GDPR – Memorandum Privacy

CHE COS’E’ IL GDPR

Per GDPR (acronimo di General Data Protection Regulation) si intende il regolamento (UE) 2016/679 in materia di protezione e libera circolazione di dati personali, direttamente applicabile in tutti i paesi membri dell’Unione Europea a partire dal 25 maggio 2018, senza necessità di una legge di recepimento nazionale. Il regolamento ha abrogato la direttiva 95/46/CE, recepita in Italia con il D. Lgs 196/2003, Codice della Privacy.
Con il D. Lgs n. 101 del 10 agosto 2018, il Codice della privacy è stato aggiornato alla luce del GDPR.
Per trattamento di dati personali si intende qualsiasi operazione applicata a informazioni riguardanti una persona fisica identificata o identificabile (quali nome, numero di identificazione, dato relativo all’ubicazione, identificativo online…)

A CHI SI APPLICA IL GDPR?

Il GDPR si applica a chiunque svolga trattamento automatizzato di dati personali e trattamento non automatizzato di dati personali, e pertanto a qualsiasi realtà aziendale che necessariamente tratta dati personali di dipendenti, clienti, fornitori ecc.
Restano esclusi dal suo ambito di applicazione, ad esempio, i trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale.
Dal punto di vista territoriale il GDPR ha un ambito di applicazione più ampio rispetto alla direttiva 95/46/CE. Si applica cioè non solo ai trattamenti effettuati da parte di un titolare o responsabile stabilito nell’Unione Europea, ma anche ai trattamenti di dati personali di interessati che si trovano nell’Unione Europea effettuati da un titolare o responsabile che non è stabilito nell’Unione quando il trattamento riguarda:

a) l’offerta di beni o di servizi (indipendentemente dall’obbligatorietà di un pagamento)
b) il monitoraggio del loro comportamento se tale comportamento ha luogo nell’Unione Europea.

FAQ

Tutte le informative predisposte ai sensi del Codice della Privacy, prima dell’aggiornamento D. Lgs n. 101 del 10 agosto 2018, devono essere aggiornate alla luce dei contenuti previsti dall’articolo 13 del GDPR, per il caso in cui i dai personali siano raccolti presso l’interessato, e dall’articolo 14 del GDPR, per il caso in cui i dati personali non siano raccolti presso l’interessato.
In particolare il titolare del trattamento, nel momento in cui i dati personali sono ottenuti, dovrà fornire all’interessato una informativa concisa e facilmente intellegibile che indichi, tra l’altro, i dati di contatto del responsabile della protezione dei dati (DPO) se nominato, l’eventuale trasferimento dei dati personali al di fuori dell’Unione Europea e le relative garanzie, il periodo di conservazione dei dati o i criteri utilizzati per determinare tale periodo, il diritto dell’interessato di proporre reclamo a un’autorità di controllo.
Nel caso in cui i dati personali non siano stati ottenuti presso l’interessato, il titolare stesso deve inoltre informare l’interessato circa la fonte da cui hanno origine i dati personali e, se del caso, circa il fatto che i dati provengono da fonti accessibili al pubblico.

Il GDPR amplia i diritti riconosciuti all’interessato nei confronti del titolare con riferimento al trattamento di dati personali, introducendo, tra l’altro, il diritto alla portabilità dei dati e il diritto alla limitazione del trattamento.
In caso di esercizio di un diritto da parte dell’interessato il titolare deve dare riscontro senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di due mesi se necessario, tenuto conto della complessità e del numero delle richieste ma in questo caso il titolare deve informare l’interessato della proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta.
Nel caso in cui non ottemperi alla richiesta dell’interessato il titolare informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Se le richieste dell’interessato sono manifestamente infondate o eccessive il titolare del trattamento può addebitare un contributo spese ragionevole oppure rifiutare di soddisfare la richiesta. Grava ovviamente sul titolare l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

Il GDPR, nell’ambito del principio di responsabilizzazione che impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR, enuncia i principi di “privacy by design” e “privacy by default”.
Il principio di privacy by design si sostanzia in una modalità di riduzione del trattamento ex ante costituita dalla creazione di prodotti e servizi che tengano conto, sin dalla loro progettazione, delle regole e dei principi della protezione dei dati, in modo da minimizzare a priori la raccolta dei dati e il loro successivo trattamento.
Il principio di privacy by default si sostanzia nelle misure tecniche e organizzative adeguate a garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento.

Il responsabile della protezione dei dati personali (o data protection officer, DPO) è una figura introdotta dal GDPR. Deve essere obbligatoriamente nominato, oltre che dalle amministrazioni ed enti pubblici, da tutti i soggetti che svolgono quale attività principale trattamenti che per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o che svolgono, sempre su larga scala, trattamento di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Le imprese non ricadenti nelle categorie sopra descritte restano libere di nominare o meno il DPO. Il DPO deve essere designato in base alle proprie competenze professionali e in particolare di un’adeguata conoscenza della normativa e della prassi di gestione dei dati personali. Può essere sia un dipendente del titolare del trattamento sia un consulente esterno ma deve in ogni caso godere di ampia autonomia e indipendenza, anche finanziaria, nell’espletamento dei propri incarichi, con rapporti diretti con i vertici aziendali. Il DPO ha, tra l’altro, il compito di: informare e consigliare il titolare o il responsabile del trattamento nonché i dipendenti in merito agli obblighi derivanti dal GDPR o dalle normativa nazionale in materia di protezione dei dati personali; verificare l’attuazione e l’applicazione del GDPR e delle altre disposizioni relative alla protezione dei dati personali, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale e i relativi audit; fungere da punto di contatto con il Garante della Privacy e con gli interessati, che potranno rivolgersi a lui anche per l’esercizio dei loro diritti.
Il GDPR introduce i registri del trattamento, volti a responsabilizzare il titolare (ed il responsabile, ove presente) nel trattamento dei dati. Sono obbligatori e devono essere redatti per iscritto (o su supporti informatizzati). Unitamente alla valutazione di impatto privacy, sono funzionali alla definizione delle misure di sicurezza dei trattamenti. Il contenuto dei registri comprende i dati dei soggetti che trattano i dati (responsabile, eventuale rappresentate ed eventuale DPO), le finalità del trattamento, le categorie dei dati personali e dei destinatari, eventuali trasferimenti dei dati presso paesi terzi, i termini di cancellazione dei dati e le misure tecniche ed organizzative. Non sono obbligatori per le imprese o le organizzazioni che hanno meno di 250 dipendenti a meno che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale oppure nel caso di dati personali “particolari”.
La valutazione dei rischi è un’analisi preventiva che il titolare deve svolgere in relazione ai pericoli che possono derivare, per gli interessati, dal trattamento dei dati. Detta valutazione deve tenere conto dell’eventuale distruzione accidentale o illegale dei dati, della loro perdita, modifica, rivelazione nonché delle conseguenze in caso di accesso non autorizzato ai dati personali trasmessi, conservati o comunque elaborati. Inoltre, l’analisi deve contemplare i possibili pregiudizi che possano derivare sia di natura materiale che immateriale. Da notare che si tratta, in ogni caso, di un adempimento diverso dalla valutazione preventiva di impatto. Le misure di sicurezza, tecniche ed organizzative, non sono elencate nel GDPR, ma devono essere parametrare allo stato dell’arte, ai costi di attuazione, alla natura, all’oggetto, al contesto ed alla finalità del trattamento nonché alla probabilità del rischio ed alla gravità per i diritti e le libertà delle persone fisiche. Tra tali misure, sicuramente rientrano la pseudonimizzazione, la cifratura dei dati e le misure idonee ad assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
In caso di violazione dei dati personali (c.d. data breach), a meno che sia improbabile il rischio per diritti e le libertà delle persone fisiche, è necessario provvedere notifica al Garante dei dati personali entro 72 ore dalla stessa, avendo cura di specificare la natura della violazione, le categorie e numero approssimativo di interessati e di registrazioni dei dati personali, i dati di contatto responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni, la descrizione probabili conseguenze della violazione e la descrizione misure adottate o proposte. Oltre a quanto sopra è necessario provvedere alla comunicazione all’interessato, a meno che si sia in grado di dimostrare l’adozione di misure tecniche e organizzative adeguate e di misure successive idonee ad evitare rischi elevati per i diritti e le libertà degli interessati. Nel caso in cui la comunicazione richiedesse sforzi sproporzionati è possibile procedere con comunicazione pubblica o con una misura simile.
La valutazione preventiva di impatto sostituisce l’obbligo generale di notificare al Garante il trattamento dei dati personali ed è richiesta quando il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.È, in ogni caso necessaria per i trattamenti automatizzati, compresa la profilazione, e sui quali si fondano decisioni che incidono significativamente sulle persone fisiche oppure nel caso di trattamenti su larga scala, di dati personali “particolari” o di dati relativi a condanne penali e a reati. In base al GDPR è inoltre richiesta in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico.Quanto al contenuto della valutazione stessa, il GDPR specifica che deve ricomprendere la descrizione sistematica dei trattamenti previsti, le finalità del trattamento, l’interesse legittimo perseguito dal titolare del trattamento, la valutazione della necessità e della proporzionalità dei trattamenti in relazione alle finalità, la valutazione dei rischi per i diritti e le libertà degli interessati e le misure di sicurezza previste.Se, all’esito della valutazione di impatto, il rischio per la protezione dei dati non è ragionevolmente attenuato mediante l’uso delle tecnologie disponibili oppure le misure per attenuare il rischio sono tecnologicamente o economicamente impraticabili, sarà necessario il ricorso alla consultazione preventiva.

Quali sono i rischi in caso di mancato adeguamento al GDPR?

In caso di mancato ottemperamento alle disposizioni del GDPR, potranno essere comminate sanzioni estremamente rilevanti: si parte da un importo che può arrivare sino 10 milioni di euro (oppure sino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore a 10 milioni di euro) sino, nei casi più gravi, a 20 milioni di euro (oppure sino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore a 20 milioni di euro).

Come essere in regola con la nuova normativa

È fondamentale agire tempestivamente in modo da valutare lo stato della società in termini adeguamento alla normativa sul trattamento dei dati personali ed implementare quanto necessario per essere conformi al GDPR.

Sarà quindi necessario, ad esempio:

L’attività di adeguamento alle previsioni del GDPR richiede specifiche competenze ed esperienza, oltre che un’approfondita conoscenza della materia.
Per tali motivi, Be Compliant si è dotato di un team privacy/data protection per assistere le imprese nel raggiungimento degli obiettivi, composto da professionisti di riconosciute capacità ed esperienza, costantemente aggiornati sulle novità legislative, dottrinali e giurisprudenziali e che contribuiscono con pubblicazioni, conferenze, convegni e tavole rotonde allo sviluppo dei migliori presidi.
Considerato, poi, che la privacy richiede continui aggiornamenti, assistenza informatica, supporto software e coperture assicurative, Be Compliant offre una rete di consulenti che permettono alle imprese – qualora richiesto – di ottenere anche un servizio “chiavi in mano”, con la possibilità di avere l’assistenza professionale anche nel periodo successivo all’implementazione dei presidi, in modo da mantenere efficace ed efficiente nel tempo l’acquisita protezione.