GDPR: il quadro normativo
Presso la sede G.I.S.I. lo scorso marzo si è tenuto un incontro sul tema del nuovo Regolamento generale sulla protezione dei dati (GDPR). Vediamo quali sono le novità e i punti salienti, tra nuovi concetti, diritti, condizioni necessarie e sanzioni
di Renato Uggeri
Come è noto, il nuovo Regolamento generale sulla protezione dei dati diventerà applicabile in tutti i Paesi dell’Ue a partire dal prossimo 25 maggio. Nel loro intervento, Sabrina Bruschi di TÜV Italia, Business Assurance Division, e l’avvocato Stefano Azzolina dello Studio Legale Azzolina e Associati, hanno spiegato alcuni dei punti più importanti.
Il concetto di “dato personale”: limiti, criteri e violazioni
Fra le numerose novità introdotte illustrate da Sabrina Bruschi, il concetto di “dato personale”, ossia di qualsiasi informazione che riguardi persone fisiche identificate o che possono essere identificate, come il nome e il cognome o la denominazione, l’indirizzo, il codice fiscale e così via. Il GDPR introduce regole chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali e stabilisce criteri più rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati stessi. Eventuali violazioni possono essere segnalate all’autorità di protezione dei dati del proprio Paese qualunque sia il luogo in cui il trattamento è effettuato (sportello unico). Il Titolare del trattamento deve notificare la violazione al Garante entro 72 ore dal momento in cui è venuto a conoscenza del fatto. Trascorse le 72 ore, deve motivare il ritardo nella comunicazione.
Quali sono i diritti dell’interessato e come può garantirli
L’interessato ha il diritto di chiedere ai motori di ricerca di deindicizzare una pagina web o di chiedere a un sito web di cancellare informazioni. È anche riconosciuto il diritto di ottenere la restituzione dei propri dati personali trasmessi a un’azienda o a un servizio online e trasmetterli ad altri.
L’interessato ha inoltre il diritto di essere informato dell’esistenza del trattamento e delle sue finalità. Inoltre, dovrebbe essere informato dell’esistenza di una profilazione e delle sue conseguenze. Consenso dell’interessato è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale manifesta il proprio assenso, per esempio mediante dichiarazione. Il titolare del trattamento deve mettere in atto misure adeguate per garantire, e poter dimostrare, che il trattamento è effettuato conformemente al regolamento.
La questione dei documenti
Per quanto riguarda i documenti, il GDPR non dice che cosa dobbiamo avere da un punto di vista formale. Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento stesso deve effettuare una valutazione preliminare del suo impatto sulla protezione dei dati personali, della probabilità e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio.
Per migliorare la trasparenza e il rispetto del regolamento, dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi.
L’adesione ai codici di condotta o a un meccanismo di certificazione può essere utilizzata per dimostrare il rispetto degli obblighi del titolare del trattamento.
Le differenze tra il titolare e il responsabile del trattamento
È quindi intervenuto l’avvocato Azzolina, che si è soffermato su aspetti quali il titolare e il responsabile del trattamento, i registri dei trattamenti e categorie particolari di dati, il responsabile della protezione dei dati (DPO, Data Protection Officer), nonché la nuova informativa e il consenso.
In particolare, il titolare del trattamento è colui che decide le sorti del trattamento stesso, mettendo in atto misure adeguate per garantire e dimostrare la sua conformità al Regolamento. Il responsabile del trattamento è invece colui che opera per conto del titolare, presentando garanzie sufficienti per mettere in atto misure tali da soddisfare i requisiti del Regolamento. I registri delle attività di trattamento sono tenuti da ogni titolare e da ogni responsabile in forma scritta, anche in formato elettronico. Tuttavia questi obblighi non si applicano alle imprese con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato.
La figura del responsabile della protezione dei dati
Il responsabile della protezione dei dati deve essere designato sistematicamente. L’interessato o la persona presso la quale sono raccolti i dati personali sono informati in anticipo su: le finalità e le modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere, i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza e l’ambito di diffusione dei dati medesimi e così via.
Il titolare del trattamento fornisce all’interessato ulteriori informazioni come: il periodo di conservazione dei dati personali oppure i criteri utilizzati per determinare tale periodo; l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano, o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca, il diritto di proporre reclamo a un’autorità di controllo e così via.
La liceità del trattamento e le condizioni necessarie
Il trattamento è lecito se ricorre almeno una delle seguenti condizioni: l’interessato ha espresso il consenso; il trattamento è necessario all’esecuzione di un contratto o per adempiere un obbligo legale al quale è soggetto il titolare o per la salvaguardia di interessi vitali, o per l’esecuzione di un compito di interesse pubblico, o per il perseguimento del legittimo interesse del titolare o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. Infine, qualora il trattamento sia basato sul consenso, il titolare deve poter dimostrare che l’interessato ha prestato il proprio consenso; se il consenso è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile, e l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.
Pesanti sanzioni per le aziende che non si adeguano
In caso di mancata o errata applicazione del GDPR, sono previste diverse sanzioni che spaziano da una semplice diffida amministrativa a sanzioni fino a 20 milioni di euro in base alla natura, alla gravità e alle conseguenze della violazione che è stata compiuta.
In particolare, l’inosservanza degli obblighi del titolare e del responsabile del trattamento, degli obblighi dell’organismo di certificazione o degli obblighi dell’organismo di controllo prevedono sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato globale annuo dell’esercizio precedente. L’inosservanza dei principi base del trattamento, dei diritti degli interessati, delle disposizioni sul trasferimento dei dati personali in Paesi terzi o verso organizzazioni internazionali, di un ordine di limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo, così come l’inosservanza di un ordine correttivo dell’autorità di controllo, prevedono sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato globale annuo dell’esercizio precedente. Per evitare sgradite sorprese conviene quindi mettersi in regola per tempo e, soprattutto, rispettare scrupolosamente il Regolamento.