Privacy e GDPR – Tutto quello che c’è da sapere

Nonostante siano ormai trascorsi due mesi dall’entrata in vigore del nuovo regolamento privacy, il cosiddetto GDPR, c’è ancora tanta incertezza su cosa sia cambiato rispetto al passato e su come doversi adeguarsi alla nuova normativa.

Il Consiglio dei Ministri si è riunito mercoledì 8 agosto 2018, alle ore 20.30 a Palazzo Chigi, sotto la presidenza del Presidente Giuseppe Conte, al fine di approvare sette decreti legislativi di adeguamento dell’ordinamento interno alla normativa europea, tra cui l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (di seguito anche GDPR) che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Con il comunicato stampa n. 14 al punto 2, il Consiglio dei Ministri ha annunciato che dopo l’esame di una commissione appositamente costituita, al fine di semplificare l’applicazione della norma, si è deciso di:

  • novellare il codice della privacy esistente, nonostante il GDPR abbia di fatto cambiato la prospettiva dell’approccio alla tutela della privacy rispetto al codice introducendo il principio dell’accountability;
  • garantire la continuità facendo salvi per un periodo transitorio i Provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore;
  • in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del Titolare del trattamento.

Per visualizzare il Testo clicca qui

Se da una parte il GDPR ha introdotto delle semplificazioni ad esempio modulando gli adempimenti in capo ai titolari delle imprese in ragione della dimensioni delle stesse, dall’altra comporta nuovi obblighi e complicazioni per la corretta raccolta e gestione dei dati.

Un pilastro del Regolamento Privacy è quello dell’Accountability che può tradursi come principio di responsabilizzazione sul risultato conseguito. Chiunque tratti dati personali riguardanti persone fisiche deve attuare misure adeguate per garantire che il trattamento avvenga in modo conforme al GDPR.                           La responsabilizzazione è un aspetto del controllo di accesso che si basa sulla concezione che gli individui siano responsabili per le proprie azioni all’interno del sistema e che debbano renderne conto ai terzi che ne facciano richiesta.

COME ADEGUARSI AL GDPR?

Il regolamento UE 2016/679 pone due principi cardine da seguire:

-PRIVACY BY DESIGN

-PRIVACY BY DEFAULT

Il base al principio della Privacy by design chiunque entri in contatto con i dati personali dei propri utenti deve preliminarmente progettarne il trattamanto,  in modo tale da garantire che lo stesso avvenga nel rispetto della riservatezza e garantisca la tutela prevista dal GDPR.

Per questo è necessario valutare i possibili rischi  di distruzione, di perdita, di diffusione dei dati attraverso una valutazione d’impatto Privacy, Privacy Impact Assessment, che non è altro che una verifica dei sistemi utilizzati per la protezione dei dati all’interno dell’impresa. Tale  verifica, che dovrà essere fatta ad hoc per ogni trattamento e sarà volta alla valutazione dei sistemi IT, al controllo sull’adeguatezza e sulla correttezza delle procedure commerciali nonché sulla progettazione del trattamento.

Il rispetto e la protezione della Privacy deve essere in ogni caso pienamente garantita in ogni fase del trattamento in modo tale che la gestione dei dati abbia le caratteristiche della visibilità e della trasparenza.

Il secondo principio cardine, ovvero la Privacy by default, impone al titolare del trattamento di mettere in pratica ciò che è stato precedentemente programmato per la salvaguardia dei dati, ovvero di porre in essere attività specifiche che dimostrino che i dati personali siano conservati dalle aziende solo per il tempo e nella misura necessaria agli scopi previsti.

Le aziende che hanno un sito web, ad esempio, devono indicare le modalità di raccolta dei dati, le finalità della stessa, i soggetti autorizzati ad accedere al database e le misure adottate per proteggere i dati da eventuali rischi.

Tutte le operazioni compiute per la raccolta dei dati personali devono essere inoltre ordinate in un apposito Registro delle Attività di Trattamento contenente:

  • Le finalità del trattamento dei dati
  • I soggetti interessati
  • Le categorie di dati personali trattati
  • Gli eventuali trasferimenti di dati all’estero
  • La durata della conservazione
  • Il livello di rischio

COME COMPORTARSI IN CASO DI DATA BREACH

Per Data Breach si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

In base al GDPR la notifica di eventuali violazioni  di dati all’autorità di vigilanza dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.

I NUOVI RUOLI A TUTELA DELLA PRIVACY

Con il nuovo regolamento dell’Unione Europea sulla protezione dati personali emergono delle nuove figure con obblighi e doveri ben distinti.

Il Data Controller è il titolare  del trattamento dei dati, i quali restano però di esclusiva ‘proprietà’ del soggetto a cui si riferiscono. Il principale compito del titolare è quello di “determinare  finalità e mezzi del trattamento” affinché il trattamento posso svolgersi in completa conformità con quanto prestabilito dal titolare e in conformità anche con quanto scritto dalla normativa.

Il Data Processor è invece“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare”. Il responsabile entra in gioco solo quando il titolare decide di delegare parte del trattamento ad un soggetto esterno, per questi motivi è infatti privo di autonomia nel decidere come e per quali ragioni può trattare i dati degli interessati.

Altra importante figura introdotta dal GDPR è quella del DPO (Data Protection Officer) definito anche come “ponte di contatto” con l’Autorità Garante nazionale. Il ruolo principale del DPO  è quello di vigilanza sui processi interni alla struttura e di consulenza nei confronti del titolare del trattamento o dei responsabili.

La sua nomina è resa obbligatoria dal GDPR nel caso in cui titolare del trattamento sia  un ente pubblico o un’autorità, quando la mole di dati gestiti, per la loro complessità, necessiti di  un monitoraggio regolare e sistematico ovvero quando i dati in questione abbiano un carattere particolare (es. dati sensibili) o siano dati giudiziari.

I n questi casi il DPO deve essere nominato per ciascuna filiale fisica di un’azienda (multinazionali avvisate: uno per ogni sede o stabilimento) e avrà la supervisione e il controllo delle modalità di raccolta, gestione e trattamento dei dati.

Il ruolo del Data Protection Officer non è però sempre indispensabile, infatti le piccole o medie imprese che non trattano dati personali come attività principale sono esenti da tale obbligo.

QUALI SANZIONI SONO PREVISTE IN CASO DI VIOLAZIONE DEL GDPR?

Le multe per chi viola il regolamento Privacy sono salatissime e vanno dal 2% al 4% del fatturato mondiale annuo dell’azienda che violasse il regolamento o, in alternativa, un corrispettivo che va dai 10 ai 20 milioni di euro. E’ quindi consigliabile adeguarsi al più presto al GDPR garantendo al massimo la tutela della vostra azienda e dei vostri clienti!