PUNTO PER PUNTO: PRINCIPI, NUOVE REGOLE, SANZIONI, NUOVI ORGANI E FIGURE ISTITUITE DAL GDPR PER UNA MAGGIORE TUTELA DEI DIRITTI DEI CITTADINI EUROPEI RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Non perderti i prossimi articoli, iscriviti alla newsletter!

Il momento è ormai arrivato, tra meno di 48 ore il già ampiamente discusso Regolamento UE 2016/679, il cosiddetto GDPR (General Data Protecnion Regulation), sarà pienamente applicabile in tutti gli stati membri dell’Unione Europea.

Siamo piuttosto fiduciosi che il 25 maggio il giorno seguirà la notte così come ha fatto sin ora senza sconvolgere di punto in bianco la vita di aziende e organizzazioni pubbliche, ma crediamo anche che tale data rappresenti un importante traguardo verso una maggiore tutela dei diritti dei cittadini europei riguardo al trattamento dei dati personali.

Abbiamo perciò deciso di celebrare questo momento a modo nostro, con un riassunto dei punti principali del GDPR utile per aziende, organizzazioni pubbliche e cittadini e da tenere a mente nei mesi a venire.

Il GDPR punta all’affermazione di regole unificate per la gestione dei dati personali, più trasparenza, una migliore protezione dei minori, sanzioni più elevate per le infrazioni.

Obiettivi raggiungibili attraverso nuovi principi, nuove regole, maggiori diritti per i titolari dei dati personali, nuovi organi istituzionali di controllo e soggetti responsabili all’interno di aziende e istituzioni. Vediamoli rapidamente uno per uno.

GDPR PLAYERS

Gdpr players

SPORTELLO UNICO (ONE STOP SHOP)

Tra le novità istituite dal GDPR il cosiddetto Sportello Unico fornirà una base per la cooperazione tra i diversi Garanti della privacy e avrà la funzione di curare le dispute relative alla violazione dei dati personali.

Tramite lo Sportello Unico i cittadini potranno avanzare eventuali denunce, dirette a Compagnie con sede legale presso una nazione diversa, dal proprio Paese. L’unico limite a questo strumento è che potrà essere utilizzato solo per vertenze di una certa importanza.

Le aziende estere operanti in Italia dovranno nominare un Responsabile Privacy nel territorio italiano.

COMITATO EUROPEO PER LA PROTEZIONE DEI DATI

All’interno del Comitato Europeo per la protezione dei Dati opereranno rappresentanti di ciascun Paese membro dell’Unione.

Tra le sue funzioni: assicurare la coerenza nell’applicazione del GDPR, fornire consulenza alla Commissione Europea, emettere linee guida, codici di pratica e raccomandazioni, pareri in merito alle proposte di decisioni delle autorità di vigilanza, accreditare gli organismi di certificazione.

GARANTE EUROPEO DELLA PROTEZIONE DEI DATI (GEPD)

Il Garante Europeo della Protezione dei Dati (GEPD) ha due funzioni principali: sorvegliare l’elaborazione dei dati personali dell’amministrazione europea per garantire il rispetto delle norme sulla privacy; consigliare le istituzioni e gli organi dell’Unione Europea su tutti gli aspetti relativi all’elaborazione dei dati personali e alle relative politiche e legislazioni.

L’AUTORITÀ DI PROTEZIONE DEI DATI

Le Autorità Nazionali di Protezione dei Dati hanno il compito di attuare e applicare la legislazione locale in materia di protezione dei dati e fornire indicazioni. Hanno notevoli poteri esecutivi, tra cui la possibilità di imporre sanzioni amministrative.

INTERESSATO

L’interessato è la persona fisica, cliente, dipendente, ecc., titolare dei dati sottoposti a raccolta e trattamento da parte di una organizzazione.

IL CONTROLLORE DEI DATI

Organizzazione, persona fisica o organismo che determina le finalità e i mezzi del trattamento dei dati personali, controlla i dati e ne è responsabile, singolarmente o insieme ad altri.

IL PROCESSORE DI DATI

Elabora i dati per conto del controllore (ad es. società che elaborano le buste paga, contabili, società di ricerca di mercato)

RESPONSABILE DELLA PROTEZIONE DEI DATI (DATA PROTECTION OFFICER O DPO)

Il Data Protection Office (DPO) ha il compito di assicurare la corretta gestione dei dati personali in imprese ed enti. La sua nomina è obbligatoria se:

  • il trattamento è effettuato da un’autorità pubblica;
  • le “attività principali” di un controllore dei dati o processore di dati richiedono “il controllo regolare e sistematico degli interessati su larga scala” o consistono nel trattamento di categorie particolari di dati o dati sulle condanne penali “su larga scala”.

torna all’indice

PRINCIPIO DI TRASPARENZA

Transparency

In base al principio di trasparenza affermato dal GDPR:

  • la raccolta dei dati personali deve essere esplicita e legittima, effettuata specificando la finalità per cui i dati vengono richiesti, e deve fornire informazioni con un linguaggio chiaro e comprensibile;
  • le informazioni fornite devono essere “multistrato”, suddivise in unità focalizzate sulle informazioni di cui l’interessato necessita per capire come saranno trattati i dati;
  • i dati vanno trattati con adeguati livelli di sicurezza e riservatezza, vanno conservati per il tempo minimo necessario e utilizzati per le sole finalità indicate in fase di raccolta.

Il titolare del trattamento ha il compito di fissare un termine per la cancellazione o la verifica dei dati e di fornire tutte le informazioni possibili eventualmente richieste da un soggetto interessato dal trattamento, purché sia comprovata l’identità di quest’ultimo con strumenti elettronici o in presenza.
torna all’indice

CONSENSO AL TRATTAMENTO

consent

Il consenso al trattamento dei dati da parte di un interessato deve essere preventivo e inequivocabile, anche e in particolare quando è espresso online, ad esempio spuntando una casella su un sito web.

Tale consenso deve inoltre essere esplicito, evitando quindi forme di consenso tacito (es. scroll sulla pagina web per accettazione) o ottenuto tramite opzioni preselezionate.

Un interessato può revocare in ogni momento il consenso prestato, ferma restando la legittimità dei trattamenti fatti sino a quel momento.

L’interessato può inoltre richiedere la limitazione del trattamento di alcuni dati disponendo quindi che i dati raccolti e trattati siano limitati allo stretto indispensabile, escludendo informazioni accessorie.
torna all’indice

DIRITTO ALL’OBLIO E ALLA CANCELLAZIONE

cancelled

Il soggetto interessato ha il diritto all’oblio e alla cancellazione dei propri dati se questi:

  • sono trattati solo sulla base del consenso;
  • non sono più necessari per gli scopi rispetto ai quali sono stati raccolti;
  • sono trattati illecitamente;
  • o se l’interessato si oppone legittimamente al loro trattamento.

Il titolare del trattamento che abbia pubblicato i dati oggetto della richiesta dovrà comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile.

Il diritto all’oblio può essere limitato:

  • per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria;
  • per tutelare un interesse generale;
  • quando i dati, resi anonimi, siano considerati necessari alla ricerca storica, per finalità statistiche o scientifiche.

torna all’indice

DIRITTO ALLA PORTABILITÀ

portabilità

Il GDPR riconosce agli interessati il diritto alla «portabilità» dei propri dati personali, ovvero la possibilità di trasferirli da un titolare del trattamento ad un altro. Ad esempio, è possibile cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.

Anche in questo caso vigono limiti ed eccezioni all’esercizio del diritto riconosciuto, in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico come le anagrafi.
torna all’indice

VIOLAZIONE DEI DATI (DATA BREACH)

data breach

Nel caso di violazioni dei dati gestiti (o data breach) il titolare del trattamento ha l’obbligo di darne comunicazione all’Autorità nazionale di protezione dei dati, per l’Italia il Garante privacy. Nel caso la violazione rappresenti una minaccia per i diritti e le libertà delle persone, il titolare è tenuto a informare anche tutti gli interessati e fornire indicazioni su come intende limitare le possibili conseguenze negative.

La comunicazione del data breach a tutti gli interessati non è obbligatoria:

  • se non comporta un rischio elevato per i diritti delle persone,
  • dimostrando di avere adottato idonee misure di sicurezza a tutela dei dati violati (es. dati anonimizzati)
  • nel caso in cui informare gli interessati comporti uno sforzo sproporzionato.

In quest’ultima eventualità è comunque richiesta una comunicazione pubblica della violazione (tramite sito web, inserzione su quotidiani, ecc) per raggiungere quanti più interessati possibile.

Sulla base di una sua autonoma valutazione, l’Autorità di protezione dei dati può in ogni caso ordinare al titolare del trattamento di informare gli interessati.
torna all’indice

TRASFERIMENTO DEI DATI AL DI FUORI DELL’UNIONE EUROPEA

USAEU

In linea di principio il trasferimento di dati personali verso un Paese al di fuori dell’Unione Europea o verso organizzazioni internazionali non rispondenti agli standard richiesti in materia di tutela dei dati è vietato dal GDPR.

Tale trasferimento può però avvenire sulla base di accordi internazionali di mutua assistenza giudiziaria o strumenti simili (ad es. l’accordo Privacy Shield Ue-Usa vigente tra UE e Stati Uniti). In assenza del riconoscimento di adeguatezza da parte della Commissione europea, i titolari possono appellarsi a garanzie contrattuali specifiche, soggette a norme dettagliate e vincolanti.

Nel caso manchino sia le garanzie contrattuali che il riconoscimento di adeguatezza della Commissione europea, i dati possono essere trasferiti se vi è il consenso esplicito dell’interessato o se sussistono condizioni particolari (motivi di interesse pubblico, esercizio di un diritto in sede giudiziaria, ecc.).
torna all’indice

PRIVACY BY DESIGN, PRIVACY BY DEFAULT

gdpr-privacy-by-design

Il principio della privacy by design prevede che la protezione dei dati personali non riguardi solamente la fase di esecuzione del trattamento, ma sia presa in considerazione sin dalla sua ideazione e progettazione adottando comportamenti preventivi quali valutazioni di impatto o la consultazione dell’Autorità per la protezione dei dati in caso di dubbi.

La privacy by default prevede che il titolare del trattamento adotti tutte le misure organizzative e le procedure tecniche necessarie perché i dati raccolti rispettino la vita privata dei cittadini. In particolare, i dati raccolti devono essere limitati alla loro finalità e anonimizzati (archiviati in modalità alfanumerica).
torna all’indice

SANZIONI

sanzioni

Con il GDPR le sanzioni amministrative previste in caso di mancato rispetto delle regole relative alla protezione dei dati si inaspriscono: nei casi più gravi sono previste multe fino a 20 milioni di euro, o se superiore, fino al il 4% del fatturato annuo mondiale.

Le sanzioni penali restano di competenza di ogni singolo Stato dell’Unione. L’autorità di vigilanza di ciascun Paese dovrà poi garantire che la sanzione inflitta sia effettiva, proporzionata e dissuasiva.
torna all’indice

MECCANISMI DI CERTIFICAZIONE

Il GDPR incoraggia la creazione di meccanismi di certificazione e di protezione dei dati nella forma di sigilli e marchi che dimostrino la conformità al Regolamento nel trattamento dei dati.

Lo stesso promuove il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea.
torna all’indice

23 maggio 2018

DIGITAL TRUST SERVICES

Con il GDPR il fattore trust assume un ruolo importate e, in qualità di Qualified Trust Service Provider conforme a quanto previsto dal Regolamento europeo eIDAS, InfoCert può aiutare imprese e PA a rispondere agli obblighi del GDPR con un ampio ventaglio di soluzioni.