GDPR: Come adeguarsi alla nuova PRIVACY senza STRESS e senza correre RISCHI
In data 25 Maggio 2018, entra in vigore il nuovo regolamento europeo per la protezione dei dati personali, GDPR. Non è il caso di farsi trovare impreparati.
E’ necessario adeguare quanto prima la tua azienda alla Nuova Normativa Europea in materia di Protezione dei dati personali.
Vediamo in questo approfondimento quali sono le cose da sapere e i passi necessari all’adeguamento.
- Che cosa significa GDPR?
Tale è appunto l’acronimo di GENERAL DATA PROTECTION REGULATION. Il GDPR nasce in ambito europeo e si esplica attraverso il Regolamento UE 679 del 2016. Tale fonte normativa è composta da 99 articoli preceduti da 173 “considerando”. Il regolamento a differenza di altre fonti di diritto europeo trova immediata applicazione negli stati membri senza che vi sia necessaria una legge nazionale di recepimento. In altri termini è legge a tutti gli effetti e di conseguenza la sua violazione comporta sanzioni. In questo caso “salatissime”.
- Che cosa si intende per dati personali?
I dati personali sono tutte quelle informazioni che identificano una persona fisica o comunque la rendono identificabile.
A titolo meramente esemplificativo possiamo considerare dati personali:
- Nome e Cognome
- Indirizzo e-mail personale
- indirizzo IP
- Numero di Telefono
- Contatto Skype
Rientrano altresì nei dati personali tutte le informazioni che possono fornire dettagli sulle abitudini delle persone fisiche, lo stile di vita, le caratteristiche, lo stato di salute, la situazione economico sociale, le relazioni personali ecc…
- Che cosa si intende per trattamento di dati?
Il regolamento europeo all’art. 4, n.2) definisce il trattamento di dati: “come qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distrazione.”
- Posso prevedere dei modelli e delle informative standard?
Una modulistica standard è incompatibile con la logica normativa sottesa al GDPR. Il regolamento europeo ha l’obiettivo di responsabilizzare il titolare del trattamento dei dati. La responsabilizzazione per cosi dire “ad personam” ha il fine di garantire la massima protezione dei dati attraverso l’adozione di misure adeguate rispetto alla singola realtà aziendale.
- Quali sono i principi quindi da seguire per perseguire le finalità normative?
- Principio di Responsabilizzazione
Il titolare del trattamento e il responsabile del trattamento devono adoperarsi in maniera tale da garantire la tutela dei dati personali. Non sono previste in seno al regolamento misure particolari da seguire. Sarà onere di questi soggetti, con riferimento alla propria realtà aziendale, predisporre dei meccanismi utili al preseguimento dell’obiettivo principe: che è appunto la tutela dei dati personali.
- Principio di Minimizzazione
I dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario per il raggiungimento delle finalità aziendali. La minimizzazione non opera solo sul profilo quantitativo dei dati trattati, ma anche su chi ne fa uso. Si dovrà quindi evitare l’accesso a membri del team aziendale che di fatto non operano su tali dati al fine di svolgere le proprie mansioni.
- Principio di Anonimizzazione
Anonimizzare significa rendere un dato anonimo, e quindi non riconducibile ad alcuna persona fisica. Nel momento in cui non è più necessario conservare dati di persone fisiche si dovrà dare adito a processi irreversibili affinché le informazioni trattate perdano il collegamento e/o la riferibilità al singolo.
- Quali sono i ruoli e chi sono i protagonisti?
- Titolare del trattamento
Il titolare del trattamento è il soggetto – persona fisica o giuridica – che decide modalità e finalità del trattamento dei dati. Il titolare del trattamento nomina il responsabile del trattamento.
- Responsabile del trattamento
Chi materialmente, persona fisica o giuridica, tratta i dati personali per conto del titolare del trattamento.
- DPO – Data Protection Officer
È il responsabile della protezione dei dati. Tale soggetto deve avere conoscenze specifiche della normativa. Esistono ipotesi, disciplinate dall’art. 37 del regolamento in cui la nomina è obbligatoria. Niente vieta la nomina fuori dalle ipotesi di obbligatorietà. A norma di regolamento il DPO dovrà in ogni caso essere nominato quando:
- Se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
- Se le attività principali del titolare del trattamento o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- Se le attività principali del titolare del trattamento o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Merita sottolineare che al momento sarà necessario attendere interventi chiarificatori al meglio di definire i concetti espressi nella normativa.
- Cosa devo fare per adeguare la mia azienda?
E’ bene specificare e sottolineare nuovamente come l’adeguamento non sia un’operazione una tantum, bensì un processo in continua evoluzione. Ciò al quale il titolare del trattamento deve prestare continua attenzione è la finalità perseguita dalla norma. I processi e le procedure dovranno cosi essere in continua evoluzione ed in linea con la realtà aziendale. Un continuo dinamismo quindi e non lo svolgimento di un singolo adempimento prima dell’entrata in vigore della norma. Il titolare del trattamento avrà cosi l’onere del monitoraggio, controllo e continuo adeguamento.
- Chi sono gli interessati e quali sono i loro diritti?
Gli interessati sono le persone fisiche datrici dei loro dati personali. Tra i diritti che vengono loro riconosciuti rientrano ad esempio:
- Il diritto a non essere profilati automaticamente
Quindi il potersi opporre a sistemi di profilazione dei dati basati unicamente su processi interamente automatizzati;
- Il diritto alla portabilità dei dati
Ottenere la restituzione dei dati o chiederne la trasmissione ad altro titolare;
- Il diritto all’oblio
Ottenere la cancellazione delle informazioni detenute dal titolare del trattamento.
Le informazioni da rilasciare all’interessato sono elencate negli articoli 13 e 14 del regolamento. Sicuramente la situazione migliore per il titolare si delinea in presenza del consenso esplicito dell’interessato al trattamento dei propri dati.
- Che cosa significa DATA BREACH?
Il Data Breach è la violazione dei dati. La violazione in termini di sicurezza comporta la distruzione, perdita, modifica, divulgazione non autorizzata dei dati conservati o trattati. Non fa differenza se la violazione è avvenuta accidentalmente o in modo illecito.
Al verificarsi della violazione il Titolare del trattamento dovrà senza indugio informare l’interessto e l’autorità di controllo. Tali procedimento è indicato e descritto nelle sue modalità agli artt. 33 e 34 del Regolamento.
- Quali sono le sanzioni se non sono in regola con il GDPR?
L’art.83 del regolamento Europeo prevede le seguenti sanzioni:
- Un richiamo verbale in caso di una prima inadempienza NON INTENZIONALE;
- Sanzioni fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, in caso di violazione (fra l’altro) degli obblighi del titolare del trattamento e del responsabile del trattamento;
- Sanzioni fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, in caso di violazione (fra l’altro) dei principi di base del trattamento, comprese le condizioni relative al consenso, dei diritti degli interessati, delle regole sui trasferimenti di dati personali a un destinatario in un paese terzo.
- Come extrema ratio (e in linea con quanto previsto dall’art.58), le autorità di controllo possono avvalersi di una serie di interventi correttivi, come la possibilità di limitare e addirittura vietare il trattamento dei dati alle aziende inadempienti.
L’art. 84 sancisce inoltre che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive”.