Gdpr

GDPR: cosa dice il nuovo regolamento europeo per il trattamento dei dati personali

Il regolamento generale sulla protezione dei dati, meglio noto come GDPR (General Data Protection Regulation), è la principale norma europea sul trattamento dei dati personali, un atto che ha il compito di radunare e armonizzare tutte le precedenti norme (comunitarie e non) e assicurare la libera circolazione dei dati personali tra gli Stati membri.

Il GDPR è entrato in vigore nel maggio del 2016, ma diventerà effettivo solo dal prossimo 25 maggio, data in cui terminerà il periodo di transizione (il regolamento a differenza della direttiva non va recepito dai singoli Paesi ma è già di per sé vincolante e vigente).

Da quella data in pratica, le precedenti disposizioni in materia – per l’Italia la Direttiva 95/46/EC sulla protezione dei dati e il codice per la protezione dei dati personali dlgs.n. 196/2003 – verranno sostituiti dalla nuova norma, anche se non è esclusa la possibilità di una norma locale che funga da raccordo fra vecchio e nuovo ordinamento.

GDPR: cosa definisce il nuovo regolamento
In linea generale, si può dire che il nuovo regolamento (GDPR 2016/679) intervenga su sei punti chiave della disciplina sul trattamento dei dati. E cioé:

Ambito di applicazione del regolamento
Categorie di dati soggette alle nuove norme
Consenso: ovvero come si esplicita l’autorizzazione al trattamento dei dati da parte dell’interessato
Responsabilità: intesa come insieme di obblighi del titolare del trattamento nei confronti degli interessati (e delle autorità)
Sicurezza: norme (tecniche e procedurali) per garantire l’inviolabilità dei dati
Controlli e sanzioni: chi vigila sul corretto trattamento dei dati e quali sono le pene in caso di inadempienze
GDPR: quando si applica (e quando no)
Il nuovo regolamento europeo disciplina il trattamento dei dati personali relativi alle persone nell’UE, da parte di persone, società o organizzazioni. Nello specifico, si legge nel documento ufficiale pubblicato sulla Gazzetta dell’UE, si applica al “trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

Ovviamente, trattandosi di regolamento europeo, l’atto vale solo per il trattamento dei dati personali di interessati che si trovano all’interno dell’Unione Europea (ma, attenzione, non è necessario che il trattamento avvenga all’interno dei confini europei), oppure quando le attività di trattamento riguardano:

Offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
Monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Il GDPR non si applica al trattamento dei dati personali di persone decedute o di persone giuridiche. Non rientrano nel regolamento neppure i dati trattati per motivi strettamente personali o per attività svolte in casa (come nel caso di un individuo che utilizza la propria rubrica privata per invitare gli amici via e-mail a una festa), a condizione che non vi sia alcun legame con attività professionali o commerciali.

Quali dati possono essere definiti personali
Il dato personale viene definito come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Per “identificabile” si intende la persona fisica che può essere riconosciuta, direttamente o indirettamente, attraverso attributi come nome, numero di identificazione, dati relativi all’ubicazione, identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In aggiunta al dato personale in senso stretto vanno considerati altre tre specifiche tipologie di dati (anch’essi soggetti al regolamento):

Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica;
Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica;
Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
Come va espresso il consenso
Il consenso – si legge nel GDPR – dovrebbe essere espresso medianteun atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Ciò può tradursi in una  dichiarazione orale o scritta, anche attraverso mezzi elettronici. In quest’ultimo caso, la richiesta deve essere “chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”: la selezione di apposite casella in un sito web è accettata, non altrettanto il silenzio, l’inattività o la preselezione di caselle.

Intermezzo promozionale ... continua la lettura dopo il box:

Il regolamento precisa anche che il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, insomma, il consenso dovrebbe essere prestato per ciascuna di queste.

Un caso a sè riguarda i dati provenienti da minori, soggetti di età inferiore a 16 anni (o, in casi specifici, di 13 anni) che “possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali” e per i quali si parla di specifica protezione. Questa condizione speciale – che sul piano dell’autorizzazione si deve tradurre in un intervento del genitore (a meno che non si tratti di servizi di prevenzione o di consulenza forniti direttamente al minore)  – dovrebbe riguardare, in particolare, l’utilizzo dei dati personali a fini di marketing o di creazione di profili di personalità o di utente.

Responsabilità

Il titolare del trattamento – si legge ancora nel testo del GDPR – mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, le misure garantiscono che di default non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Un interessato dovrebbe anche avere il diritto di accedere ai dati personali raccolti che lo riguardano, per essere consapevole del trattamento e verificarne la liceità, e di chiederne la rettifica o la cancellazione. Ciò include il diritto di accedere ai dati relativi alla salute (ad esempio cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati) e l’informativa sulla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento.

Tale diritto – puntualizza l’UE – non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce.

E’ importante notare che con il nuovo GDPR i titolari non devono solo garantire l’osservanza delle norme, ma anche dimostrare di metterle in pratica. Per questo motivo si introduce il concetto di “accountability”, una vera e propria responsabilità sull’attuazione delle misure che prevede fra le altre cose una valutazione d’impatto della protezione dei dati (una valutazione del rischio a tutti gli effetti). Correlato ad essa è il Responsabile della protezione dei dati (DPO – Data Protecion Officer), una nuova figura che ha il compito di accertarsi che il titolare o il responsabile al trattamento dei dati osservino gli obblighi previsti.

Cos’è il diritto all’oblio
Il nuovo testo introduce il cosiddetto diritto all’oblio, che consiste nella facoltà da parte dell’interessato di ottenere dal titolare del trattamento la cancellazione delle informazioni personali se:

I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
L’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
L’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
I dati personali sono stati trattati illecitamente;
I dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
I dati personali sono stati raccolti quando l’interessato era minore e dunque non pienamente consapevole dei rischi derivanti dal trattamento.
Registro delle attività
Oltre a dotarsi di un Responsabile della protezione dei dati, il titolare del trattamento, sia esso un’azienda o una pubblica amministrazione, deve e stilare un Registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro, che può essere utilizzato dalle autorità competenti per un’eventuale attività di controllo, deve contenere:

Il nome e i dati di contatto del titolare del trattamento;
Le finalità del trattamento;
Una descrizione delle categorie di interessati e delle categorie di dati personali;
Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;

I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
Una descrizione generale delle misure di sicurezza adottate.

Quali misure devono essere utilizzate per garantire la sicurezza dei dati
In base allo specifico caso – ovvero in base alla natura dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche – il titolare e il responsabile del trattamento devono garantire alcune norme basilari di sicurezza. Rientrano fra queste:

La pseudonimizzazione e la cifratura dei dati personali;
La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative.
Nel valutare l’adeguato livello di sicurezza, si legge nel testo del GDPR, occorre tenere conto dei “rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale è ammesso solo nel caso in cui sussistano adeguate condizioni di protezione. Tale conformità viene valutata dalla Commissione Europea sulla base di alcuni elementi fondamentali – come stato di diritto, rispetto dei diritti umani e delle libertà fondamentali, legislazione generale e settoriale – nonché sugli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale e sull’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti.

Chi controlla
È compito di ogni Stato membro nominare una o più autorità pubbliche indipendenti preposte all’applicazione del regolamento, definita come autorità di controllo. Nello specifico: “L’autorità di controllo deve essere nominata dal parlamento, dal governo, dal capo di stato oppure da un on organismo indipendente incaricato della nomina a norma del diritto dello Stato membro”. Ogni stato deve provvedere a definire la durata del mandato (che non deve essere inferiore ai quattro anni) e l’eventuale rinnovabilità della carica.

L’UE ha inoltre stabilito che le singole autorità nazionali possano cooperare tra loro ed eventualmente con la Commissione stessa al fine di migliorare il livello di coerenza dell’applicazione, e ha istituito un Comitato Europeo (composto dalla figura di vertice di un’autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati o dai rispettivi rappresentanti) con funzioni speciali di orientamento e disciplina delle controversie.

Cosa succede in caso di violazione da parte di terzi
In caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto all’autorità di controllo competente entro 72 ore dal momento in cui ne è venuto a conoscenza.

La notifica dovrebbe includere:

Una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
La comunicazione con il nome e i dati di contatto del responsabile della protezione dei dati;
Una descrizione delle probabili conseguenze della violazione dei dati personali;
Una spiegazione dele misure adottate (o in via di adozione) da parte del titolare del trattamento per porre rimedio alla violazione o per attenuarne i possibili effetti negativi.
Sanzioni
Alle autorità di controllo viene concessa la facoltà di:

Condurre indagini sotto forma di attività di revisione sulla protezione dei dati;
Ottenere dal titolare del trattamento o dal responsabile del trattamento l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei propri compiti;
Imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento, la rettifica e la cancellazione degli stessi.
Le sanzioni sono inflitte in funzione delle singole circostanze e in ogni caso tenendo conto di fattori quali natura, gravità, durata, categorie dati trattati, carattere doloso o colposo della violazione, misura adottate dal titolare o dal responsabile del trattamento. Sul piano pecuniario, le multe non possono superare i 10 milioni di euro, o fino al 2% del volume d’affari globale registrato nell’anno precedente, oppure fino a 20 milioni di euro o fino al 4% del volume d’affari.

https://mytech.panorama.it/gdpr-regolamento-europeo-protezione-dati-personali/