.
Chiaramente occorre poi stendere o adeguare la documentazione in materia di trattamento dei dati personali, per renderla completa e aggiornata alla luce delle prescrizioni introdotte dal Regolamento in vigore dal 25 maggio 2018, provvedendo anche a definire le politiche di sicurezza e di valutazione dei rischi. Il tutto senza dimenticare di individuare i diversi ruoli e le responsabilità dei soggetti che effettuano il trattamento.
Il mancato adeguamento e il mancato rispetto delle norme in materia di privacy introdotte dal GDPR può comportare l'applicazione di sanzioni di carattere sia amministrativo che penale.
Normativa privacy
Proprio le sanzioni applicabili in caso di inadempimento degli obblighi fissati per la protezione dei dati personali rappresentano uno degli aspetti principali del decreto legislativo numero 101 del 10 agosto 2018 (pubblicato in G.U. il 4 settembre 2018), che detta le disposizioni per l'adeguamento della normativa nazionale italiana sulla privacy alle disposizioni del GDPR.
Tale provvedimento, tra le altre cose, ha infatti fissato i casi di applicabilità delle sanzioni amministrative, il loro importo e il procedimento per la loro irrogazione, estendendo, rispetto a quanto fatto dal Regolamento europeo, le fattispecie che, invece, assumono rilevanza penale.
Altri aspetti di particolare rilievo del decreto 101 sono la fissazione a quattordici anni dell'età al raggiungimento della quale è possibile prestare personalmente il consenso al trattamento dei propri dati personali in relazione all'offerta diretta di servizi della società dell'informazione; l'incarico al Garante di promuovere delle modalità semplificate di adempimento degli obblighi di trattamento per le micro, piccole e medie imprese; la posticipazione delle informazioni di cui all'articolo 13 del GDPR al primo contatto utile in caso di CV inviato spontaneamente per l'instaurazione di un rapporto di lavoro; l'esercizio dei diritti in materia di privacy dettati dal regolamento riferiti ai dati personali di soggetti deceduti.
Per approfondimenti sul decreto italiano di adeguamento al GDPR e per consultarne il testo leggi: "Decreto privacy in Gazzetta"
Vedi anche la guida Diritto all'oblio
Data: 20/03/2018 12:38:00Autore: Valeria Zeppilli