Tra pochi giorni si avviano i controlli sulla normativa GDPR, ma potrebbero slittare di 6 mesi

GDPR è davvero arrivato.

A confermarlo è l’ultima notizia data da Facebook che sposta 1,5 mld di utenti extra-UE da Irlanda a USA . Questo solo per dirvi che portata ha l’entrata in vigore, o meglio, l’inizio dei controlli del GDPR (General Data Protection Regulation). Ma andiamo con ordine e chiariamo che cos’è, chi riguarda e come provvedere.

1 – Perché nasce il GDPR?A differenza di quanto si possa pensare, lo “scandalo” Cambridge Analytica sulla violazione dei dati degli utenti Facebook, non c’entra nulla, tant’è che l’UE pensa al miglioramento del trattamento dei dati già da diversi anni. In ogni caso, è sicuramente un Regolamento di cui gli italiani e gli europei saranno contenti dato che secondo la piattaforma Marketing SEMrush, nell’ultimo mese in Italia circa 22 mila persone hanno chiesto a Google “come eliminare l’account Facebook”, mentre quasi 40 mila hanno cercato informazioni su “come cancellarsi da Facebook”.

Il GDPR nasce come risposta all’evoluzione tecnologica e ai nuovi modelli di crescita economica ed è un documento che liquiderà le nostre direttive sulla protezione dei dati che risalgono al 1995, anche se su molti punti vi è una certa continuità.

La ratio è quella di andare a rafforzare il controllo dei dati da parte degli utenti che entrano in contatto con le aziende, (clienti, dipendenti, Fornitori e qualunque altra entità che fornisca dati riservati).

 

2- Da quando viene applicato il Regolamento?

 Il regolamento UE 2016/679 conosciuto anche come General Data Protection Regulation o GDPR è in vigore dal 27 Aprile 2016, e le sanzioni e i controlli  sarebbero iniziati dal 25 Maggio 2018, (entrata in vigore del decreto di adeguamento). Notizia dell’ultima ora, però, informa che il Garante della Privacy differirà di 6 mesi l’inizio dei controlli, molto probabilmente per la risposta data da circa metà delle aziende italiane che si dichiarano non ancora pronte al provvedimento, (Fonte Corcom).

 

3- Quali aziende devono conformarsi alla normativa?

Tutte le aziende che operano all’interno dell’Europa, offrendo servizi e prodotti, saranno quindi, tenute a rispettare queste nuove regole.

 

4 – I termini base da cui partire:

 Il regolamento regola il trattamento dei dati personali ed indica in maniera specifica che cosa s’intende per “dato personale” e per “trattamento”:

Dato personale: è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

 

5 – La privacy di chi viene protetta?

L’articolo 1 del Regolamento precisa che ad essere protetti sono solo i diritti e le libertà fondamentali delle persone fisiche;  esclusivamente nell’ambito delle attività commerciali e professionali; (non riguarda quindi il trattamento dei dati se è effettuato da una persona fisica in ambito personale o domestico, o quando  il trattamento dei dati è effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.

Il Regolamento non trova quindi applicazione quando i dati si riferiscono ad una persona giuridica.

 

6 – Le caratteristiche dei dati raccolti:

 L’ articolo 5 Regolamento 2016/679  stabilisce che i dati personali devono essere:

  1. trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  2. raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
  3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  4. esatti e, se necessario, aggiornati; devono quindi essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
  5. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  6. trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

 

7 – Il trattamento dei dati dev’essere lecito

 Il trattamento è lecito solo se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità oppure per casi in cui la persona fisica è parte di un contratto, legalmente responsabile, nel caso il trattamento sia obbligatorio per pubblico interesse ecc. Per i casi di liceità c’è una sostanziale continuità con il precedente codice della privacy.

Per il trattamento automatizzato, compresa la profilazione, il consenso dell’interessato deve essere “esplicito”. Attenzione, ciò non significa che deve essere per forza ed unicamente scritto, anche se sarebbe una prova più facile da fornire e l’unica inequivocabile. Non è quindi ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).

Inoltre, “se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”.

 

8 – Sanzione in caso di violazione dei dati personali:

 Anche se i controlli sono stati posticipati è meglio adeguarsi per tempo alla normativa viste le sanzioni applicate.

In caso di non conformità al GDPR, viene prevista una sanzione fino al 4% del fatturato globale annuo o massimo 20 milioni di euro, si applica la maggiore fra le due. Inoltre, il responsabile del trattamento dei dati è PENALMENTE RESPONSABILE.

 

9 – Consenso trattamento dei dati raccolto prima del 25 maggio 2018:

 Il Consenso ottenuto ai sensi della direttiva 95/46/CE (in pratica la normativa italiana vigente fino ad oggi) non deve essere necessariamente riformulato e riottenuto. Il Gruppo di lavoro riconosce che “il consenso … ottenuto fino ad oggi continua ad essere valido nella misura in cui è in linea con le condizioni stabilite nel GDPR”.

 

10- COSA FARE?

 Cosa deve fare la tua azienda?

  • Si consiglia per ogni azienda nominare un Responsabile della Protezione dei Dati (RPD) che deve essere adeguatamente formato e a cui spetta l’incarico di fornire informazioni relative alla propria attività ai diretti interessati (figura obbligatoria solo per determinate aziende);
  • Presupposto del trattamento dei dati è il ricevere dal diretto interessato un consenso libero, specifico ed informato. Il regolamento elenca le informazioni minime è necessario offrire al soggetto al fine di ottenere il suo consenso al trattamento:
  • Tenere il registro dei trattamenti: il registro dei trattamenti è una delle principali novità del GDPR ed è uno dei principali strumenti per governare direttamente i dati. E’uno strumento onnicomprensivo attraverso cui conoscere gli aspetti principali di ogni trattamento che viene eseguito sui dati degli interessati. In pratica si tratta di un adempimento formale che fornisce una prima indicazione rispetto al fatto che il titolare responsabile operi in conformità al GDPR. In caso di controlli dal Garante della Privacy, il registro è uno dei primi documenti richiesti. Il regolamento infatti si basa sul principio dell’accountability, per cui sarà il titolare o il responsabile del trattamento a dover garantire che la gestione dei dati viene eseguita in conformità alla normativa.P.S.Il registro non deve essere tenuto da aziende con meno di 250 dipendenti che:
  • -non realizzano trattamenti che possono presentare un rischio per diritti e libertà degli interessati;
  • -Realizzano un trattamento occasionale;
  • -Realizzano trattamenti che non includano dati di cui all’art. 9.1 del Regolamento (dati particolari e dati personali giudiziari)
  • Non adottare soluzioni improvvisate e avvalersi di consulenti e partner IT preparati per stendere il piano d’azione migliore e ottimizzare gli investimenti necessari.

 

11- CHI DEVE NOMINARE IL RDP (O DPO)

La figura dell’RPD Responsabile per la Protezione dei Dati (o secondo l'acronimo inglese ormai invalso, DPO) non è obbligatorio ma viene consigliato in modo cautelativo, per il Regolamento (art. 37), la nomina del DPO è obbligatoria:
a) se il trattamento è svolto da un'autorità pubblica o da un organismo pubblico, con l'eccezione delle autorità giudiziarie nell'esercizio delle funzioni giurisdizionali; oppure
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro "Articolo 29", così come il Garante italiano, incoraggiano un tale approccio "cautelativo".

scarica l'alleato Regolamento-europeo-per-la-protezione-dei-dati.pdf