RIVOLUZIONE GDPR
Normativa GDPR
RIVOLUZIONE GDPR
Linee guida sulla GDPR
Trattamento dati
Il nuovo regolamento europeo sulla privacy stabilisce che i dati vanno trattati in modo lecito, corretto e trasparente nei confronti dell’interessato il quale, pertanto, dev’essere messo in grado di comprendere con facilità la finalità del trattamento.
Al fine di rendere esplicite, legittime e determinate per l’interessato le finalità del trattamento dei dati che lo riguardano, le aziende devono pertanto realizzare e fornire delle informative privacy (privacy policy) semplici e facilmente comprensibili.
Il consenso al trattamento
Ogni azienda deve avere obbligatoriamente l’informativa privacy e, se dotata di sito web, la cookie policy, entrambi da esporre agli utenti: la prima riguarda la raccolta di dati sia informatica che cartacea, mentre la seconda attiene solo alla raccolta informatica.
Le informazioni contenute in questi documenti devono contenere più tipologie di consenso, che deve essere sempre esplicito e differenziato cioè diverso per ogni trattamento effettuato, oltre che di facile comprensione da parte dell’utente (no a informative lunghe e complesse, no a due sole caselle per il consenso, una per il sì e un’altra per il no).
L’utente inoltre deve autorizzare esplicitamente l’utilizzo dei cookie (non è sufficiente scorrere la pagina) e non sono ammesse le caselle che prevedono solo la loro approvazione.
La policy deve inoltre distinguere tra cookie funzionali e di profilazione. Se l’utente non accetta i cookie di profilazione, il sito non può raccogliere alcun dato.
Conservazione dati
I dati devono essere conservati su un cloud europeo (i motivi sono di standard di sicurezza) ma possono comunque essere trasferiti all’estero qualora l’azienda abbia la necessità di farlo purché ciò avvenga nel rispetto del GDPR e senza pregiudicare la protezione delle persone fisiche coinvolte.
Prima di raccogliere il consenso, che può essere prestato solo da chi abbia compiuto 16 anni, il titolare deve inoltre esplicitare il periodo di conservazione dei dati personali.
Esplicito consenso deve essere infine prestato con riferimento ai processi automatizzati che riguardano in genere le attività di profilazione e per le informative pubblicitarie.
In ogni caso, per ogni nuovo progetto che preveda un trattamento di dati, l’azienda dovrà fare due importanti valutazioni: la prima riguarda il rischio che deriva dalla raccolta e dall’utilizzo dei dati per cui, nell’ottica della tutela della persona, la raccolta andrà il più possibile minimizzata o anonimizzata, mentre la seconda riguarda le impostazioni predefinite ed implica che le aziende dovranno svolgere il trattamento solo dei dati strettamente necessari e per un periodo di tempo limitato.
Fare la valutazione di impatto (DPIA)
La DPIA (Data Protection Impact Assesment), prodromica al trattamento, è l’onere, in capo al titolare del trattamento, di effettuare una preliminare valutazione di impatto privacy: ciò che, in particolare, si andrà a valutare sono i rischi, esaminati in termini di probabilità e gravità, per i dati personali che vengono trattati con le nuove tecnologie (rischi sono specificamente elencati nell’art. 35).
In estrema sintesi la DPIA è quindi necessaria ogni qual volta il trattamento sia automatizzato, riguardi dati sensibili o giudiziari su larga scala o riguardi la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Essa deve contenere: una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; una valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare i rischi (incluse garanzie, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al nuovo regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione).
L’obbiettivo è quello di identificare e gestire i rischi eventualmente conseguenti al trattamento e di evitare, prevenendoli, problemi che possono emergere in uno stadio avanzato del trattamento (con costi per il titolare assai elevati) attraverso l’introduzione di idonee misure di controllo.
Il titolare, di concerto col DPO ove presente, dovrà giustificare le sue valutazione e rendicontarle nel registro dei trattamenti.
Registro dei trattamenti
Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.
Il documento, che deve avere forma scritta, anche elettronica, ha la funzione di attestare la conformità della propria organizzazione alle prescrizioni della legge: esso deve consentire di identificare i soggetti coinvolti nel trattamento dei dati, le categorie dei dati trattati, per cosa sono utilizzati i dati, chi accede agli stessi, a chi vengono comunicati, per quanto tempo sono conservati e quanto sono sicuri (vedi per il contenuto l’art. 30 GDPR – Regolamento Generale sulla Protezione dei Dati UE/2016/679).
Il registro dei trattamenti deve essere messo a disposizione dell’Autorità Garante qualora lo richieda.
Nomina Responsabile del trattamento
Il responsabile del trattamento è definito dal GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento.
E’ il titolare a designare il responsabile del trattamento attraverso un contratto di mandato o altro atto giuridico vincolante, che vincola il responsabile del trattamento al titolare del trattamento e stabilisce la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e diritti del titolare del trattamento.
Tra gli obblighi cui soggiace il responsabile del trattamento vi è quello di designare un DPO, ove ne ricorrano i presupposti necessari.
Nomina DPO
La nomina del Data Protection Officer deve essere valutata caso per caso a seconda della tipologia di azienda e dall’attività svolta. Il nuovo regolamento europeo sulla privacy rende obbligatoria la nomina di un DPO per le pubbliche amministrazioni, le aziende che effettuano il trattamento di dati sensibili o particolari oppure relativi a condanne penali e per tutte quelle aziende che effettuano il trattamento dei dati su larga scala.
Il DPO deve essere un soggetto esterno all’azienda (non trovandosi in una situazione di conflitto di interessi potrà svolgere il suo lavoro in piena autonomia).
L’attività svolta dal DPO sarà di consulenza e di informazione per il titolare del trattamento, di formazione e sensibilizzazione dei dipendenti sul trattamento dei dati e sulla sicurezza informatica e di sorveglianza e cooperazione con il Garante Privacy per la corretta applicazione del GDPR.
Data Breach
Trattasi di una fuga di dati (di persone ma anche di diversa natura) che può avvenire sia a causa di una violazione da parte di terzi sia a causa di una perdita involontaria.
Qualora accada, il titolare del trattamento ha l’obbligo di notificare l’evento al Garante (utilizzando il modello dallo stesso messo a disposizione al link https://www.garanteprivacy.it/regolamentoue/databreach da inviare tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Diritto all’oblio
E’ il diritto dell’interessato alla cancellazione dei propri dati personali ogni qual volta egli revochi il consenso dato in passato o si opponga e non sussistano motivi per i quali non possa farlo o ritenga i dati non più necessari per le finalità rispetto alle quali furono raccolti o, infine, quando i suoi dati vengano trattati illecitamente.
In questo caso i titolari, se hanno reso pubblici i dati personali dell´interessato pubblicandoli ad esempio su un sito web, hanno l’obbligo di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi, dice il Garante, “qualsiasi link, copia o riproduzione”.
Vedasi per le Linee Guida https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-52019-criteria-right-be-forgotten-search_it