Il regolamento entrerà in vigore in Italia a partire dal 25 maggio 2018: vediamo i principali adempimenti a carico delle aziende.

Normativa GDPR

COS’E’ IL GDPR

Il GDPR è il nuovo Regolamento Generale sulla Protezione dei Dati personali che mira a rafforzare e rendere omogeneo il trattamento dei dati personali dei cittadini e residenti dell’Unione Europea, all’interno ed all’esterno dei confini dell’Unione Europea. Entrerà in vigore in Italia a partire dal 25 maggio 2018.
Questo comporterà una serie di nuovi obblighi a carico delle aziende in materia di privacy, ma ad oggi ci sono ancora molti dubbi su cosa devono effettivamente fare le aziende per essere in linea con la normativa.
Di seguito proveremo ad evidenziare gli aspetti principali della nuova normativa.

Il regolamento pone con forza l’accento sulla  “responsabilizzazione” di titolari e responsabili del trattamento dei dati personali delle persone fisiche e sull’adozione di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design”, ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati; tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.  

Dunque, l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare e nel caso di irregolarità sono previste delle sanzioni.

 

INFORMATIVA SULLA PRIVACY

E’ opportuno che le aziende verifichino la rispondenza delle informative sulla privacy attualmente utilizzate a tutti i nuovi criteri previsti dal Regolamento, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie.

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice Civile. In particolare, devono essere specificati i dati di contatto del RPD – DPO se presente (Responsabile della protezione dei dati – Data Protection Officer), la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti.

Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.

Il regolamento specifica in dettaglio le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee.

 

RILASCIO DEL CONSENSO AL TRATTAMENTO DATI PERSONALI

Il regolamento conferma che ogni trattamento di dati deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy – d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

I consensi raccolti precedentemente al 25 maggio 2018 restano validi se hanno tutte le caratteristiche previste dal Regolamento. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento.

 

DIRITTI DEGLI INTERESSATI

Le modalità per l’esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del regolamento. E’ opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica).

 

TITOLARE, RESPONSABILE E INCARICATO DEL TRATTAMENTO DATI PERSONALI

Il regolamento:

– disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;

– fissa più dettagliatamente (rispetto al Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;

– consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3);

– prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare, la tenuta del registro dei trattamenti svolti; l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti; la designazione di un RPD – DPO nei casi previsti dal regolamento.  

Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.

 

REGISTRO DEI TRATTAMENTI

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, il Garante della Privacy invita tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta.

 

MISURE DI SICUREZZA

Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. Il titolare del trattamento e il responsabile hanno il compito di mettere in atto misure tecniche e organizzative finalizzate alla protezione dei dati.

 

NOTIFICA DELLE VIOLAZIONI DI DATI PERSONALI

A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare della violazione anche gli interessati, sempre “senza ingiustificato ritardo”. Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati. Si raccomanda, pertanto, ai titolari di trattamento di adottare le misure necessarie a documentare eventuali violazioni, essendo peraltro tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

 

RESPONSABILE DELLA PROTEZIONE DEI DATI

In base al GDPR, alcuni titolari del trattamento e responsabili del trattamento sono tenuti a nominare un RPD. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali. Anche ove il regolamento non imponga in modo specifico la designazione di un RPD, il Garante specifica che può risultare utile procedere a tale designazione su base volontaria.

Si raccomanda a titolari del trattamento e responsabili del trattamento di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. Tale analisi fa parte della documentazione da produrre in base al principio di responsabilizzazione e può essere richiesta dall’autorità di controllo. Tale analisi dovrà tener conto del concetto di “attività principale” e del concetto di “larga scala”.

La normativa afferma che le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare del trattamento o dal responsabile del trattamento. Per esempio, si può citare il caso di un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, e questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ne consegue che anche l’impresa in oggetto deve nominare un RPD.

In base all’articolo 37, paragrafo 1, lettere b) e c), del GDPR, occorre che il trattamento di dati personali avvenga su larga scala per far scattare l’obbligo di nomina di un RPD. A ogni modo, si raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la durata, ovvero la persistenza, dell’attività di trattamento,la portata geografica dell’attività di trattamento. Alcuni esempi di trattamento non su larga scala sono i seguenti: trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario; trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria. Ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Se si procede alla nomina di un RPD perchè obbligatorio o su base volontaria, troveranno applicazione tutti i requisiti di cui agli articoli 37-39 per quanto concerne la nomina stessa, lo status e i compiti. Il responsabile della protezione dei dati personali è un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (la nomina va effettuata mediante comunicazione telematica ufficiale al Garante della Privacy) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali. Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici. Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti. Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni (non in conflitto di interessi), a condizione che garantiscano l’effettivo assolvimento dei compiti. Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento. Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla.
Nulla osta a che un’azienda o un ente, quando non sia soggetta all’obbligo di designare un RPD e non intenda procedere a tale designazione su base volontaria, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali.

 

RIEPILOGO DELLE ATTIVITA’ PRATICHE DA SVOLGERE:

  • Verificare ed in caso adeguare alla nuova normativa l’informativa sulla privacy e la modulistica relativa al rilascio del consenso;
  • Valutare se adottare o meno il registro dei trattamenti e in ogni caso compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche;
  • Effettuare una analisi interna documentata contenente le valutazioni compiute per stabilire se si applichi o meno l’obbligo di nomina di un RPD;
  • Se viene nominato un RPD sarà necessario effettuare con il suo coordinamento una analisi sulla situazione aziendale in ambito privacy e relativi sistemi di sicurezza. Se non si procede alla nomina di un RPD sarà necessario valutare se effettuare tale analisi autonomamente oppure se rivolgersi comunque a consulenti esterni esperti in materia.
  • Da un punto di vista prettamente operativo bisogna accertarsi che le apparecchiature hardware e i prodotti software installati nel sistema siano coperti dal supporto del produttore. È fondamentale che essi siano sempre aggiornati, altrimenti il rischio di esposizione di dati e informazioni è elevato.
    La sicurezza è prioritaria quindi, sarà importante automatizzare il più possibile la gestione degli aggiornamenti per potere dimostrare di essere coperti dalle vulnerabilità appena vengono pubblicate e aver così ridotto per quanto possibile i breach all’infrastruttura. Il regolamento non detta se e come bisogna cambiare l’infrastruttura aziendale, ma è sicuro che sfruttare il cloud permetta di governare i processi in modo organico. Allo stesso modo è fondamentale l’aggiornamento e il controllo non solo delle infrastrutture aziendali, ma di qualsiasi dispositivo utilizzato. Anche per smartphone e tablet in dotazione ci si deve porre gli stessi interrogativi, verificarne l’aggiornamento.

 

Tale guida è stata redatta a solo scopo informativo. Il regolamento UE completo sulla protezione dei dati personali si può visionare sul sito del Garante della privacy www.garanteprivacy.it/regolamentoue