Privacy: cosa prevede il GDPR, Regolamento europeo in materia di protezione dei dati personali? Le regole che hanno modificato la normativa esistente sono entrate in vigore il 25 maggio 2018: dagli obblighi per professionisti e imprese alle sanzioni previste per chi non li rispetta. Una panoramica sul tema.
Privacy: cosa prevede il GDPR, Regolamento europeo in materia di protezione dei dati personali?
L’acronimo GDPR sta per General Data Protection Regulation, il regolamento è nato in Europa per introdurre nuove regole in materia di protezione delle persone fisiche relativamente al trattamento dei dati personali e alla libera circolazione degli stessi.
Le disposizioni che arrivano dall’UE hanno modificato e integrato le norme già esistenti in materia e sono in vigore dal 25 maggio 2018.
Il concetto di protezione dei dati personali, infatti, non nasce con il GDPR. Ma è grazie alla spinta europea che, in un certo senso, si evolve: si è passati, infatti, da interventi ex post a un approccio che prevede una identificazione preventiva dei rischi sui dati trattati.
Prevenire è meglio che curare, si potrebbe sintetizzare con una massima popolare. Ed è questo il punto di partenza di una serie di obblighi che professionisti ed imprese sono chiamati a rispettare e che, in caso di violazioni, fanno scattare un sistema di sanzioni amministrative e penali.
Gli errori sulla privacy possono costare cari: fino a 20 milioni di euro o al 4 per cento del fatturato annuo.
Liceità, correttezza e trasparenza sono tre parole chiave: il trattamento dei dati personali non può essere illimitato nel tempo, ma funzionale al motivo per il quale sono stati raccolti, il consenso del consumatore\cliente deve essere esplicito e le modalità di utilizzo dei dati sempre spiegate in modo chiaro e semplice.
Il punto di riferimento sul tema in Italia è l’Autorità Garante per la protezione dei dati personali, autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy.
Di seguito una panoramica sul tema e sulle novità introdotte dal Regolamento generale per la protezione dei dati personali:
Privacy, cosa prevede e cosa tutela il GDPR, Regolamento europeo sulla protezione dei dati
Il GDPR è il regolamento in materia di privacy applicato ed ufficialmente in vigore in tutta Europa dal 25 maggio 2018: le principali novità si traducono in maggiori tutele per i consumatori e di conseguenza in maggiori responsabilità per le imprese e i professionisti
Il regolamento tutela i dati personali di persone fisiche, che possono essere trattati in forma cartacea o informatizzata: le misure da adottare cambiano in base alla modalità di conservazione.
Il GDPR è stato accolto da molti come uno strumento di rivoluzione culturale sul fronte della privacy. Ma non tutti sono d’accordo su questo punto, Antonio Ciccia Messina, avvocato esperto in materia, durante l’intervista rilasciata a Informazione Fiscale il 12 ottobre 2020, ha evidenziato che dal 2018 non c’è stato nessun cambio di rotta radicale sulla protezione dei dati personali:
“Il nuovo regolamento, in realtà, modifica e integra alcune regole già previste in Italia dal Codice della privacy del 2003 e prima ancora la legge 675 del 1996”.
L’ingresso del GDPR nel sistema non ha portato un totale cambio di paradigma, come forse ci si aspettava, ma ha modificato l’impianto normativo esistente. Di particolare importanza è l’inserimento di sanzioni ispirate ai principi di effettività, proporzionalità e dissuasività a cui vanno incontro imprese e professionisti in caso di mancato adempimento degli obblighi sulla privacy.
In ogni caso sono previste sanzioni molto pesanti in caso di violazione:
- 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non nominano il DPO (Data Protection Officer, ovvero Responsabile per la protezione dei dati), non comunicano episodi data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
- 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.
Privacy, i principali adempimanti previsti dal GDPR
Dal 25 maggio 2018 i soggetti che si trovano a trattare dati personali devono rispettare alcuni adempimenti obbligatori e fondamentali per essere in linea con il GDPR:
- nomina del DPO, Data Protection Officer, o in italiano RPD, responsabile della protezione dati;
- definizione di strategie da adottare in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);
- tenuta del registro dei trattamenti.
L’impresa o il professionista, in caso di controlli, deve essere in grado di dimostrare di aver fatto valutazione specifiche sulle attività svolte e di aver adottato o di saper adottare misure adeguate alla tutela della privacy degli interessati.
In tal senso è centrale il ruolo del DPO, il responsabile della protezione dati, che però non è obbligatoria per le PMI.
Privacy e GDPR: le parole da conoscere
Le ultime modifiche apportate alla normativa con il regolamento europeo sulla protezione dei dati personali hanno inserito nel linguaggio comune anche nuove parole connesse alla tutela della privacy.
Di seguito una panoramica sulla terminologia alla base del GDPR e degli obblighi che ne derivano:
- Informativa, è il documento con il quale il soggetto interessato esprime il consenso all’utilizzo e viene informato sul trattamento, deve essere chiara e di facile comprensione. L’informativa al trattamento dei dati deve spiegare in maniera semplice come saranno utilizzati i dati e per quanto tempo saranno conservati nelle banche dati;
- Consenso, il via libera al trattamento dei dati personali deve essere preventivo e inequivocabile, così come previsto già in passato. Non vale mai la regola del “chi tace acconsente”, il consenso dovrà essere esplicito e mai basato ponendo all’interessato una serie di opzioni già selezionate. Il consumatore può revocare il proprio consenso in ogni momento e l’azienda è obbligata a cancellare tutti i dati raccolti;
- Portabilità dei dati, il regolamento sulla privacy prevede la possibilità per i consumatori di richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Ad esempio si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati, così come ad esempio, nel caso di cambio di gestore dell’energia.
- Diritto all’oblio e conservazione limitata, il consumatore può richiedere la cancellazione dei propri dati personali online nei casi in cui i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento. Collegata al diritto all’oblio è un’altra regola prevista dal GDPR: la conservazione dei dati dell’utente\cliente non può essere illimitata ma la durata del trattamento deve essere collegata alla finalità per la quale è stato richiesto il consenso;
- Violazione dei dati personali, un esempio? Gli episodi di data breach, fuoriuscita dei dati. Il titolare del trattamento è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare deve informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Un esempio eclatante di data breach è quello che si è verificato sul sito INPS in occasione dell’apertura delle domande di accesso al bonus 600 euro previsto per l’emergenza coronavirus.
Gli utenti, che nella mattinata del 1° aprile hanno potuto navigare sulle pagine del portale INPS perlopiù bloccato, accedendo si sono trovati difronte a una sorpresa: l’identità di altre persone con tutto il pacchetto di dati personali che la piattaforma contiene, dal codice fiscale alla mail.
Privacy, chi è il DPO e quando deve essere nominato
Tra le novità più importanti introdotte dal GDPR vi è, inoltre, il DPO (Data Protection Officer - Responabile della protezione dei dati), una figura definita come l’alleato nella tutela dei dati del cliente.
Si tratta di un ruolo di garanzia e supporto, prevede una posizione di autonomia e indipendenza.
Il DPO è un soggetto terzo, e deve essere una figura di garanzia e rapporto diretto con l’Autorità Garante e con gli interessati.
Le funzioni del DPO, e i casi in cui deve essere nominato, sono contenute all’interno del Regolamento sulla Privacy. L’istituzione di tale figura è necessaria nei seguenti casi:
- quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
- quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari/sensibili) o di dati relativi a condanne penali e a reati.
Il Responsabile della protezione dei dati può essere nominato internamente o esternamente all’azienda e deve esser dotato di competenze giuridiche, informatiche, di gestione del rischio e analisi dei processi.
Il suo compito è quello di gestire il trattamento dei dati raccolti dall’azienda, nel rispetto della normativa sulla privacy.
I soggetti pubblici e privati devono comunicare al Garante il nome del DPO qualora designato, proprio questo perché, sulla base dell’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.
Sul sito www.garanteprivacy.it è disponibile una procedura online per la comunicazione del nominativo.
PMI esonerate dall’obbligo di tenuta del registro dei trattamenti
Tra i diversi obblighi previsti dal GDPR c’è anche quello relativo alla tenuta del registro dei trattamenti. Si tratta di un documento all’interno del quale bisogna indicare le caratteristiche del titolare del trattamento e del responsabile del trattamento: può essere utilizzato a fini di controllo ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere.
L’obbligo di tenuta del registro riguarda tutti i titolari e responsabili del trattamento dei dati personali, ad esclusione delle PMI con meno di 250 dipendenti.
L’obbligo, tuttavia, si estende anche alle piccole e medie imprese qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o in caso di particolari tipologie di dati.
Articolo originale pubblicato su Informazione Fiscale qui: Privacy: cosa prevede il GDPR, Regolamento europeo sulla protezione dei dati