GDPR

Il GDPR (General Data Protection Regolution), il Regolamento Europeo che rinnova in maniera organica la tematica della tutela della privacy e della protezione dei dati personali, è entrato in vigore nel 2016 e sarà direttamente applicabile in tutti gli Stati dell'Unione europea a partire dal 25 maggio 2018.

Sulla scorta degli elementi di novità apportati dal GDPR, tutte le imprese dalle più piccole alle più grandi devono adottare un sistema di trattamento dei dati fin dall’origine, cioè fin dalla loro acquisizione, su vari livelli, dalla governance, ai processi di comunicazione fino alla cancellazione in banca dati.

LINEE GUIDA: COME ARRIVARE PREPARATI AL 25 MAGGIO 2018

Per rendere più agevole l’adeguamento alla novella regolamentare, si  consiglia di considerare i seguenti punti ai fini di un raffronto ed un successivo aggiornamento di quelle che sono le  attività di trattamento e di  protezione dei dati personali all’interno delle singole realtà aziendali, soprattutto alla luce delle novità contenute nel Regolamento Europeo 2016/679 direttamente applicabile a far data dal 25 maggio ( meno di 2 mesi).

 

1)   VALUTAZIONE DELLA COMPLIANCE-STESURA DI UN REGISTRO DEI TRATTAMENTI

È necessario effettuare una raccolta e analisi delle informazioni sull’organizzazione aziendale mediante la stesura di un registro dei trattamenti. Si tratta  di una mappatura aggiornata di tutti i trattamenti posti in essere in un’azienda o in un’altra realtà organizzativa, utile non solo ai fini di un controllo da parte del Garante, ma soprattutto allo scopo di disporre un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, indispensabile per ogni valutazione ed analisi del rischio.

Esso costituisce parte integrante di un sistema di corretta gestione dei dati personali, tale per cui, a prescindere dalle dimensioni organizzative di un’azienda, è indispensabile e doveroso la dotazione di tale strumento per conoscere i vari trattamenti effettuati all’interno delle singole aziende . Per le aziende sprovviste se ne consiglia la stesura o la raccolta dei trattamenti dei dati fino ad oggi realizzati.

2) STESURA/MODIFICA DELLA DOCUMENTAZIONE

Tutta la documentazione deve essere necessariamente aggiornata e completa, con particolare riguardo alle modalità di manifestazione del consenso da parte del singolo interessato e dell’informativa resa allo stesso da parte delle figure all’uopo preposte.

Secondo le novità introdotte dal Regolamento Europeo, per i dati sensibili il consenso deve essere reso in forma esplicita ed è necessario che venga manifestato da parte dell’interessato in modo inequivocabile, quindi bisogna rivedere le modalità attraverso le quali l’interessato abbia prestato il consenso ad uno specifico trattamento e che lo stesso consenso sia reso in modo inequivocabile. In particolare, è necessario verificare che la richiesta di consenso sia distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica. Il consenso dei minori è valido a partire dai 16 anni, anche se la normativa nazionale potrebbe abbassare la soglia minima a 13 anni.

Bisogna prestare molta attenzione alla formula utilizzata per chiedere il consenso: essa deve essere chiara, semplice e comprensibile. Tali ultime caratteristiche si delineano anche per l’informativa, che rappresenta un diritto fondamentale dell’interessato e deve essere resa nel momento in cui i dati sono ottenuti dal titolare del trattamento. Essa deve essere resa in forma scritta e preferibilmente in formato elettronico anche mediante l’utilizzo di icone in combinazione con l’informativa stessa. Essa presenta un contenuto più ampio rispetto alle attuali regole: a partire dal 25 maggio 2018 è possibile prevedere il periodo di conservazione dei dati personali dell’interessato da parte del titolare, così come delle tempistiche entro cui l’informativa deve essere fornita (di regola un mese). È necessario, quindi, prestare molta attenzione ai contenuti obbligatori ed alle modalità di redazione in tema di informativa, apportando  le relative modifiche o integrazioni, se dovute.

 

3) INDIVIDUAZIONE DEI RUOLI E DELLE RESPONSABILITÀ

Tra le figure preposte ad assunzioni di responsabilità all’interno delle realtà aziendali vi è il Responsabile del trattamento dei dati personali che secondo la novella regolamentare è nominato dal Titolare del trattamento di dati personali, mediante uno specifico contratto (o altro atto giuridicamente conforme al diritto nazionale) fra coloro che abbiano garanzie sufficienti a mettere in atto le misure tecniche ed organizzative rispondenti ai principi enucleati dal Regolamento.

Nel contratto devono essere dettagliatamente specificati: la materia, le finalità, la natura e la durata del trattamento, la tipologia dei dati trattati, gli obblighi ed i diritti del titolare, nonché i compiti del responsabile del trattamento che non potranno esulare dalle statuizioni contrattuali, se non previa autorizzazione scritta da parte del Titolare (art. 28 par. 3).

 

4) INDIVIDUAZIONE E NOMINA DI UN DATA PROTECTION OFFICER

Si tratta di una figura di primo piano e di garanzia professionale introdotta dal Regolamento (all’art. 37), designata in funzione delle qualità professionali con conoscenza specifica della normativa ed in materia di protezione dei dati. Tale soggetto rappresenta il fulcro del processo di “responsabilizzazione” o (accountability) del Regolamento Europeo, poiché assiste il Titolare del Trattamento e/o il Responsabile del trattamento. Nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.  Il ruolo di responsabile della protezione dei dati personali potrà essere rivestito tanto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti, quanto da un soggetto esterno, a patto che non vi sia conflitto d'interessi con gli altri soggetti coinvolti nelle realtà aziendali. A tal proposito, il Garante ha chiarito che sarebbe preferibile non assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, ecc.). 

Il Titolare ha l’obbligo di nominare il DPO in tre casi specifici:

a) qualora il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico (eccetto le autorità giurisdizionali quando esercitano le loro funzioni);

b) qualora le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

 

5) DEFINIZIONE DELLE POLITICHE DI SICUREZZA, VALUTAZIONE DEI RISCHI  E VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI PERSONALI.

Sulla base del principio di responsabilizzazione introdotto dal GDPR, maggiore attenzione viene riservata al novero dei rischi derivanti dal trattamento dei dati personali del singolo interessato tale da avere ripercussioni in termini di diritti e libertà fondamentali della persona che dovranno essere preventivamente analizzati dal titolare o dal responsabile del trattamento. Quest’ultima figura potrà decidere in via del tutto autonoma, quali misure tecniche organizzative porre in essere al fine di limitare i rischi derivanti dall’uso dei dati personali dell’interessato. Si profila quella che in gergo si suole definire valutazione di impatto privacy (DPIA), all’esito della quale il titolare potrà decidere di propria iniziativa se iniziare il trattamento dei dati, soprattutto se esso implica l’uso di nuove tecnologie (con l’adozione di strumenti atti a limitare il rischio) ovvero consultare l’autorità di controllo al fine di ottenere indicazioni sulla gestione del rischio residuale.

 

6) IMPLEMENTAZIONE DEI PROCESSI PER L’ESERCIZIO DEI DIRITTI DEL’INTERESSATO.

L’alveo dei diritti riconosciuti al diretto interessato si fa più ampio con il Regolamento europeo

- Diritto di accesso ai dati personali (ovvero diritto di ricevere una copia dei dati personali oggetto di trattamento). È prevista l’indicazione del periodo di conservazione dei dati o se non è previsto i criteri adoperati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi Terzi.

- Diritto alla rettifica o la cancellazione degli stessi (obbligo per i titolari di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati).

- Diritto di limitazione del trattamento o di opporsi al loro trattamento. È importante che il dato personale sia contrassegnato in attesa di indicazioni ulteriori, sicché è necessaria la predisposizione di misure idonee a tale scopo.

- Diritto alla portabilità dei dati: si applica solo a quei dati per i quali vi è stato il consenso dell’interessato o sulla base di un contratto stipulato con quest’ultimo. Non si applica ai trattamenti non automatizzati ( no archivi o registri cartacei).

  

7) PROCESSO DI DATA BREACH.

Nel caso in cui si paventi una violazione dei dati personali dell’interessato, il Regolamento a far data dal 25 maggio 2018 prescrive l’obbligo per il titolare di notificare tale evento al Garante senza giustificato ritardo entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo che sia manifestamente palese che il trattamento dei dati personali non comporti alcuna limitazione dei diritti e delle libertà della persona (c.d. data breach).  Se la violazione non è valutata idonea ai fini sopra evidenziati e come tale non suscettibile di essere tempestivamente comunicata all’autorità di controllo, il titolare deve comunque tenere evidenza dell’accaduto, unitamente alle circostanze che hanno determinato la violazione, le conseguenze derivanti. Tutte le violazioni devono essere documentate da parte del Titolare del trattamento (anche se non notificate al Garante e non comunicate agli interessati), pertanto si suggerisce di adoperarsi a rendere ciò attuabile prima dell’entrata in vigore del GDPR.  A riprova di quanto sopra esposto, la documentazione di tali violazioni potrebbe essere esibita, se richiesta all’Autorità di controllo, quindi è doveroso adeguarsi alla relativa prescrizione onde evirare importanti conseguenze sanzionatorie.

 

8) CONSEGUENZE

L’intero sistema delineato dal Regolamento Europeo ha un contenuto sanzionatorio di notevole impatto, atteso che la  mancata applicazione delle regole ivi contenute comporterà pesanti conseguenze. Alcune infrazioni del regolamento, soprattutto i casi più gravi sono punibili con sanzioni pecuniarie fino al 4% del fatturato totale annuo dell’azienda o fino ad un massimo di 20 milioni di euro.

Più specificatamente:

Violazioni commesse da parte del titolare del trattamento

• la violazione dei diritti dell’interessato da parte dei titolari del trattamento comporta l’inflizione di sanzioni amministrative pecuniarie fino a € 20.000.000,00 e, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente;

• la violazione degli obblighi del titolare del trattamento dei dati personali dell’obbligo di nomina del Responsabile della protezione dei dati determina l’inflizione da parte dell’Autorità Garante di sanzioni amministrative pecuniarie pari ad € 10.000.000,00, ovvero per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

• la violazione degli obblighi del titolare del trattamento dei dati personali degli artt. 35 e 36 del regolamento in relazione alla valutazione di impatto privacy (DPIA)determina l’inflizione da parte dell’Autorità Garante di sanzioni amministrative pecuniarie pari ad € 10.000.000,00, ovvero per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

• il titolare del trattamento dei dati personali è soggetto a conseguenze civilistiche, in termini di risarcimento danno cagionato all’interessato in conseguenza del trattamento illecito dei suoi dati personali.

• Il titolare è esposto a tutti i poteri di indagine ed agli interventi correttivi dell’Autorità di controllo.

 

Violazioni commesse da parte del responsabile del trattamento

• La violazione degli obblighi del titolare e del responsabile del trattamento dei dati personali dell’obbligo di tenuta dei registri delle attività di trattamento ex art. 30 del Regolamento determina l’inflizione da parte dell’Autorità Garante di sanzioni amministrative pecuniarie pari ad € 10.000.000,00, ovvero per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio

 • la violazione dei diritti dell’interessato da parte del Responsabile del trattamento comporta l’inflizione di sanzioni amministrative pecuniarie fino a € 20.000.000,00 e, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente;

• la violazione degli obblighi del Responsabile del trattamento dei dati personali dell’obbligo di nomina del Responsabile della protezione dei dati determina l’inflizione da parte dell’Autorità Garante di sanzioni amministrative pecuniarie pari ad € 10.000.000,00, ovvero per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;

• il Responsabile del trattamento dei dati personali è soggetto a conseguenze civilistiche, in termini di risarcimento danno cagionato all’interessato in conseguenza del trattamento illecito dei suoi dati personali;

  • Il Responsabile è esposto a tutti i poteri di indagine ed agli interventi correttivi dell’Autorità di controllo.

 

Sulla scorta delle osservazioni che precedono, si suggerisce alle singole realtà aziendali di prestare particolare attenzione ai punti sopra delineati, che possono fungere da linee guida  ai fini di un doveroso raffronto  in materia di trattamento e protezione  dei dati personali della vecchia normativa rispetto a quella di immediata applicazione ( a far data dal 25 maggio 2018) adoperando le necessarie modifiche e/o integrazioni, anche sulla scorta delle importanti conseguenze sanzionatorie applicabili.