Contatti

Privacy Policy

LE NUOVE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI: VADEMECUM IN 10 PUNTI PER CAPIRE LA NUOVA DISCIPLINA (GDPR)

Il presente vademecum si propone di illustrare, in 10 punti e senza pretese di esaustività, i principi cardine della nuova disciplina in materia di protezione dei dati personali introdotta dal Regolamento (UE) 679/2016 (General Data Protection Regulation – GDPR), di fornire una guida chiara e snella alle nozioni fondamentali in materia di protezione e trattamento dei dati indicando al personale delle aziende del gruppo LCM alcune delle tappe fondamentali per l’adeguamento del Gruppo alla nuova normativa. Allo stato attuale, il Legislatore italiano ed il Garante italiano per la protezione dei dati personali non hanno ancora adottato tutti i provvedimenti attuativi della nuova disciplina (ad es. certificazioni per le aziende, definizione di misure minime di sicurezza, ecc.) e non è quindi possibile avere indicazioni definitive sugli aspetti non ancora regolati. Il GDPR sarà, tuttavia, pienamente applicabile a partire dal 25 maggio 2018, trattandosi di uno strumento legislativo dell’Unione europea di applicazione diretta. Il mancato adeguamento alla nuova normativa può comportare, per le aziende non in regola, l’irrogazione di sanzioni amministrative il cui ammontare massimo può arrivare a 20 milioni di euro ovvero al 4% del fatturato annuo globale.

IMPORTANTE PREMESSA

Il presente vademecum non tratta l’integralità della materia ma si limita a fornire alcune fondamentali informazioni per consentire di comprendere più agevolmente la nuova disciplina prevista dal GDPR. Per un’analisi più completa della materia, i professionisti dello Studio Legale ELEXI sono a Vostra disposizione. Il testo integrale del Regolamento (UE) 679/2016 (General Data Protection Regulation – GDPR) è consultabile sul sito: http://eur-lex.europa.eu/legal-content/IT/TXT/?qid=1465452422595&uri=CELEX:32016R0679

1. Il principio chiave della nuova disciplina: Privacy by design and by default

Il legislatore dell’Unione europea ha dettato questo principio cardine della nuova disciplina, intendendo che l’azienda debba adottare, sin dalla fase di progettazione, procedure interne, strumenti tecnologici e formare il personale al fine di garantire, strutturalmente, un corretto trattamento dei dati personali (Privacy by design). L’azienda dovrà, inoltre, garantire che, salvo espresso consenso dell’interessato, le modalità più restrittive (sia per la tipologia di trattamento che per la sua durata) per il trattamento dei dati personali saranno sempre applicate, senza che l’interessato debba attivarsi per ottenere tale impostazione restrittiva (Privacy by default). A questi principi chiave si aggiungono una serie di principi più di dettaglio che sono, tuttavia, anch’essi essenziali per comprendere la nuova impostazione voluta dal Legislatore europeo:

  • Minimizzazione dei dati: il Titolare del trattamento deve acquisire, conservare e trattare solamente i dati personali necessari al perseguimento delle legittime finalità per cui tali dati sono conferiti (per es.: esecuzione di un contratto di vendita). I dati non necessari non devono essere acquisiti e trattati.
  • Limitazione della finalità e conservazione: i dati possono essere trattati solo nella misura in cui ciò sia necessario per il perseguimento delle finalità per cui sono stati conferiti e per il tempo necessario al raggiungimento delle medesime finalità.
  • Esattezza, integrità e riservatezza: colui che conferisce i dati a diritto a che gli stessi siano esatti, non siano violati da soggetti non autorizzati e siano trattati in maniera riservata.
  • Responsabilizzazione: i soggetti che effettuano trattamenti di dati personali sono responsabili del corretto trattamento e di garantire l’esattezza, integrità e riservatezza dei dati stessi. Ciò sin dal momento della messa in opera delle misure tecniche ed organizzative d’impresa in materia di tutela dei dati.

2. Campo di applicazione: la nozione di dato personale e di categorie particolari di dati

Il GDPR si applica ai dati personali, ossia a “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.< NON si applica ai dati relativi a soggetti NON PERSONE FISICHE (dati di aziende, amministrazioni pubbliche, ecc.). ATTENZIONE! I dati relativi a ditte individuali e liberi professionisti sono considerati dati personali. Il GDPR definisce “categorie particolari di dati personali” che richiedono particolari misure per il trattamento quelle relative a: l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Il GDPR si applica solamente ai dati personali il cui trattamento è, interamente o parzialmente, automatizzato e al trattamento non automatizzato (es.: archivi o schedari cartacei) di dati personali contenuti in un archivio o destinati a figurarvi (non ancora inseriti nell’archivio ma raccolti a tale fine). ATTENZIONE! Per “archivio” si intende qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico. Quindi anche un raccoglitore contenente biglietti da visita, un’agenda cartacea, un faldone contenente dati personali, possono considerarsi “archivi”.

3. I soggetti coinvolti

Interessato: persona fisica a cui i dati personali si riferiscono. Destinatario: persona fisica o giuridica, autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali. Titolare del trattamento dei dati personali: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali Autorizzato al trattamento: soggetto dipendente del Titolare a cui il Titolare conferisce l’incarico di trattare i dati (soggetto interno all’azienda). Spesso chiamato “incaricato”, sulla base della precedente normativa (tale soggetto non è specificamente definito dal RGDP ma viene introdotto per indicare i soggetti interni all’azienda a cui è conferito l’incarico di trattare dati personali). Responsabile del trattamento: la persona fisica o giuridica, esterna all’azienda Titolare, che tratta dati personali per conto di quest’ultima, avendo ricevuto un incarico in tal senso (ad es.: commercialista, consulente paghe, società di marketing, ecc.) DPO o Responsabile della protezione dei dati: il responsabile della protezione dei dati, scelto in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi (soggetto esterno, preferibile). ATTENZIONE! La nomina del DPO è obbligatoria: i) per le autorità ed organismi pubblici (ad es.: comuni, ASL, Regioni, ecc.); ii) se l’attività principale del Titolare consiste in trattamenti di dati personali che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (ad es.: fornitura di servizi di telefonia, la geolocalizzazione, i programmi fedeltà, la raccolta di dati sanitari attraverso apparecchi di wellness indossabili, in generale l’Internet of Things, la videosorveglianza); iii) se l’attività principale del Titolare consiste in trattamenti di categorie particolari di dati o dati giudiziari su larga scala. Autorità di controllo: per l’Italia, il Garante per la protezione dei dati personali, con sede in Piazza di Monte Citorio n. 121 - 00186 Roma, www.gpdp.it

4. La base legale del trattamento dei dati: consenso o obbligatorietà?

Il trattamento dei dati deve essere effettuato in maniera lecita, ossia deve avere un fondamento giuridicamente valido: Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

CASO IN CUI IL CONSENSO DELL’INTERESSATO È NECESSARIO
  • trattamento dei dati personali dell’interessato per una o più specifiche finalità (ad es.: l’interessato ha prestato il consenso espresso a trasmettere comunicazioni di marketing e promozionali);
CASI IN CUI IL CONSENSO DELL’INTERESSATO NON È NECESSARI
  • esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso (ad es.: registrare e trattare nome, cognome e indirizzo dell’interessato per consegnare un prodotto da questo acquistato);
  • adempimento di un obbligo legale al quale è soggetto il titolare del trattamento (ad es.: per assolvere agli obblighi di natura fiscale e tributaria, per la previdenza sociale e assicurazione obbligatoria, ecc.);
  • salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
  • esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. L’interesse del titolare a mantenere i contatti commerciali per effettuare marketing diretto è una valida base giuridica.

5. La durata del trattamento

La durata del trattamento dei dati personali deve essere limitata al tempo necessario per la realizzazione delle finalità (lecite) per cui il dato è stato acquisito. Trascorso tale tempo, il dato non deve più essere trattato e, quindi, cancellato (ricordiamo che anche il semplice fatto di conservare un dato in un archivio o database può considerarsi un “trattamento” ai fini del GDPR) ATTENZIONE! Il trattamento di dati personali che ecceda la durata necessaria per il raggiungimento delle finalità per cui il dato è stato acquisito diviene un trattamento illecito e, in quanto tale, sanzionabile.

6. I diritti dell’interessato

L'interessato ha il diritto di:

  • TRATTAMENTI IN CORSO: ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano
  • RETTIFICA: ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo
  • CANCELLAZIONE: ottenere la cancellazione dei dati detenuti dal titolare, a condizione che:

a) i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l'interessato revochi il consenso su cui si basa il trattamento c) l'interessato si opponga al trattamento e non sussista alcun motivo legittimo prevalente per procedere al trattamento d) i dati personali siano stati trattati illecitamente; e) i dati personali debbano essere cancellati per adempiere ad un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali siano stati raccolti relativamente all'offerta di servizi della società dell'informazione a minori.

  • LIMITAZIONE: ottenere dal titolare del trattamento la limitazione del trattamento
  • PORTABILITÀ: ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano e il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti
  • OPPOSIZIONE AL TRATTAMENTO AUTOMATIZZATO: opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento automatizzato dei dati personali che lo riguardano, compresa la profilazione.

7. L’informativa e il registro dei trattamenti

INFORMATIVA

Il Titolare deve sempre fornire all’interessato (indipendentemente dal fatto che sia richiesto il consenso per la tipologia di trattamento dei dati che il Titolare intende fare) un’informativa coi seguenti contenuti:

  • l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del DPO, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • l’indicazione dei legittimi interessi perseguiti dal titolare del trattamento o da terzi, qualora il trattamento riguardi tali interessi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • l'intenzione del titolare del trattamento di trasferire dati personali al di fuori dell’Unione europea o a un'organizzazione internazionale;
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l'esistenza dei diritti dell'interessato (si veda il precedente capitolo 6) e le modalità per esercitarli;
  • l'esistenza del diritto (in casi specifici) di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un'autorità di controllo;
  • se pertinente, la precisazione che la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto e che l'interessato ha l'obbligo di fornire i dati personali, con l’indicazione delle possibili conseguenze della mancata comunicazione di tali dati;
  • l'esistenza di un processo decisionale automatizzato, compresa la profilazione.

ATTENZIONE! L’informativa deve essere resa all’interessato in modo facilmente comprensibile, evitando termini ed espressioni eccessivamente tecniche ed utilizzando, se possibile, elementi grafici (icone) che agevolino la comprensione dei contenuti.

REGISTRO DEI TRATTAMENTI

Sostituisce, di fatto, il Documento Programmatico sulla Sicurezza (DPS) e deve contenere le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari aventi sede in Paesi extra UE o facenti parte di organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un Paese extra UE o ad un'organizzazione internazionale;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

8. La mappatura dei flussi di dati

Al fine di adeguarsi alla nuova disciplina del GDPR, è essenziale che l’azienda effettui una preliminare mappatura dei flussi di dati personali per identificare:

  • le tipologie di dati che l’azienda tratta (dati personali o meno, particolari, giudiziari);
  • dove tali dati sono immagazzinati e processati (archivio cartaceo, elettronico, locale, server, cloud, ecc.) e quali sono le misure di sicurezza adottate per garantire la sicurezza di tali dati;
  • quali dati sono trasferiti all’esterno dell’azienda e a quali soggetti (commercialista, call-center, consulente paghe, server per backup esterno, ecc.);
  • quali tipologie di trattamenti sono effettuati (profilazione, marketing, logistica e spedizioni, ecc.).

La mappatura è essenziale per determinare quali interventi l’azienda dovrà effettuare (a livello di procedure interne e misure tecnologiche) per conformarsi e ridurre i rischi legati al trattamento di dati personali.

9. Le misure minime di sicurezza e le procedure interne in caso di Data Breach

Le misure minime di sicurezza non sono state ancora definite dal Garante italiano. Pur nell’incertezza, si ritiene che tali misure tecniche ed organizzative debbano essere adeguate a garantire l’integrità dei dati personali detenuti dall’azienda e prevenire il c.d. “Data Breach” (accessi non autorizzati) nonché la cancellazione o alterazione di tali dati. Le misure tecniche e organizzative adeguate possono essere, per esempio:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l'integrità, la
  • disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

In caso di Data Breach, il Titolare deve:

  • notificare la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, essa è corredata dei motivi del ritardo.
  • documentare qualsiasi violazione dei dati personali, comprese le circostanze ad essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto della normativa da parte del Titolare.
  • quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo

ATTENZIONE! Per l’azienda è opportuno implementare delle procedure interne per il caso di Data Breach così da poter ridurre l’impatto dell’incidente (per es.: evitare che software quali malawares o ransomwares si propaghino a terminali aziendali non infettati) ed effettuare in maniera rapida ed efficiente le valutazioni per decidere se la notifica al Garante e/o agli interessati debbano essere fatte o meno.

10. Formazione obbligatoria e capacità di dimostrare di aver adottato le misure necessarie al corretto trattamento dei dati personali

L’azienda deve poter dimostrare (alle autorità) di aver adottato le misure tecniche ed organizzative necessarie per assicurare un trattamento dei dati personali conforme alla nuova normativa (c.d. Accountability). Uno degli aspetti essenziali riguarda la formazione interna che l’azienda deve fare affinché il proprio personale incaricato di trattare dati personali ed il management conoscano la normativa vigente, sappiano gestire in modo corretto le procedure in caso di Data Breach e di incidenti, sappiano dare esecuzione alle procedure in caso di esercizio dei diritti da parte dell’interessato (cancellazione, limitazione, rettifica, ecc.).