privacy-gdpr

PRIVACY E GDPR

GDPR E NORMATIVA ITALIANA

In data 19 settembre 2018 è entrato in vigore il D.Lgs. 10 agosto 2018, n. 101 che ha introdotto le note per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Oltre a recepire integralmente quanto previsto dal GDPR, il D.Lgs. 101/2018 ha regolamentato alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR.

In realtà, almeno in Italia, oltre la metà delle aziende, così come tante pubbliche amministrazioni, non è ancora pronta ad allinearsi ai provvedimenti UE in materia di “data protection”, nonostante le pesanti sanzioni previste.

Con il concetto di “dati personali” si fa riferimento a tutte quelle informazioni riconducibili, direttamente o indirettamente, a una persona fisica, determinata o determinabile.

Non si tratta, dunque, solamente di dati anagrafici, ma anche di ulteriori tipologie, quali i dati di contatto (es. numero di telefono e indirizzo di posta elettronica), i dati biometrici (es. riproduzioni fotografiche della persona e impronte digitali), le abitudini alimentari e qualunque ulteriore genere di preferenza personale. Taluni di questi dati erano definiti “sensibili” (ora “particolari”, ai sensi del G.D.P.R.) e, insieme ad ulteriori categorie speciali, sono soggetti ad una maggiore tutela. Partendo dal presupposto che l’archiviazione dei dati personali costituisce, sostanzialmente, attività di trattamento, è facile comprendere come una qualunque banca dati (quali, ad esempio, le anagrafiche inerenti a clienti, dipendenti e fornitori, le registrazioni di sistemi di videosorveglianza o la gestione di un sito web), purché non relativa a dati anonimi, sia anch’essa soggetta alle prescrizioni del GDPR.

In estrema sintesi, il GDPR:

  • Introduce il concetto di responsabilizzazione (cd. accountability del titolare dei dati);
  • Stabilisce importi più elevati per le sanzioni amministrative per le violazioni;
  • Introduce il concetto di “privacy by design”, che vedremo di seguito;
  • Stabilisce regole più rigorose per la selezione e la nomina del responsabile del trattamento e di eventuali sub-responsabili;
  • Prevede alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati (DPO);
  • Stabilisce regole più chiare su informativa e consenso;
  • Amplia i diritti che spettano all’interessato introducendo il diritto all’oblio, il diritto di accesso e la portabilità dei dati;
  • Prevede criteri rigorosi per il trasferimento dei dati al di fuori dell’UE

Le norme si applicano infatti anche alle imprese situate fuori dall’Unione Europea che offrono servizi o prodotti all’interno del mercato UE.

Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole.

Le imprese devono considerare l’attuazione del GDPR non come un costo, ma come un investimento necessario a sostenere il proprio futuro. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e nell’ intelligenza artificiale.

SISTEMA PRIVACY

Per conformarsi a quanto richiesto dal GDPR, enti ed organizzazioni devono configurare un “sistema privacy”, che si evolve nel tempo, ispirato ai principi dell’accountability e delle privacy by design.

La Privacy by design impone al titolare di implementare le misure tecniche e organizzative adeguate al trattamento, onde attuare i principi di protezione dei dati personali in maniera efficace. 

I principi che reggono il sistema sono i seguenti:

  • prevenire, non correggere: i problemi vanno valutati nella fase di progettazione, e si deve prevenire il verificarsi dei rischi;
  • privacy come impostazione di default (ad esempio, non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo);
  • privacy incorporata nel progetto (ad esempio, l’utilizzo di tecniche di pseudonimizzazione o minimizzazione dei dati);
  • massima funzionalità, in maniera da rispettare tutte le esigenze;
  • sicurezza durante tutto il ciclo del prodotto o servizio;
  • visibilità e trasparenza del trattamento: tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati;
  • centralità dell’utente: rispetto dei suoi diritti, tempestive e chiare risposte alle sue richieste di accesso.

Il sistema di tutela dei dati personali deve porre l’utente al centro, obbligando il titolare del trattamento ad una tutela effettiva da un punto sostanziale e non solo formale.

L’approccio del GDPR è centrato sulla valutazione del rischio, per cui le aziende devono valutare il rischio inerente alle loro attività. Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. La valutazione del rischio andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi.

Quanto al principio dell’accountabiliy, introdotto sempre dal GDPR, questo consiste nella responsabilizzazione dei titolari del trattamento, cosa che implica l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

 

Elementi fondanti del modello di organizzazione privacy (MOP) sono:

  1. Registro dei Trattamenti
  2. Procedure
  3. Analisi dei Rischi
  4. DPIA

 

REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio, da esibire su richiesta del Garante.

Il registro deve avere forma scritta, anche elettronica.

Il Registro dei trattamenti è quindi un documento contenente le principali informazioni di cui all’art. 30 del GDPR relative alle operazioni di trattamento svolte dal Titolare del trattamento e, se nominato, dal Responsabile del trattamento.

Tale registro deve contenere:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO) ove previsto;
  • le finalità del trattamento, cioè i fini, stabiliti dal Titolare del Trattamento, per cui si trattano i dati;
  • la descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (come per es. i Responsabili del Trattamento, cioè i fornitori, a cui il titolare affida i dati personali custoditi);
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione delle misure di sicurezza tecniche e organizzative

 

Procedure

Il Titolare del Trattamento regola la propria attività mediante specifiche procedure ai fini di dimostrare la conformità al GDPR:

  • Privacy by Design / Default e DPIA;
  • Gestione delle violazioni dei Dati personali (Data Breach);
  • Gestione esercizio Diritti interessati;
  • Processo per la nomina di Responsabili del Trattamento;
  • Processo per la nomina di Soggetti Autorizzati al trattamento (Ex. Incaricati).
  • Processo per la conservazione e cancellazione dei dati personali

LA FIGURA DEL DPO (DATA PROTECTION OFFICER)

Il GDPR ha previsto anche l’introduzione della figura del Responsabile della Protezione dei Dati (o Data Protection Officer), il quale, al di là di alcune ipotesi di nomina obbligatoria, può essere designato dal Titolare o dal Responsabile del trattamento, quale strumento volto a garantire la conformità al GDPR. Questa figura, infatti, oltre a svolgere funzioni di consulenza, formazione, sorveglianza e assistenza, funge da referente e punto di contatto nei rapporti con il Garante per la protezione dei dati personali, rimanendo estraneo alle dinamiche di business dell’azienda o dell’organizzazione per cui lavora.

Il Responsabile della protezione dei dati:

  • Riferisce direttamente al vertice;
  • È indipendente e non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
  • Ha diritto a vedersi attribuite risorse umane e finanziarie adeguate ai suoi compiti;
  • Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”, nonché “qualità professionali adeguate alla complessità del compito da svolgere”;
  • E’altrettanto importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati.

ANALISI DEI RISCHI

L’analisi del rischio in, ottica GDPR, si traduce sostanzialmente nella valutazione dell’impatto e della probabilità del verificarsi di possibili minacce per i diversi trattamenti dei dati personali da parte dell’azienda. e impone al titolare del trattamento e al responsabile di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

DPIA

Come sopra precisato il progetto (applicazione o procedura organizzativa) che prevede l’istituzione e/o la modifica sostanziale di un trattamento, ha come punto di riferimento il principio di “Privacy by Design”. All’interno del processo di Privacy by Design, qualora  il trattamento dovesse presentare rischi elevati per diritti e le libertà delle persone fisiche” in considerazione della natura, dell’oggetto, del contesto, il Titolare del Trattamento sarà inoltre  tenuto alla esecuzione di un DPIA (Data Protection Impact Assessment) ovvero una valutazione d’impatto ai fini privacy.

Da ultimo va sottolineato che un adeguato MOP (modello organizzativo privacy) dovrà essere supportato da un’idonea conservazione documentale del Registro, delle informative rivolte agli interessati (documento contenente le  informazioni relative ai trattamenti eseguiti in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.), e delle lettere di designazione di responsabili interni, esterni, ed autorizzati al trattamento.

DATA BREACH

Altra importante innovazione del GDPR si trova nell’obbligo per il titolare del trattamento di comunicare eventuali violazioni dei dati personali al Garante. A livello nazionale il Garante Privacy ha predisposto un “Servizio telematico” dedicato al data breach, fornendo anche un tool di autovalutazione per la notifica all’Autorità di una violazione dei dati personali.

Related Posts

© 2019, Studio legale Avv.to Paola Raffaglio, Via Solferino n.23, Brescia | Via della Valverde n.5, Verona - p.iva 04135960989
Privacy Policy - powered by Mediatica Comunicazione