Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

GDPR: cos’è, principi, obblighi, dati personali e sanzioni

Il GDPR, General Data Protection Regulation, è il Regolamento (UE) 2016/679 sulla protezione dei dati personali. È applicabile dal 25 maggio 2018 e rappresenta il principale riferimento europeo per la gestione corretta dei dati personali da parte di aziende, professionisti, enti pubblici, associazioni e organizzazioni che trattano informazioni riferite a persone fisiche.

Il suo obiettivo è rafforzare la tutela delle persone e rendere più responsabili i soggetti che raccolgono, usano, conservano o comunicano dati personali. Per un’azienda, adeguarsi al GDPR non significa soltanto predisporre informative o moduli di consenso, ma costruire un sistema organizzato di gestione dei dati: conoscere quali dati vengono trattati, per quali finalità, con quale base giuridica, per quanto tempo, con quali misure di sicurezza e con quali soggetti coinvolti.

Il GDPR si fonda sul principio di responsabilizzazione, o accountability. Il titolare del trattamento deve non solo rispettare le regole, ma anche essere in grado di dimostrare di aver adottato misure adeguate. Questo rende essenziale un approccio documentato, aggiornato e proporzionato al rischio, soprattutto in presenza di dati sensibili, trattamenti digitali, fornitori esterni, sistemi cloud, marketing, videosorveglianza, gestione del personale o servizi rivolti a clienti e utenti.

In questo articolo analizziamo cos’è il GDPR, a chi si applica, quali principi regolano il trattamento dei dati, quali dati personali tutela, quali obblighi devono rispettare le aziende, quali diritti spettano agli interessati, quando serve il consenso, quali sono le sanzioni e come impostare un percorso concreto di adeguamento.

Cos’è il GDPR e a chi si applica

Il GDPR è il regolamento europeo che disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Essendo un regolamento dell’Unione europea, è direttamente applicabile negli Stati membri, pur dovendo essere coordinato con la normativa nazionale, in Italia principalmente con il Codice in materia di protezione dei dati personali, D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018 e da successivi interventi normativi.

Il regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare o di un responsabile nell’Unione europea. Si applica anche, in determinate condizioni, a soggetti non stabiliti nell’Unione quando offrono beni o servizi a persone che si trovano nell’UE oppure monitorano il loro comportamento.

Il trattamento è un concetto molto ampio. Comprende raccolta, registrazione, organizzazione, conservazione, consultazione, modifica, uso, comunicazione, diffusione, cancellazione e distruzione dei dati. In pratica, quasi ogni attività aziendale che utilizza dati riferiti a persone fisiche può rientrare nell’ambito del GDPR.

Sono coinvolti, ad esempio, trattamenti relativi a clienti, dipendenti, candidati, fornitori persone fisiche, utenti del sito web, iscritti alla newsletter, partecipanti a corsi, pazienti, visitatori, utenti di app, contatti commerciali e persone riprese da sistemi di videosorveglianza.

Il GDPR non si applica ai dati anonimi, cioè informazioni che non consentono di identificare una persona fisica e che non possono essere ricondotte a un interessato con mezzi ragionevoli. Si applica invece ai dati pseudonimizzati, perché in questo caso la persona può ancora essere identificata attraverso informazioni aggiuntive.

I principi fondamentali del trattamento dei dati

Il GDPR non si limita a indicare singoli adempimenti, ma stabilisce principi generali che devono guidare ogni trattamento. Questi principi sono il punto di partenza per decidere come raccogliere, usare e conservare i dati personali.

Il principio di liceità, correttezza e trasparenza richiede che ogni trattamento abbia una base giuridica valida, sia svolto in modo leale e venga spiegato all’interessato con informazioni chiare. Il principio di limitazione delle finalità impone di raccogliere dati per scopi determinati, espliciti e legittimi. La minimizzazione richiede di trattare solo i dati necessari rispetto alle finalità dichiarate.

Il principio di esattezza comporta che i dati siano corretti e aggiornati quando necessario. La limitazione della conservazione impone di non conservare i dati più a lungo del tempo necessario. Integrità e riservatezza richiedono misure tecniche e organizzative adeguate a proteggere i dati da accessi non autorizzati, perdita, distruzione o divulgazione indebita. Infine, l’accountability impone al titolare di dimostrare il rispetto di tutti questi principi.

 

PrincipioCosa significaImpatto operativo
Liceità, correttezza e trasparenzaIl trattamento deve avere una base giuridica valida ed essere comprensibileInformative chiare e basi giuridiche documentate
Limitazione delle finalitàI dati devono essere raccolti per finalità determinate ed espliciteEvitare usi successivi incompatibili
MinimizzazioneTrattare solo i dati necessariRidurre campi, accessi e raccolte superflue
EsattezzaI dati devono essere corretti e aggiornatiPrevedere procedure di aggiornamento e rettifica
Limitazione della conservazioneI dati non vanno conservati oltre il necessarioDefinire tempi di conservazione e cancellazione
Integrità e riservatezzaI dati devono essere protetti con misure adeguateGestire accessi, backup, cifratura e sicurezza informatica
AccountabilityIl titolare deve dimostrare la conformitàMantenere registri, procedure, evidenze e controlli

Quali dati personali tutela il GDPR

Il GDPR tutela i dati personali, cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile. Una persona può essere identificata direttamente, ad esempio tramite nome e cognome, oppure indirettamente, attraverso elementi come codice fiscale, numero di telefono, indirizzo email, dati di localizzazione, identificativi online, immagini, voce o altri elementi riconducibili alla sua identità.

Non tutti i dati hanno lo stesso livello di rischio. Il GDPR distingue tra dati comuni e categorie particolari di dati personali. Le categorie particolari comprendono dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici usati per identificare in modo univoco una persona, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale.

Il trattamento di queste categorie particolari è vietato come regola generale, salvo che ricorra una delle condizioni specifiche previste dal regolamento, ad esempio consenso esplicito, obblighi in materia di diritto del lavoro, medicina preventiva, interesse pubblico rilevante o altre basi previste dalla normativa.

Particolare attenzione deve essere posta anche ai dati relativi a condanne penali e reati, ai dati dei minori, ai dati trattati su larga scala, ai dati raccolti tramite strumenti digitali e ai dati utilizzati per profilazione o decisioni automatizzate.

 

Tipo di datoEsempiLivello di attenzione
Dati identificativiNome, cognome, codice fiscale, documentoSempre da proteggere
Dati di contattoEmail, telefono, indirizzoRilevanti per clienti, fornitori e marketing
Dati onlineIP, cookie ID, identificativi dispositivoImportanti per siti, app e tracciamenti
Dati economiciIBAN, pagamenti, fattureRichiedono sicurezza e tempi di conservazione corretti
Categorie particolariSalute, biometria, opinioni politiche, sindacatoTutela rafforzata e condizioni specifiche
Dati di minoriAccount, immagini, dati scolasticiRichiedono particolare cautela
Dati giudiziariCondanne, reati, carichi pendentiTrattamento ammesso solo nei casi previsti 

Ruoli e responsabilità: titolare, responsabile e autorizzati

Per applicare correttamente il GDPR è essenziale distinguere i ruoli. Il titolare del trattamento è il soggetto che determina finalità e mezzi del trattamento. In ambito aziendale, di solito coincide con l’impresa, l’ente o il professionista che decide perché e come trattare i dati.

Il responsabile del trattamento è invece il soggetto esterno che tratta dati personali per conto del titolare. Può essere, ad esempio, un consulente paghe, un fornitore cloud, una società informatica, un’agenzia marketing, un provider di newsletter, una piattaforma software o un outsourcer che accede a dati personali per erogare un servizio.

Il rapporto tra titolare e responsabile deve essere disciplinato da un contratto o altro atto giuridico conforme all’art. 28 del GDPR. Questo documento deve stabilire, tra le altre cose, oggetto, durata, natura e finalità del trattamento, categorie di dati, categorie di interessati, obblighi del responsabile, misure di sicurezza, regole sui sub-responsabili, assistenza al titolare e restituzione o cancellazione dei dati al termine del servizio.

Gli autorizzati al trattamento sono invece persone fisiche che operano sotto l’autorità del titolare o del responsabile e trattano dati secondo istruzioni ricevute. Rientrano in questa categoria dipendenti, collaboratori, addetti amministrativi, HR, commerciali, operatori di segreteria, tecnici e altre persone interne che accedono ai dati per ragioni di lavoro.

RuoloChi èResponsabilità principali
Titolare del trattamentoDecide finalità e mezziDefinisce basi giuridiche, informative, misure e governance
Responsabile del trattamentoTratta dati per conto del titolareAgisce su istruzioni e applica misure adeguate
AutorizzatoPersona interna o collaboratore che accede ai datiTratta i dati secondo istruzioni ricevute
DPOFigura di controllo e consulenza quando obbligatoria o nominataInforma, consiglia, sorveglia e coopera con il Garante

 Obblighi per le aziende e documentazione richiesta

Gli obblighi GDPR non sono identici per tutte le organizzazioni. Devono essere valutati in base a natura, dimensione, contesto, finalità del trattamento e rischi per i diritti e le libertà delle persone. Tuttavia, esistono alcuni adempimenti ricorrenti che molte aziende devono presidiare.

L’informativa privacy è uno dei documenti principali. Deve spiegare agli interessati chi tratta i dati, per quali finalità, su quale base giuridica, per quanto tempo, a chi possono essere comunicati, se vengono trasferiti fuori dallo Spazio economico europeo, quali diritti possono essere esercitati e come contattare il titolare o il DPO quando presente.

Il registro delle attività di trattamento è un altro elemento fondamentale di accountability. L’art. 30 del GDPR prevede la tenuta del registro da parte del titolare e, ove applicabile, del responsabile. Il registro permette di mappare trattamenti, finalità, categorie di dati, destinatari, tempi di conservazione e misure di sicurezza.

Altri adempimenti possono riguardare nomine a responsabile del trattamento, istruzioni agli autorizzati, procedure per la gestione dei diritti degli interessati, valutazione d’impatto sulla protezione dei dati, gestione dei data breach, misure di sicurezza, formazione del personale, policy interne, informative web, cookie, videosorveglianza, marketing e conservazione documentale.

 

AreaDocumento o proceduraQuando serve
TrasparenzaInformative privacyQuando si raccolgono dati da interessati
MappaturaRegistro dei trattamentiPer documentare attività, finalità, dati, destinatari e misure
FornitoriNomine a responsabile del trattamentoQuando un soggetto esterno tratta dati per conto dell’azienda
Personale internoIstruzioni agli autorizzatiQuando dipendenti o collaboratori accedono ai dati
Rischio elevatoDPIAQuando il trattamento può presentare rischio elevato
SicurezzaMisure tecniche e organizzativeSempre, proporzionate al rischio
ViolazioniProcedura data breachPer valutare e notificare violazioni entro i termini
FormazionePiano formativo privacyPer ridurre errori operativi e dimostrare accountability

Consenso, basi giuridiche e diritti degli interessati

Uno degli errori più frequenti è pensare che il consenso sia sempre necessario. In realtà, il consenso è solo una delle basi giuridiche previste dall’art. 6 del GDPR. Un trattamento può essere lecito anche quando è necessario per eseguire un contratto, adempiere un obbligo legale, tutelare interessi vitali, eseguire un compito di interesse pubblico o perseguire un legittimo interesse del titolare, purché siano rispettate le condizioni previste.

Il consenso è necessario quando non esiste un’altra base giuridica adeguata o quando specifiche norme lo richiedono. Deve essere libero, specifico, informato e inequivocabile. Per le categorie particolari di dati, quando il trattamento si basa sul consenso, questo deve essere esplicito. Non sono ammessi consensi taciti, caselle preselezionate o formule generiche.

Gli interessati hanno diritti specifici: accesso ai dati, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione, revoca del consenso e, nei casi previsti, diritto a non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione.

Il titolare deve agevolare l’esercizio dei diritti e rispondere alle richieste entro un mese, termine che può essere esteso fino a tre mesi nei casi di particolare complessità, informando comunque l’interessato entro un mese.

 

Base giuridicaQuando si usaEsempio
ConsensoQuando l’interessato sceglie liberamenteNewsletter promozionale non collegata a un contratto
ContrattoQuando il trattamento serve a eseguire un contrattoGestione ordine, consegna, assistenza
Obbligo legaleQuando una legge impone il trattamentoFatturazione, libri contabili, adempimenti lavoro
Interesse vitalePer tutelare la vita o l’incolumitàEmergenza sanitaria
Compito pubblicoPer funzioni pubbliche o interesse pubblicoTrattamenti di enti pubblici
Legittimo interesseQuando l’interesse del titolare è bilanciato con i diritti dell’interessatoSicurezza IT, tutela diritti, alcune comunicazioni B2B

 Sanzioni GDPR e come adeguarsi

Il GDPR prevede sanzioni amministrative significative. Le violazioni meno gravi possono arrivare fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. Le violazioni più gravi possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo, se superiore.

Le sanzioni non sono automatiche nel massimo importo. L’autorità di controllo valuta diversi elementi, tra cui natura, gravità e durata della violazione, carattere doloso o colposo, misure adottate per attenuare il danno, grado di responsabilità, precedenti violazioni, categorie di dati coinvolti, cooperazione con l’autorità e modalità con cui la violazione è venuta a conoscenza dell’autorità.

Oltre alle sanzioni economiche, l’azienda può subire conseguenze operative e reputazionali: reclami, provvedimenti correttivi, blocco di trattamenti, perdita di fiducia da parte di clienti e utenti, contenziosi, danni d’immagine e costi di gestione delle non conformità.

Un percorso concreto di adeguamento dovrebbe partire da un audit iniziale, seguito dalla mappatura dei trattamenti, dalla verifica delle basi giuridiche, dall’aggiornamento delle informative, dalla predisposizione o revisione del registro, dalla nomina dei responsabili, dalla formazione del personale, dalla definizione delle procedure per diritti e data breach, dalla valutazione delle misure di sicurezza e dal monitoraggio periodico.

 

FaseAttivitàRisultato atteso
1Audit inizialeCapire quali dati vengono trattati e dove sono le criticità
2Mappatura e registroDocumentare finalità, dati, destinatari, conservazione e misure
3Aggiornamento documentaleInformative, nomine, istruzioni, policy e procedure
4Misure di sicurezzaRidurre rischio di accessi non autorizzati, perdita o data breach
5FormazioneRendere il personale consapevole degli obblighi
6MonitoraggioMantenere il sistema aggiornato nel tempo

Domande frequenti

Cos’è il GDPR e quali aziende e professionisti devono adeguarsi?

Il GDPR è il Regolamento UE 2016/679 sulla protezione dei dati personali. Devono adeguarsi aziende, professionisti, enti, associazioni e organizzazioni che trattano dati personali nell’Unione europea o che, anche da fuori UE, offrono beni o servizi a persone nell’UE o ne monitorano il comportamento.

Quali sono i principi fondamentali del GDPR nel trattamento dei dati personali?

I principi fondamentali sono liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del titolare.

Quali dati personali tutela il GDPR e quali sono considerati dati sensibili?

Il GDPR tutela ogni informazione relativa a una persona fisica identificata o identificabile. Le categorie particolari, spesso chiamate dati sensibili, comprendono dati sulla salute, dati biometrici, dati genetici, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, vita sessuale e orientamento sessuale.

Quali obblighi deve rispettare un’azienda per essere conforme al GDPR?

L’azienda deve individuare basi giuridiche corrette, fornire informative trasparenti, mappare i trattamenti, adottare misure di sicurezza, gestire fornitori e autorizzati, rispettare i diritti degli interessati, predisporre procedure per data breach e, quando necessario, effettuare DPIA e nominare un DPO.

Quando serve il consenso al trattamento dei dati?

Il consenso serve quando il trattamento si basa su una scelta libera dell’interessato e non esiste un’altra base giuridica più adeguata. Non serve, ad esempio, quando il trattamento è necessario per eseguire un contratto, adempiere un obbligo legale o perseguire un legittimo interesse correttamente bilanciato.

Quali diritti hanno gli interessati nel GDPR?

Gli interessati possono chiedere accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e revoca del consenso. Possono inoltre proporre reclamo al Garante se ritengono che il trattamento violi la normativa.

Chi è il titolare del trattamento?

Il titolare del trattamento è il soggetto che decide finalità e mezzi del trattamento. In azienda coincide normalmente con la società, l’ente o il professionista che determina perché e come usare i dati personali.

Chi è il responsabile del trattamento?

Il responsabile del trattamento è il soggetto esterno che tratta dati personali per conto del titolare, sulla base di istruzioni documentate e di un contratto conforme all’art. 28 del GDPR.

Quali sono le sanzioni previste dal GDPR?

Le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per alcune violazioni, e fino a 20 milioni di euro o al 4% del fatturato mondiale annuo per le violazioni più gravi, se superiore.

Come adeguarsi al GDPR in modo pratico?

Un percorso efficace parte da audit e mappatura dei trattamenti, prosegue con registro, informative, nomine, procedure, misure di sicurezza e formazione, e deve essere mantenuto aggiornato con controlli periodici.