GDPR Privacy: Cosa Cambia con il Nuovo Regolamento Europeo
La nuova normativa sulla protezione dei dati personali ha introdotto delle rilevanti novità a garanzia di questo diritto, novità che si ripercuotono sull’operato lavorativo di ogni professionista, azienda o società, sia di diritto pubblico sia di diritto privato.
Come ha messo in evidenza il Garante della Privacy italiano, con l’introduzione della normativa europea “cambia in maniera radicale l’approccio alla protezione dei dati: imprese ed enti dovranno operare seguendo il principio di responsabilizzazione”. Questi ultimi, nel corso delle loro attività, saranno dunque tenuti a operare nel rispetto di specifiche regole, sotto la vigilanza dell’Autorità di controllo, e a informare gli utenti in merito ai loro diritti e alle loro libertà.
In questo articolo, passando in rassegna il contenuto della normativa, scopriremo quali sono queste novità e perché è fondamentale non farsi trovare impreparati.
Già da qualche tempo, prima dell’entrata in vigore di ciascuna nuova disposizione in materia di trattamento e libera circolazione dei dati personali, si è parlato tanto di GDPR (General Data Protection Regulation), ma non tutti avevano e hanno ben chiaro cos’è cambiato davvero.
Nelle prossime righe proponiamo una guida su tutto ciò che bisogna realmente sapere.
Dove si applica e perché è nato il GDPR
Il Regolamento U.E. 2016/679, più conosciuto come G.D.P.R., è direttamente applicabile negli Stati membri dell’Unione Europea, in via ufficiale, a partire dal 25 maggio scorso (in quanto, a differenza di quanto avviene per una direttiva, un regolamento è direttamente applicabile – self executing – in ciascuno dei paesi parte dell’U.E., senza alcuna necessità di recepimento del medesimo, tramite apposita legge, da parte degli stati membri), anche se in futuro si renderà necessaria un’opera di adeguamento alle leggi vigenti in ciascuno stato.
Esso contiene specifiche istruzioni sul trattamento dei dati personali, ed è nato con l’obiettivo di armonizzare e semplificare le norme sul trasferimento dei dati personali (siano essi di formato digitale o meno), apportando, al contempo, una protezione decisamente più efficace dei medesimi.
Destinatari di questo regolamento sono tutti quei soggetti (persone fisiche o persone giuridiche) che svolgano attività di trattamento di dati personali.
Tali soggetti possono compiere la suddetta attività in qualità di “titolari del trattamento dei dati” o di “responsabili del trattamento dei dati”, a seconda che siano loro, o meno, a definire le finalità dello stesso trattamento.
Tra le numerose novità apportate dalla normativa, vi è l’introduzione della figura del Responsabile della Protezione dei Dati (o Data Protection Officer), il quale al di là di alcune ipotesi di nomina obbligatoria, può essere designato dal Titolare o dal Responsabile del trattamento, quale strumento volto a garantire la conformità al GDPR. Questa figura, infatti, oltre a svolgere funzioni di consulenza, formazione, sorveglianza e assistenza, funge da referente e punto di contatto nei rapporti con il Garante per la protezione dei dati personali, rimanendo estraneo alle dinamiche di business dell’azienda o organizzazione per cui lavora.
Con il concetto di “dati personali” si fa riferimento a tutte quelle informazioni riconducibili, direttamente o indirettamente, a una persona fisica, determinata o determinabile. Non si tratta, dunque, solamente di dati anagrafici, ma anche di ulteriori tipologie, quali i dati di contatto (es. numero di telefono e indirizzo di posta elettronica), i dati biometrici (es. riproduzioni fotografiche della persona e impronte digitali), le abitudini alimentari e qualunque ulteriore genere di preferenza personale.
Taluni di questi dati sono definiti “sensibili” (ora “particolari”, ai sensi del G.D.P.R.) e, insieme ad ulteriori categorie speciali, sono soggetti ad una maggiore tutela.
Per di più, partendo dal presupposto che l’archiviazione dei dati personali costituisce, sostanzialmente, attività di trattamento, è facile comprendere come una qualunque banca dati (quali, ad esempio, le anagrafiche inerenti a clienti, dipendenti e fornitori, le registrazioni di sistemi di videosorveglianza o la gestione di un sito web), purché non relativa a dati anonimi, sia anch’essa soggetta alle prescrizioni del GDPR.
Le principali novità del Regolamento UE 2016/679
Il GDPR, composto da 99 articoli, introduce alcune novità volte a tutelare maggiormente i soggetti interessati, fornendo loro alcuni strumenti utili a proteggere i propri dati personali e cioè:
- Il diritto all’oblio, in virtù del quale è possibile richiedere, in determinati casi, la cancellazione o la deindicizzazione dei dati personali anche in relazione altrattamento svolto da siti web o da motori di ricerca su Internet (per esempio in seguito alla cancellazione degli account creati sui social media);
- Il diritto di accesso, grazie al quale i cittadini possono venire a conoscenza di ogni dettaglio relativo al trattamento dei propri dati personali;
- La portabilità dei dati, attraverso la quale l’interessato può chiedere copia integrale dei dati che lo riguardano, chiedendo persino che avvengano trasferimenti ad un soggetto diverso.
Quelle sin ora rappresentate costituiscono solamente una parte delle novità introdotte dal G.D.P.R. Nei successivi paragrafi vengono illustrati alcuni degli ulteriori aspetti rilevanti da considerare con attenzione relativamente alla protezione dei dati personali.
Stop al “burocratese” per il consenso al trattamento dati
L’art. 7 del GDPR fa riferimento a un aspetto molto importante: il consenso al trattamento dei dati.
È infatti un principio fondamentale acquisire tale consenso nei casi in cui il trattamento dei dati non sia espressamente previsto dal GDPR, in quanto non indispensabile al funzionamento del servizio per cui viene richiesto.
Aziende ed organizzazioni sono tenute a chiedere espressamente all’utente se egli sia d’accordo con il fatto che i suoi dati personali vengano raccolti ed utilizzati, specificando i termini e le modalità di tale utilizzo mediante la documentazione opportuna (le cosiddette informative sulla privacy); l’utente, dal canto suo, deve comunicare l’eventuale consenso a che ciò avvenga, firmando un modulo apposito, oppure cliccando sui tasti “sì” o “no”, se si tratta di una pagina in rete. Nella maggior parte dei casi, comunque, l’utente conserva il diritto di revocare il proprio consenso; tale diritto non può essere fatto valere soltanto qualora sia l’interesse pubblico a prevale (come nel caso delle ricerche scientifiche e delle statistiche).
Stante ciò, quello che la nuova normativa impone è che (per le ipotesi nelle quali sia prevista come obbligatoria la raccolta del consenso) se un’impresa già dispone di dati per i quali non era stato dato o richiesto il consenso, andrà fatta una apposita richiesta all’interessato (si parla di consenso esplicito).
Inoltre, è necessario che l’informativa relativa alle modalità di trattamento dei dati sia formulata in modo chiaro, comprensibile e facilmente accessibile a chiunque, con l’adozione, quindi, di un linguaggio semplice e con modalità chiare. Oltretutto, dovrà spiegare la finalità e il motivo per cui venga utilizzata una certa informazione, nonché indicare per quanto tempo i dati verranno conservati, il che rappresenta un utile strumento di valutazione e analisi prima di fornire i propri dati, minimizzando il rischio di diffusione di informazioni private o confidenziali.
Quanto appena detto vale anche per i cookie, di cui tanto spesso si legge durante la navigazione in rete: dal momento che la funzione di questi file è tracciare i movimenti dell’utente allo scopo di identificare il suo profilo, e quindi il loro uso comporta la registrazione di informazioni che riguardano l’utente stesso (pensiamo, ad esempio, ai cookie che registrano le nostre password), i siti web che li utilizzano sono tenuti a segnalarlo e a chiedere il consenso per poterlo fare.
Cos’è il data breach
Una delle novità di maggior impatto è rappresentata dall’obbligo di notifica all’autorità di controllo competente (entro 72 ore dal momento della scoperta) di ogni violazione della sicurezza dei dati personali (data breach). Tale eventualità ricorre a seguito di un qualsiasi evento (ad esempio, attacco informatico mediante appositi software (i malware), violazione fisica di archivi cartacei, smarrimento o furto di devices quali pc, tablet o smartphone) che possa potenzialmente presentare un rischio per i diritti e le libertà delle persone fisiche.
Inoltre, eccezion fatta per talune ipotesi particolari, qualora il data breach possa comportare un rischio di indice elevato per gli interessati, il Titolare del trattamento è altresì tenuto a dare comunicazione ai medesimi, senza ingiustificato ritardo.
In questo modo, grazie all’implementazione di protocolli gestionali che tengano conto di tale procedura, sarà sempre possibile tracciare e indagare su ogni singola violazione tutelando, al contempo, i diritti e libertà delle persone fisiche.
Funzioni del D.P.O. e del Responsabile del Trattamento dei Dati
Tra le figure istituite dal GDPR spicca senza dubbio quella del Data Protection Officer (anche Responsabile della Protezione Dati), si tratta di un esperto che, collaborando con l’autorità di controllo, ha il compito di dettare le linee guida da seguire in materia di tutela della riservatezza dei dati personali, e di sorvegliare sulla correttezza degli adempimenti e delle procedure previste dal regolamento in questione, tenendo traccia di suoi eventuali aggiornamenti, in quanto in possesso di una formazione adeguata in tal senso.
Tale figura, che può essere nominata sia dal Titolare sia dal Responsabile del trattamento, ha alcuni compiti specifici, indicati dal G.D.P.R., quali, il dovere di informare e fornire consulenza, di sorvegliare l’osservanza del regolamento, di sensibilizzare e formare il personale, di fornire un parere sulla valutazione d’impatto per la sicurezza dei dati, nonché di cooperare e fungere da punto di contatto per il Garante per la protezione dei dati personali.
Tale ruolo può essere ricoperto sia da un soggetto interno, appositamente designato, sia da un consulente esterno.
Il Responsabile del Trattamento dei Dati, invece, è quel soggetto, persona fisica o persona giuridica, che tratta i dati per conto del Titolare. Tale incarico comporta l’obbligo di trattare i dati solo sulla base delle indicazioni fornite (e documentate) da quest’ultimo. Di conseguenza, il Titolare può ricorrere unicamente a quei Responsabili che prestino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti sanciti dal G.D.P.R. ai fini della tutela dei diritti dell’interessato.
Cosa succede in caso di violazione del regolamento
Al fine di assicurare il rispetto del Regolamento anche da parte delle aziende leader nel settore dei servizi informatici (veri e propri colossi dal punto di vista economico-finanziario), il Legislatore europeo ha notevolmente innalzato le sanzioni conseguenti ad eventuali violazioni del Regolamento.
Le sanzioni variano ora in funzione dell’entità della violazione e possono essere così classificate:
- Le sanzioni più lieviconsistono in una multa fino a un massimo di 10 milioni di euro o, nel caso di imprese, del 2% del fatturato (qualora sia superiore a tale cifra);
- Le sanzioni più gravoseconsistono in una multa fino a un massimo di 20 milioni di euro o, per le imprese, del 4% del fatturato (qualora sia superiore a tale cifra).
Per intenderci, le sanzioni più lievi sono comminate in caso di violazioni principi che non rientrano tra quelli fondamentali, come in caso di assenza di misure idonee ad assicurare un più che soddisfacente standard di sicurezza.
Quelle più gravose sorgono in corrispondenza della violazione di principi fondamentali, come il diritto all’oblio e la trasparenza nella richiesta del consenso dei dati.