Seminario Formativo GDPR – Prima Parte

GDPR

[su_youtube_advanced url=”https://www.youtube.com/embed/8cWS_nteRwg” playlist=”” width=”600″ height=”400″ responsive=”yes” controls=”yes” autohide=”alt” showinfo=”yes” autoplay=”no” loop=”no” rel=”no” fs=”yes” modestbranding=”no” theme=”dark” https=”no” wmode=”” playsinline=”no” class=””]

GDPR – a norma senza paura

Cos’è il GDPR?

E’ il nuovo regolamento Europeo sulla Privacy, acronimo di General Data Protection Regulation (UE 2016/679) che sancisce la protezione dei dati personali delle persone fisiche come un diritto fondamentale.

L’avvento di internet ha reso necessario un aggiornamento della disciplina, anche per via della diffusione e del valore commerciale sempre più evidente dei dati degli utenti: qualunque azione effettuata online lascia tracce, dati, che identificano interessi e abitudini, sui quali le big company di internet hanno prosperato. Con questa pietra miliare a favore della Privacy degli utenti, si elimineranno le differenze che fino ad oggi esistevano nelle normative sul tema dati personali dei vari paesi Europei (la precedente Direttiva 95/46 /EC, quindi, è ormai superata).


Cosa bisogna fare per adeguarsi al GDPR: qualche suggerimento per aziende e pmi

Il nuovo regolamento Privacy applica due principi:

  • Privacy by Design
  • Privacy By Default

Tali principi base stabiliscono che il consento al trattamento dei dati personali debba essere sempre valido, revocabile ed esplicito. Di fatto, si impone una salvaguardia costante relativa ai dati custoditi da ciascuna impresa fin dalle fasi iniziali di ciascun processo. Inoltre, si introduce la necessità di una nuova figura aziendale (non sempre obbligatoria): il Data Protection Officer (DPO).

Il principio della Privacy By Design

Si tratta di un processo “evolutivo” al tema Privacy degli utenti, dove sono proprio gli utenti al centro di tutto. Qualunque progetto va pensato e realizzato pensando a come garantire la riservatezza e la protezione dei dati personali che vengono toccati nello specifico progetto, individuando a priori eventuali rischi Privacy, tramite un Privacy Impact Assessment (una valutazione di impatto Privacy).
Quindi non c’è uno standard fisso e unico per qualunque progetto, ma la tutela deve essere pensata ad hoc per ogni progetto, lungo 3 punti:

  1. sistemi IT;
  2. procedure commerciali (adeguate e corrette);
  3. progettazione strutturale e dell’infrastruttura di progetto.

Sono inoltre 7 i principi chiave di questo nuovo approccio alla Privacy (online e non):

  1. Occorre un approccio proattivo, non reattivo (quindi a favore della prevenzione);
  2. Il rispetto della Privacy è un’impostazione di base;
  3. La tutela della Privacy è una finalità incorporata nella progettazione;
  4. Sicurezza senza se e senza ma;
  5. Protezione piena del ciclo vitale dei dati;
  6. Visibilità e trasparenza nella gestione dei dati;
  7. Rispetto per la privacy dell’utente.

Il principio della Privacy By Default

Questo principio di fondo, invece, sostiene che le aziende devono trattare i dati personali solo nella misura necessaria per gli scopi previsti e per un tempo strettamente necessario a questi fini. Ancora una volta, dunque, la fase di progettazione è fondamentale e deve considerare questo approccio, avendo bene a mente la garanzia della non eccessività dei dati raccolti.
Quando si dà a un utente la possibilità di registrarsi a un sito web, per prenotare una visita o per iscriversi a una newsletter, etc…, occorre prestare attenzione a quali dati vengono raccolti e perché.
Non ci può essere arbitrarietà, ma devono essere esplicitate le modalità di raccolta dei dati, le finalità di ciascun dato raccolto, quali soggetti sono autorizzati ad accedere al database che conserva i dati, quali rischi per la sicurezza potrebbero esserci e quali misure per proteggere tale database verranno adottate.

Data Breach

Si fa ampia menzione di cosa fare in caso di data breach. Ma cosa succede in caso di violazione dei dati gestiti da un’azienda?

Il GDPR è chiaro: ogni azienda deve spiegare e documentare come agirebbe in caso di violazione dei dati; inoltre, sempre in tale caso, va informata l’autorità di vigilanza entro 72 ore dal fatto.

Il già menzionato “PIA” – Privacy Impact Assessment – ha proprio lo scopo di stabilire in anticipo quali rischi ci possono essere nel trattamento dei dati nel particolare business specifico e quali misure vengono messe in campo per ridurre al minimo i rischi. Inoltre, vanno previste anche delle modalità di comunicazione agli utenti in caso di data breach.


Cosa deve fare ogni azienda di fronte al GDPR

In super sintesi, sono 5 i punti chiave che ogni azienda deve affrontare per adeguarsi al GDPR:

  1. Controllare pienamente l’accesso ai dati, con database strutturati e destrutturati
  2. Identificazione chiara dei dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati)
  3. Governance dei dati: esplicitazione delle policy, identificazione dei processi di gestione, assegnazione delle responsabilità.
  4. Strategie di protezione dei dati: anonimizzazione dei record di dati e crittografia.
  5. Controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.

Tutti questi aspetti confluiscono in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.

PMI e GDPR: gli obblighi delle piccole aziende nei confronti della nuova Normativa Privacy

La normativa è un po’ più morbida per le piccole aziende. Ok i punti elencati sopra per tutte le aziende, per è bene sapere che:

  • le PMI sono di fatto sollevate dall’obbligo di nominare un DPO nel momento in cui il trattamento dei dati non sia cruciale rispetto all’attività di un’impresa;
  • in caso di richieste di accesso ai dati con costi elevati (come tempo o denaro), potrà essere richiesta una tariffa per fornire l’accesso o per garantire una modifica dei dati;
  • il Privacy Impact Assessment non è obbligatorio, salvo rischi specifici dovuti a una grande mole di dati trattati, soprattutto tramite internet;
  • le notifiche ordinarie all’autorità garante della Privacy non saranno più da fare; rimarranno solamente le comunicazioni straordinarie, per questioni che mettono a rischio la Privacy degli utenti.

I Ruoli in azienda nei confronti del tema Privacy GDPR

Oltre al titolare del trattamento dei dati (Data Controller), si potranno trovare nuove figure…

Cosa deve fare il Data Protection Officer? (art. 37 del GDPR)

Il DPO – Data Protection Officer – deve essere nominato per ciascuna filiale fisica di un’azienda (multinazionali avvisate: uno per ogni sede o stabilimento) e avrà la supervisione e il controllo delle modalità di raccolta, gestione e trattamento dei dati.
Un obiettivo fondamentale del DPO è quello di garantire la sicurezza dei dati e dei software che li governano o che li tutelano. In particolare a livello di aggiornamenti software, occorrerà muoversi verso un’automatizzazione dei processi, per poter dimostrare in caso di problemi di vulnerabilità dei dati che si è fatto tutto il possibile per tutelare i dati stessi (riducendo i possibili “breach” dell’infrastruttura). Sempre con la stessa finalità, è buona norma sfruttare i monitoraggi automatici dei software di sicurezza, così da individuare tentativi di accessi dall’esterno (l’idea di fondo è sempre quella di difendere i dati da attacchi esterni): questo vale per i pc in dotazione ai collaboratori di un’azienda, per siti web e app, ma anche per gli smartphone o tablet.
Il DPO deve essere obbligatoriamente nominato nei casi in cui il trattamento dei dati avviene da parte di un ente pubblico o di un’autorità; quando la mole di dati gestiti richiede un monitoraggio regolare e sistematico; quando i dati in questione hanno un carattere particolare (es. dati sensibili) o sono dati giudiziari.
Se una PMI non ha tra le sue attività centrali la gestione di dati degli utenti, è esentata dalla nomina di un DPO. Qui è possibile trovare un approfondimento su questa nuova figura aziendale.

Il Data Processor, alias il “Responsabile del Trattamento”

Il Responsabile del Trattamento – o Data Processor – è una persona fisica o giuridica, l’ente pubblico, il servizio o altro “attore” che gestisce i dati per conto del titolare del trattamento. Quindi può essere anche una persona esterna, un fornitore che viene delegato al trattamento dei dati (ma che deve garantire la compliance con il GDPR).


Le multe per chi viola il regolamento Privacy GDPR

Come sempre, le sanzioni sono salatissime: dal 2% al 4% del fatturato mondiale annuo dell’azienda che violasse il regolamento o, in alternativa, un corrispettivo che va dai 10 ai 20 milioni di euro. Chi ha voglia di rischiare?

Le tutele per l’utente / persona

Tutto l’impianto normativo va in favore dell’utenza, che avrà di fatto una maggior tutela, grazie a:

  1. Accesso più facile ai propri dati, con maggiori info (chiare e precise) su come i dati vengono processati dall’azienda
  2. Diritto alla trasferibilità dei dati tra diversi fornitori di servizi
  3. Diritto all’oblio, se un individuo non desidera più che i propri dati vengano trattati (Vodafone sei avvisata…)
  4. Forti tutele sui dati personali dei minori
  5. Diritto alla conoscenza nel momento in cui i propri dati siano stati violati

 

Guida applicazione GDPR

GDPR  – Fondamenti di liceità del trattamento
Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy – d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

 

GDPR – Informativa
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

 

GDPR – Diritti degli interessati
Le modalità per l’esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del regolamento.
Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato
entro 1 mese dalla richiesta, anche in caso di diniego.
Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12, paragrafo 5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).

 

GDPR – Diritto di accesso
Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.
Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

 

GDPR – Diritto di cancellazione (diritto all’oblio)
Il diritto cosiddetto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).
Ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, paragrafo 1).

 

GDPR – Diritto di limitazione del trattamento
Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare).
Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

 

GDPR – Diritto alla portabilità dei dati
Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).
Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare (si veda il considerando 68 per maggiori dettagli).
Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.

 

GDPR – Titolare, responsabile, incaricato del trattamento
Il regolamento:
•disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
•fissa più dettagliatamente (rispetto al Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
• consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3);
• prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO (si segnalano, al riguardo, le linee-guida in materia di responsabili della protezione dei dati recentemente adottate dal Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy.it/regolamentoue/rpd), nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). Si ricorda, inoltre, che anche il responsabile non stabilito nell’Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all’art. 27, paragrafo 3, del regolamento – diversamente da quanto prevedeva l’art. 5, comma 2, del Codice.
• definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice italiano. Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).

 

GDPR – puntualizzazioni

Il General Data Protection Regulation (GDPR), ovvero il regolamento UE 2016/679 ha introdotto alcune terminologie.

  • Ads – Amministratore di sistema: professionista che gestisce in ambito informatico gestisce e manutiene l’impianto informatico e le attività accessorie (es. gestione passwortd, ammiistrazione database etc.).
  • Titolare (del trattamento) – persona fisica o giuridica responsabile delle decisioni sulle finalità, modalità e sicurezza del “mondo” privacy.
  • Dpo – Data Protection Officer – professionista, spesso nell’organico della struttura, che il Titolare nomina per avere all’interno dell’organizzazione un “focal point” esperto nella tematica privacy.
  • Registro dei trattamenti – registro delle attività di trattamento (art. 30 GDPR).
  • Responsabile (del trattamento) – persona fisica o giuridica preposta dal Titolare al trattamento.
  • Incaricato (del Trattamento) – persona fisica autorizzata a compiere operazioni di trattamento agendo in conformità a direttive ricevuta dal Titolare e/o dal Responsabile
  • Data breach – violazione dei dati personali, consistente nella perdita, diffusione indebita, dei dati personali, inseguito ad attacchi informatici, accessi indebiti, incidenti ed in genere calamità.
  • Dati personali – qualsiasi informazione relativa ad una persona fisica
  • Dati sensibili – dati personali idonei ad identificare l’origine razziale o etnica, convinzioni religiose, filosofiche od altro genere, le opinioni politiche, l’appartenenza ad organizzazioni religiose, filosofiche,sindacali, politiche etc. inclusi i dati relativi allo stato di salute.
  • Dati biometrici – dati personali relativi alle caratteristiche genetiche di una persona fisica che possano portare all’identificazione univoca , come per esempio immagini facciali, impronte digitale, dati dattiloscopici.
  • Dati genetici – dati personali relativi alla caratteristiche genetiche ereditate o acquisite che forniscano informazioni univoche sullo stato di salute della persona in oggetto e che risultino in particolare dall’analisi di campione biologico della persona fisica in oggetto.
  • Dati sanitari – dati personali attinenti alla salute fisica o mentale di una persona fisica, comprese anche le prestazioni di assistenza sanitaria.
  • Misure di sicurezza – complesso delle misure organizzative, tecniche, informatiche,logistiche e procedurali atte a configurare il livello minimo di protezione.

 

 

Pin It on Pinterest