Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

GDPR e il Nuovo Regolamento europeo privacy e data protection: cosa cambia

La nuova normativa sulla protezione dei dati personali ha introdotto delle rilevanti novità che si ripercuotono sull’operato lavorativo di ogni professionista, azienda o società, sia di diritto pubblico sia di diritto privato.

In questo articolo scopriremo quali sono queste novità e perché è fondamentale non farsi trovare impreparati.

Già da qualche tempo prima dell’entrata in vigore di ciascuna nuova disposizione in materia di trattamento e libera circolazione dei dati personali si è parlato tanto di GDPR (General Data Protection Regulation), ma non tutti avevano e hanno ben chiaro cos’è cambiato davvero.

Nelle prossime righe proponiamo una guida su tutto ciò che bisogna realmente sapere.

Dove si applica e perché è nato il GDPR

Il Regolamento U.E. 2016/679, più conosciuto come G.D.P.R., è direttamente applicabile negli Stati membri dell’Unione Europea, in via ufficiale, a partire dal 25 maggio scorso (in quanto, a differenza di quanto avviene per una direttiva, un regolamento è direttamente applicabile – self executing – in ciascuno dei paesi parte dell’U.E., senza alcuna necessità di recepimento del medesimo, tramite apposita legge, da parte degli stati membri) ed è nato con l’obiettivo di armonizzare e semplificare le norme sul trasferimento dei dati personali, apportando, al contempo, una protezione decisamente più efficace dei medesimi.

Destinatari di questo regolamento sono tutti quei soggetti (persone fisiche o persone giuridiche) che svolgano attività di trattamento di dati personali.

Tali soggetti possono compiere la suddetta attività in qualità di “titolari del trattamento dei dati” o di “responsabili del trattamento dei dati”, a seconda che siano loro, o meno, a definire le finalità dello stesso trattamento.

Tra le numerose novità apportate dalla normativa, vi è l’introduzione della figura del Responsabile della Protezione dei Dati (o Data Protection Officer), il quale al di là di alcune ipotesi di nomina obbligatoria, può essere designato dal Titolare o dal Responsabile del trattamento, quale strumento volto a garantire la conformità al GDPR. Questa figura, infatti, oltre a svolgere funzioni di consulenza, formazione, sorveglianza e assistenza, funge da referente e punto di contatto nei rapporti con il Garante per la protezione dei dati personali.

Con il concetto di “dati personali” si fa riferimento a tutte quelle informazioni riconducibili, direttamente o indirettamente, a una persona fisica, determinata o determinabile. Non si tratta, dunque, solamente di dati anagrafici, ma anche di ulteriori tipologie, quali i dati di contatto (es. numero di telefono e indirizzo di posta elettronica), i dati biometrici (es. riproduzioni fotografiche della persona e impronte digitali), le abitudini alimentari e qualunque ulteriore genere di preferenza personale.

Taluni di questi dati sono definiti “sensibili” (ora “particolari”, ai sensi del G.D.P.R.) e, insieme ad ulteriori categorie speciali, sono soggetti ad una maggiore tutela.

Per di più, partendo dal presupposto che l’archiviazione dei dati personali costituisce, sostanzialmente, attività di trattamento, è facile comprendere come una qualunque banca dati (quali, ad esempio, le anagrafiche inerenti a clienti, dipendenti e fornitori, le registrazioni di sistemi di videosorveglianza o la gestione di un sito web), purché non relativa a dati anonimi, sia anch’essa soggetta alle prescrizioni del GDPR.

Le principali novità del Regolamento UE 2016/679

Il GDPR, composto da 99 articoli, introduce alcune novità volte a tutelare maggiormente i soggetti interessati:

  • Il diritto all’oblio, in virtù del quale è possibile richiedere, in determinati casi, la cancellazione o la deindicizzazione dei dati personali anche in relazione al trattamento svolto da siti web o da a motori di ricerca;
  • Il diritto di accesso, grazie al quale i cittadini possono venire a conoscenza di ogni dettaglio relativo al trattamento dei propri dati personali;
  • La portabilità dei dati, attraverso la quale l’interessato può chiedere copia integrale dei dati che lo riguardano, chiedendo persino che vengano trasferimenti ad un soggetto diverso.

Quelle sin ora rappresentate costituiscono solamente una parte delle novità introdotte dal G.D.P.R. Nei successivi paragrafi vengono illustrati alcuni degli ulteriori aspetti rilevanti da considerare con attenzione relativamente alla protezione dei dati personali.

Stop al “burocratese” per il consenso al trattamento dati

L’art. 7 del GDPR fa riferimento a un aspetto molto importante: il consenso al trattamento dei dati.

È infatti un principio fondamentale acquisire tale consenso; quello che la nuova normativa impone è che (per le ipotesi nelle quali sia prevista come obbligatoria la raccolta del consenso) se un’impresa già dispone di dati per i quali non era stato dato o richiesto il consenso, andrà fatta una apposita richiesta all’interessato (si parla di consenso esplicito).

Inoltre, è necessario che l’informativa relativa alle modalità di trattamento dei dati sia formulata in modo chiaro, comprensibile e facilmente accessibile a chiunque, con l’adozione, quindi, di un linguaggio semplice e con modalità chiare. Oltretutto, dovrà spiegare la finalità e il motivo per cui venga utilizzata una certa informazione, nonché indicare per quanto tempo i dati verranno conservati, il che rappresenta un utile strumento di valutazione e analisi prima di fornire i propri dati, minimizzando il rischio di diffusione di informazioni private o confidenziali.

Cos’è il data breach

Una delle novità di maggior impatto è rappresentata dall’obbligo di notifica all’autorità di controllo competente (entro 72 ore dal momento della scoperta) di ogni violazione della sicurezza dei dati personali (data breach). Tale eventualità ricorre a seguito di un qualsiasi evento (ad esempio, attacco informatico, violazione fisica di archivi cartacei, smarrimento o furto devices quali pc, tablet o smartphone) che possa potenzialmente presentare un rischio per i diritti e le libertà delle persone fisiche.

Inoltre, eccezion fatta per talune ipotesi particolari, qualora il data breach possa comportare un rischio elevato per gli interessati, il Titolare del trattamento è altresì tenuto a dare comunicazione ai medesimi, senza ingiustificato ritardo.

In questo modo, grazie all’implementazione di protocolli gestionali che tengano conto di tale procedura, sarà sempre possibile tracciare e indagare su ogni singola violazione tutelando, al contempo, i diritti e libertà delle persone fisiche.

Funzioni del D.P.O. e del Responsabile del Trattamento dei Dati

Tra le figure istituite dal GDPR spicca senza dubbio quella del Data Protection Officer (anche Responsabile della Protezione Dati), si tratta di un esperto che, collaborando con l’autorità di controllo, ha il compito di sorvegliare sulla correttezza degli adempimenti e delle procedure previste dal regolamento in questione, in quanto in possesso di una formazione adeguata in tal senso.

Tale figura, che può essere nominata sia dal Titolare sia dal Responsabile del trattamento, ha alcuni compiti specifici, indicati dal G.D.P.R., quali, il dovere di informare e fornire consulenza, di sorvegliare l’osservanza del regolamento, di sensibilizzare e formare il personale, di fornire un parere sulla valutazione d’impatto per la sicurezza dei dati, nonché di cooperare e fungere da punto di contatto per il Garante per la protezione dei dati personali.

Tale ruolo può essere ricoperto sia da un soggetto interno, appositamente designato, sia da un consulente esterno.

Il Responsabile del Trattamento dei Dati, invece, è quel soggetto, persona fisica o persona giuridica, che tratta i dati per conto del Titolare. Tale incarico comporta l’obbligo di trattare i dati solo sulla base delle indicazioni fornite (e documentate) da quest’ultimo. Di conseguenza, il Titolare può ricorrere unicamente a quei Responsabili che prestino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti sanciti dal G.D.P.R. ai fini della tutela dei diritti dell’interessato.

Cosa succede in caso di violazione del regolamento

Al fine di assicurare il rispetto del Regolamento anche da parte delle aziende leader nel settore dei servizi informatici (veri e propri colossi dal punto di vista economico-finanziario), il Legislatore europeo ha notevolmente innalzato le sanzioni conseguenti ad eventuali violazioni del Regolamento.

Le sanzioni variano ora in funzione dell’entità della violazione e possono essere così classificate:

  • Le sanzioni più lievi consistono in una multa fino a un massimo di 10 milioni di euro o, nel caso di imprese, del 2% del fatturato (qualora sia superiore a tale cifra);
  • Le sanzioni più gravose consistono in una multa fino a un massimo di 20 milioni di euro o, per le imprese, del 4% del fatturato (qualora sia superiore a tale cifra).

Per intenderci, le sanzioni più lievi sono comminate in caso di violazioni di principi che non rientrano tra quelli fondamentali, come in caso di assenza di misure idonee ad assicurare un più che soddisfacente standard di sicurezza.
Quelle più gravose sorgono in corrispondenza della violazione di principi fondamentali, come il diritto all’oblio e la trasparenza nella richiesta del consenso dei dati.