GDPR: tutto quello che c’è da sapere.

Dal DPO, ai registri delle attività di trattamento, sono numerose le novità da considerare prima del 25 maggio 2018, data in cui entrerà in vigore il GDPR, ossia il regolamento europeo sulla privacy. Ecco la guida pratica completa e cosa fare per adeguarsi.

Lucchetto su un asequenza di dati che esprime il concetto di privacy

Il 25 maggio 2018 entra in vigore il GDPR – General Data Protection Regulation, ovverosia il Regolamento europeo sulla privacy approvato il 14 aprile 2016, direttamente applicabile agli Stati membri dell’Unione, con il quale è stato delineato un nuovo quadro normativo in materia di protezione dei dati personali che pone molte nuove regole e importanti adempimenti da rispettare. Tuttavia, ad oggi, non tutti sono pronti alla novità e moltissimi ancora non si sono adeguati alle nuove regole e, in generale, vige ancora molta confusione sul tema. Cerchiamo, perciò, di fare chiarezza:

A chi si applica il GDPR.

Nell’analizzare il nuovo regolamento la prima cosa da fare è quella di individuarne il campo di applicazione.

Il GDPR, in particolare, avrà un impatto su tutti i professionisti e le imprese che, a prescindere da dove si trovino, vengano in contatto con i dati personali dei cittadini europei.

Campo di applicazione materiale.

Più tecnicamente, le nuove norme interessano tutti i professionisti e le imprese che trattano i dati personali delle (sole) persone fisiche in maniera interamente o parzialmente automatizzata o in maniera non automatizzata se i dati sono contenuti in un archivio o sono destinati a figurarvi.

Restano tuttavia esclusi dal campo di applicazione del GDPR:

  • i trattamenti di dati personali che non rientrano nel campo di applicazione del diritto UE;
  • i trattamenti di dati personali che sono effettuati dagli Stati membri nell’esercizio di attività rientranti nell’ambito della politica estera e di sicurezza comune;
  • i trattamenti di dati personali che sono effettuati da una persona fisica nell’esercizio di attività a carattere esclusivamente personale o domestico;
  • i trattamenti di dati personali che sono effettuati dalle autorità competenti con finalità di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, comprese la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Campo di applicazione territoriale.

Così definito il campo di applicazione materiale del Regolamento, va detto che lo stesso è circoscritto anche a livello territoriale, in quanto riguarda esclusivamente il trattamento dei dati personali effettuato nell’ambito delle attività poste in essere dal titolare del trattamento o da un responsabile del trattamento di uno stabilimento nell’Unione, anche se il trattamento è eseguito al di fuori dell’Unione.

Il GDPR, inoltre, si applica al trattamento dei dati personali di interessati che si trovano nell’Unione da parte del titolare o del responsabile del trattamento che non è stabilito nell’Unione, quando lo stesso riguarda:

  • l’offerta di beni o la prestazione di servizi a tali interessati nell’Unione o
  • il monitoraggio del comportamento tenuto dagli interessati all’interno dell’Unione.

Infine, l’applicazione del Regolamento si estende anche al trattamento dei dati personali effettuato dal titolare non stabilito nell’Unione ma in un luogo che è soggetto, in virtù del diritto internazionale pubblico, al diritto di uno Stato membro.

GDPR: i principi applicabili al trattamento.

In forza del Regolamento in vigore dal 25 maggio 2018, i dati personali:

  • devono essere trattati nel rispetto dei principi di liceità (come esattamente individuata dall’articolo 6 del Regolamento), correttezza e trasparenza;
  • devono essere raccolti per finalità determinate, esplicite e legittime e trattati in maniera compatibile con tali finalità;
  • devono rispondere al principio di minimizzazione e, quindi, essere adeguati, pertinenti e limitati a quanto necessario per rispettare le finalità del trattamento;
  • devono essere esatti e, quindi, eventualmente aggiornati;
  • devono essere conservati in maniera da consentire l’identificazione degli interessati solo per il tempo necessario al conseguimento delle finalità del trattamento e per periodi più lunghi solo per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica, statistici;
  • devono essere trattati in maniera tale che sia garantita una loro adeguata sicurezza.

Il consenso dell’interessato al trattamento.

Tra i vari aspetti di carattere generale della nuova normativa, occorre inoltre soffermarsi sulle previsioni che regolamentano il consenso dell’interessato al trattamento.

Infatti, il GDPR stabilisce che l’onere di dimostrare che l’interessato ha prestato il proprio consenso al trattamento grava sul titolare, il quale deve avere cura di fornire una richiesta di consenso chiara. La richiesta, laddove la dichiarazione da far sottoscrivere all’interessato riguardi anche altre questioni, deve inoltre essere agevolmente distinguibile dalle altre materie, comprensibile, facilmente accessibile e fatta con un linguaggio semplice e chiaro.

Revoca del consenso.

Nel caso in cui l’interessato revochi il proprio consenso (cosa possibile in qualsiasi momento con la stessa facilità prevista per dare il consenso), il trattamento effettuato prima della revoca resta comunque lecito e di tale circostanza l’interessato deve essere informato prima di esprimere il proprio consenso.

I diritti dell’interessato.

L’interessato del trattamento è tutelato dal Regolamento con la previsione di diversi diritti, ovverosia:

  • il diritto alla trasparenza circa le modalità con le quali sarà eseguito il trattamento;
  • il diritto di ricevere dal titolare o dal responsabile del trattamento delle specifiche informazioni circa i propri dati;
  • il diritto di accedere ai propri dati e di chiederne la rettifica o la cancellazione (cd. diritto all’oblio);
  • il diritto a che il trattamento dei propri dati, in specifici casi e a specifiche condizioni, sia limitato;
  • il diritto di opporsi al trattamento per specifici e documentati motivi;
  • il diritto alla portabilità dei dati personali.

La portabilità dei dati personali

Con particolare riferimento a tale ultimo aspetto, va detto che il diritto a trasferire i propri dati da un titolare del trattamento a un altro non è tuttavia esercitabile se i dati sono contenuti in archivi di interesse pubblico (ad esempio nelle anagrafi) o se gli stessi vogliono essere spostati in paesi extra Ue o in organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Il diritto all’oblio.

Un particolare approfondimento lo merita poi il cd. diritto all’oblio, che è il diritto dell’interessato a che il titolare del trattamento cancelli senza ingiustificato ritardo i suoi dati personali. Tale diritto, infatti, è esercitabile nelle seguenti ipotesi:

  • i dati personali non sono più necessari rispetto alle finalità della raccolta o del trattamento;
  • l’interessato ha revocato il consenso su cui si fonda il trattamento e quest’ultimo non ha altro fondamento giuridico;
  • l’interessato si oppone al trattamento e non sussiste alcun motivo giuridico per procedervi comunque;
  • i dati personali sono stati trattati illecitamente;
  • i dati personali devono essere cancellati per adempiere a un obbligo legale cui è soggetto il titolare del trattamento;
  • i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Il DPO – Data Protection Officer.

Il Regolamento ha introdotto poi una nuova figura, che assume un ruolo di primo piano nel nuovo sistema della privacy: il DPO – Data Protection Officer, al quale viene affidato il compito di garantire che le imprese e gli enti gestiscano i dati personali trattati in maniera corretta.

Il DPO (o responsabile della protezione dei dati), deve essere necessariamente nominato dal titolare e dal responsabile del trattamento nei seguenti casi:

  • quando il trattamento è effettuato da un’autorità pubblica o un organismo pubblico diverso dalle autorità giurisdizionali nell’esercizio delle loro funzioni;
  • quando le attività principali poste in essere dal titolare o dal responsabile del trattamento richiedono (per la loro natura, per il loro ambito di applicazione e/o per le loro finalità) il monitoraggio regolare e sistematico degli interessati su larga scala;
  • quando le attività principali poste in essere dal titolare o dal responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a specifici reati.

DPO può essere sia un dipendente del titolare o del responsabile del trattamento, che un soggetto esterno chiamato ad assolvere i suoi compiti in base a un contratto di servizi. La scelta va fatta comunque tra soggetti che abbiano delle qualità professionali adeguate e che quindi conoscano in maniera specialistica la normativa e la prassi in materia di protezione dei dati personali e che siano in grado di assolvere i compiti affidati dal Regolamento al responsabile della protezione dei dati.

I compiti del DPO.

Nel dettaglio, al responsabile della protezione dei dati sono affidati dei compiti ben precisi che lo rendono una figura che, sebbene non vada a sostituire nella loro centralità il titolare e il responsabile del trattamento, assume un ruolo chiave ai fini della tutela e della protezione dei dati personali.

Il DPO, infatti, deve:

  • dare un adeguato supporto informativo e consulenziale al titolare del trattamento, al responsabile del trattamento e ai dipendenti incaricati del trattamento;
  • sorvegliare che il Regolamento sia adeguatamente osservato e che siano rispettate anche le altre disposizioni dell’Unione o interne in materia di privacy e le politiche sulla protezione dei dati personali adottate dal titolare o dal responsabile del trattamento;
  • essere disposto a fornire, su eventuale richieste, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento in conformità con il Regolamento;
  • cooperare con l’autorità di controllo e fungere da punto di contatto per quest’ultima con riferimento alle questioni connesse al trattamento;
  • effettuare, se necessario, delle consultazioni relative al trattamento. registri delle attività di trattamento

I registri delle attività di trattamento.

Altro aspetto di particolare rilievo del GDPR è rappresentato dall’introduzione di due registri fondamentali nella gestione dei dati personali.

Innanzitutto, ogni titolare del trattamento e, ove applicabile, il suo rappresentante sono onerati della tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità nel quale vanno riportati:

  • il nome e i contatti del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del DPO;
  • le finalità del trattamento;
  • la descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatario cui sono stati o saranno comunicati i dati personali raccolti;
  • gli eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, con l’identificazione di tali soggetti e, ove necessaria, la documentazione delle garanzie adeguate;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati (ove possibile);
  • la descrizione generale delle misure di sicurezza tecniche e organizzative (ove possibile).

Il responsabile del trattamento e, ove applicabile, il suo rappresentante sono invece onerati della tenuta di un registro delle categorie di attività svolte per conto di un titolare del trattamento.

In esso vanno riportati:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale si agisce, del rappresentante del titolare del trattamento o del
  • responsabile del trattamento e, ove applicabile, del DPO;
  • le categorie dei trattamenti che sono stati effettuati per conto di ogni titolare del trattamento;
  • gli eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale e, se del caso, la documentazione delle garanzie adeguate;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative (ove possibile).

Entrambi i registri devono essere tenuti in forma scritta, anche in formato elettronico.

GDPR: cosa fare per adeguarsi.

Per adeguarsi alle previsioni del GDPR è quindi necessario eseguire alcune fondamentali azioni.

Innanzitutto, bisogna provvedere a predisporre i registri delle attività di trattamento.

Inoltre è fondamentale dotarsi di un Data Protection Officer, se si è tra i soggetti tenuti a provvedervi.

Chiaramente occorre poi stendere o adeguare la documentazione in materia di trattamento dei dati personali, per renderla completa e aggiornata alla luce delle prescrizioni introdotte dal Regolamento in vigore dal 25 maggio 2018, provvedendo anche a definire le politiche di sicurezza e di valutazione dei rischi. Il tutto senza dimenticare di individuare i diversi ruoli e le responsabilità dei soggetti che effettuano il trattamento.

Il mancato adeguamento e il mancato rispetto delle norme in materia di privacy introdotte dal GDPR può comportare l’applicazione di sanzioni di carattere sia amministrativo che penale.

Fonte: StudioCataldi

About Massimo Montanari
Massimo Montanari, italiano, nato a Lussemburgo il 16 luglio 1961. Formatosi in Confcommercio col ruolo di Segretario delle Delegazioni di Sarsina e Mercato Saraceno, dal 2011 ha deciso di cambiare percorso lavorativo ed ha portato il suo bagaglio di esperienza nel Settore Sindacale dell'Associazione Cesenate. Attualmente si occupa di varie categorie Sindacali all'interno di Confcommercio e tra queste quella che ha avuto i maggiori risultati in termini di aumento di Associati è proprio la F.I.M.A.A. Cesena della quale è Segretario Provinciale. Buon Tennista, è anche grande appassionato di Basket ed è attivo nel mondo del Volontariato. “Malamente opera chi dimentica ciò che ha imparato". ”Tito Maccio Plauto"

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: