Cosa devi sapere
Il GDPR (General Data Protection Regulation, Regolamento europeo sulla protezione dei dati) è un regolamento europeo che affronta e rinnova, in maniera organica, la tematica della tutela della privacy e della protezione dei dati personali.
Il Regolamento è entrato in vigore nel 2016 ed è direttamente applicabile in tutti gli Stati dell’Unione europea a partire dal 25 maggio 2018.
Nella sostanza il concetto di privacy è stato ridisegnato introducendo norme specifiche su modalità di trattamento dei dati, diritti dei soggetti interessati, chi è responsabile dei dati, modalità di comunicazione di eventuali violazioni subite, sanzioni per l’infrazione del regolamento. Per essere conformi al GDPR le aziende devono prepararsi in anticipo, rivedendo le proprie policy e, se necessario, adeguandole alle richieste del regolamento. Nel seguito sono illustrati i punti chiave del GDPR, che hanno un impatto operativo sulle società che raccolgono o trattano dati di cittadini europei.
Data Protection Officer (Responsabile della protezione dei dati)
Gli enti pubblici e le aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala” dovranno nominare un Data Protection Officer, che avrà il compito di garantire la conformità dell’azienda al GDPR.
La Guida del Garante Privacy all’applicazione del regolamento Ue in materia di Protezione dei Dati Personali, fornisce un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti a partire dal 25 maggio 2018, data della sua entrata in vigore.
Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).
Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci.
Consenso esplicito obbligatorio
Per i dati sensibili il consenso deve essere esplicito; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione). Il consenso non deve necessariamente essere per iscritto, anche se la forma scritta del consenso resta inequivocabile. Inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni e può essere abbassato a 13 anni dalla normativa nazionale. Non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
Il consenso raccolto prima del 25 maggio 2018 resta valido se ha le caratteristiche sopra menzionate, altrimenti è opportuno raccoglierlo nuovamente. La richiesta di consenso deve essere chiaramente distinguibile da altre richieste e dichiarazioni rivolte all’interessato.
Informativa, la profilazione va dichiarata
I contenuti dell’informativa sono più ampi rispetto al Codice Privacy. Il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della Protezione Dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, se trasferisce i dati in Paesi terzi e se lo fa con quali strumenti. Il titolare deve specificare il periodo di conservazione dei dati e il diritto di presentare reclamo all’autorità di controllo. L’informativa deve specificare se il trattamento prevede processi decisionali automatizzati (compresa la profilazione), indicando la logica dei processi automatizzati e le conseguenze previste per l’interessato.
In linea di principio, l’informativa deve essere data per iscritto e preferibilmente in formato elettronico. L’informativa va fornita all’interessato prima di effettuare la raccolta dei dati.
Diritti dell’interessato
Il termine per la risposta all’interessato che esercita i suoi diritti (stabiliti in generale negli articoli 11 e 12 del regolamento) è di un mese, estendibile a 3 mesi in casi particolarmente complessi. Il titolare del trattamento deve facilitare l’esercizio dei diritti dell’interessato. Deroghe ai diritti dell’interessato sono ammesse in particolare per quanto riguarda il diritto alla cancellazione/oblio, trattamenti di natura giornalistica e trattamenti per finalità di ricerca scientifica o storica o di statistica.
Diritto di accesso
Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. I titolari possono consentire agli interessati di consultare da remoto e in smodo scuro i loro dati.
Rafforzato il diritto all’oblio
Il diritto all’oblio è rafforzato. Si prevede l’obbligo per i titolari di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi qualsiasi “link, copia o riproduzione”.
Diritto di limitazione del trattamento (novità)
Si tratta di un diritto diverso dal blocco del trattamento, che l’interessato può chiedere in attesa di una rettifica dei dati da parte del titolare.
Diritto alla portabilità dei dati (novità)
Si tratta di un nuovo diritto previsto dal regolamento, analogo in un certo senso alla number portability in ambito Tlc. Sono portabili soltanto i dati automatizzati (la data portability non si applica agli archivi o registri cartacei) e trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato e forniti dall’interessato al titolare (ad esempio in ambito bancario). Il titolare deve essere in grado di trasmettere i dati ad un altro titolare, se tecnicamente possibile, per questo dovrà mettersi nelle condizioni di poter produrre i dati in formato interoperabile.
Titolare, responsabile, incaricato del trattamento
Il regolamento disciplina la contitolarità del trattamento, le caratteristiche con cui il titolare designa un responsabile del trattamento con un contratto specifico, consente la nomina di sub-responsabili del trattamento. Prevede obblighi specifici in capo al responsabile del trattamento, primo fra tutti la tenuta del registro dei trattamenti svolti; l’adozione di misure tecniche e organizzative idonee per garantire la sicurezza dei trattamenti, la designazione di un RPD-DPO.
Anche il responsabile di trattamento non stabilito nella Ue dovrà designare un rappresentante in Italia.
Valutazione d’impatto e accountability di titolari e responsabili
Il regolamento pone l’accento sul principio di responsabilizzazione (accountability) di titolari e responsabili, in base ai criteri di privacy by default e by design, in base alla necessità di prevedere fin dall’inizio i requisiti necessari per rispettare il regolamento e tutelare i diritti degli interessati. In questo senso, il responsabile dovrà svolgere valutazioni d’impatto sui rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di adottare per mitigare i rischi.
Registro dei trattamenti (fondamentale)
Tutti i titolari e responsabili di trattamento, eccezion fatta per gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento.
Notifica delle violazioni di dati personali (72 ore per i data breach)
Tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza entro 72 ore e comunque senza ingiustificato ritardo ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Responsabile della protezione dei dati (DPO profilo centrale)
La sua designazione è una novità in ottica di accountability. Questa figura è finalizzata a semplificare l’attuazione del regolamento da parte del titolare/responsabile.
Trasferimenti dati verso Paesi terzi
Il trasferimento verso un Paese terzo adeguato è consentito anche senza l’autorizzazione nazionale, che tuttavia sarà ancora necessaria da parte del Garante se un titolare desidera usare clausole contrattuali ad hoc (cioè non riconosciute come adeguate tramite decisione della Commissione Ue).