General Data Protection Regulation GDPR General Data Protection Regulation

COS’E’ E’ il Regolamento Europeo 2016/679, noto con la sigla inglese GDPR (General Data Protection Regulation) o con quella italiana RGDP (Regolamento Generale sulla Protezione dei Dati). Stabilisce regole valide in tutti i paesi dell’Unione Europea in materia di protezione dei dati personali.

DI COSA SI OCCUPA Ha l’obiettivo di fortificare i diritti delle persone fisiche e unificare la Normativa in merito alla protezione dei dati personali all’interno di tutta l’Unione Europea, affiancando (o sostituendo) le diverse leggi nazionali presenti nei Paesi Membri. Riguarda i dati personali a prescindere dalla tecnologia utilizzata e dal sistema di archiviazione scelto.

QUANDO ENTRA IN VIGORE Pubblicato su Gazzetta Ufficiale Europea il 4 Maggio 2016 ed entrato in vigore il 24 Maggio dello stesso anno, diventerà attuativo il 25 Maggio 2018. Essendo un Regolamento (e non una direttiva) non ha bisogno di essere recepito nella legislazione italiana.

COSA CAMBIA Nella «vecchia normativa» il centro dell’attenzione era la privacy e la persona intesa come persona fisica (diritto alla riservatezza) Il GDPR pone al centro dell’attenzione il dato inteso come bene dal valore intrinseco; è il dato che, se non trattato correttamente (abusato), può portare a violare la privacy di una persona (diritto della protezione dei dati personali). Le sanzioni, in caso di violazione, aumentano significativamente. La privacy non è più solo un insieme di adempimenti, ma diventa un processo aziendale da gestire in tutte le sue fasi, da quella ideativa a quella esecutiva; i dati sono diventati l’equivalente della materia prima per l’economia tradizionale.

COSA BISOGNA FARE Si tratta di un cambio di passo importante: Il codice in materia di dati personali (D.Lgs. 196/2003) aveva indicato ai titolari del trattamento un elenco di misure minime di sicurezza da adottare. La nuova normativa sposta la scelta e la responsabilità su quali misure tecniche e organizzative sia opportuno adottare sul titolare del trattamento. Dobbiamo familiarizzare con il principio dell’Accountability. Non ci sono (e non mi risulta che esistano) ricette miracolose tipo copia&incolla che consentiranno a qualsiasi organizzazione di superare indenne il 25/5/2018.

ACCOUNTABILITY  «Vigila su te stesso!» Il GDPR richiama un concetto che risulta abbastanza nuovo a noi italiani, quello di accountability che potremmo tradurre come «responsabilizzazione». «Sei tu, Titolare o Responsabile del trattamento, a dover decidere se e quali tue attività sono sottoposte al GDPR e cosa fare per renderle coerenti con lo spirito della normativa» «Sei tu, Titolare o Responsabile del trattamento, a dover decidere quanto investire in funzione del tipo della tua attività, dei rischi che corri, della tua capacità di spesa» La regola, non ho budget  non faccio nulla, non vale!

PRINCIPI Liceità, correttezza e trasparenza del trattamento Limitazione delle finalità Minimizzazione dei dati Esattezza Limitazione della conservazione Integrità e riservatezza

Liceità, correttezza e trasparenza del trattamento La raccolta di dati personali deve avvenire per il solo perseguimento delle finalità aziendali espresse all’atto della raccolta. Non posso raccogliere e trattare dati in maniera occulta Tutte le volte che raccolgo un dato, devo comunicare all’interessato il motivo della raccolta

Limitazione delle finalità Se l’obiettivo è «raccogliere i dati fiscali di una persona per emettere fattura» non potrò, in futuro, utilizzare gli stessi dati per finalità di marketing.

Minimizzazione dei dati Non devo raccogliere più dati di quelli strettamente necessari Se l’obiettivo è quello di «emettere una fattura» non è necessario chiedere all’interessato il numero di telefono

Esattezza E’ un diritto dell’interessato che i dati rimangano esatti e inalterati La possibilità di accedere ed aggiornare i dati sono dei diritti garantiti a tutti gli interessati

Limitazione della conservazione I dati raccolti devono essere mantenuti negli archivi dell’organizzazione per il minor tempo possibile.

Integrità e riservatezza I dati raccolti devono rimanere integri (devo prevenire una eventuale manomissione) I dati raccolti devono, ovviamente, rimanere riservati

INFORMATIVA L’informativa deve essere espressa in forma concisa, trasparente, intellegibile, facilmente accessibile, con un linguaggio semplice e chiaro (in particolare nel caso sia destinata a minori). Deve contenere i riferimenti del Titolare del trattamento dei dati Deve indicare il tempo di conservazione dei dati Deve indicare quali sono i diritti dell’interessato

CONSENSO Deve essere espresso mediante un’azione positiva inequivocabile Deve essere libero, specifico, informato, inequivocabile e revocabile Se raccolto prima del 25 maggio 2018, resterà valido a condizione che siano soddisfatte le caratteristiche previste dal GDPR. In caso contrario sarà necessario raccogliere nuovamente il consenso.

CONSENSO (minori) Il consenso dei minori è valido a partire dai 16 anni compiuti. Nel caso di consensi riguardanti minori di 16 anni, è necessario raccogliere il consenso dei genitori o di chi ne fa le veci.

DIRITTI DELL’INTERESSATO Diritto di ACCESSO Diritto di RETTIFICA Diritto di CANCELLAZIONE Diritto di OPPOSIZIONE In qualunque momento l’interessato ha il diritto di ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano

RUOLI e RESPONSABILITA’ TITOLARE DEL TRATTAMENTO (Co-TITOLARE) RESPONSABILE DEL TRATTAMENTO AUTORIZZATO AL TRATTAMENTO DPO FORNITORI / COLLABORATORI ESTERNI (RESPONSABILI esterni del trattamento)

TITOLARE DEL TRATTAMENTO Il titolare del trattamento è l’organizzazione o il titolare dell’organizzazione che ha interesse affinché il processo che prevede il trattamento dei dati sia portato a termine. Spetta al titolare del trattamento mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.

RESPONSABILE DEL TRATTAMENTO Viene nominato dal Titolare del Trattamento La nomina deve essere regolamentata tramite un contratto o altro atto giuridico. Il documento di nomina deve indicare: L’oggetto del trattamento, la durata, la natura e la finalità Il tipo di dati personali e le categorie di interessati Gli obblighi e i diritti del titolare del trattamento e del responsabile del trattamento. I fornitori esterni che trattano dati personali per conto dell’organizzazione devono essere nominati Responsabili del trattamento nell’ambito di loro competenza.

AUTORIZZATI AL TRATTAMENTO Nella «vecchia normativa» si faceva riferimento alla figura dell’incaricato al trattamento. Nel GDPR si fa riferimento genericamente ad «autorizzati al trattamento» Si tratta degli addetti che, nell’espletamento delle loro funzioni, hanno a che fare con i dati personali.

DPO (1) Il GDPR ha introdotto una nuova figura, il Data Protection Officer (Ufficiale per la protezione dei dati). La nomina è obbligatoria per tutti gli enti pubblici. Si tratta di un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze trasversali che spaziano dalla giurisprudenza all’analisi dei processi. Non deve avere conflitti di interesse (non può agire da controllore e controllato) La principale responsabilità del DPO consiste nell’osservare, valutare e organizzare la gestione del trattamento e la protezione dei dati personali all’interno di un’organizzazione

DPO (2) «E’ designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati». Ad oggi, per ricoprire questo ruolo, non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Enti pubblici e società private dovranno comunque procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per lo svolgimento dei compiti assegnati. Il GDPR definisce che il Titolare e il Responsabile del trattamento designino il DPO.

PRIVACY: by DESIGN e by DEFAULT …prevenire è meglio che curare! Ogni trattamento è rischioso (rischio = rischio di impatti negativi sulle libertà e i diritti degli interessati) La protezione dei dati personali deve essere uno degli obiettivi di qualunque nuovo progetto che preveda la raccolta e/o il trattamento dei dati By DEFAULT Il Regolamento è impostato secondo questo principio: «se succede qualcosa, sei tenuto a dimostrare che avevi fatto tutto il possibile per evitarlo» Documentare, documentare, documentare, …

REGISTRO DEI TRATTAMENTI Si tratta di un registro in cui sono indicate tutte le attività che richiedono il trattamento di dati personali. E’ obbligatorio per le aziende con più di 250 dipendenti, è consigliabile per tutti. Raccoglie informazioni come: tipo di trattamento, quali dati sono raccolti, in che modo, a quale fine, se è richiesto un consenso esplicito, per quanto tempo sono mantenuti, chi è il responsabile, come sono protetti… La tenuta del registro è occasione per verificare il rispetto dei principi fondamentali del GDPR, la liceità del trattamento, nonché l’opportunità di introdurre misure a protezione dei dati.

FORMAZIONE Nessuno può accedere ai dati personali se non è stato istruito in tal senso dal Titolare del trattamento. La formazione deve precedere l’accesso ai dati. L’organizzazione deve prevedere un piano di formazione del personale attuale e interventi formativi per i «neo assunti» e per il personale che, a seguito di cambio mansione, può avere accesso ai dati

DEFINIZIONE: Dati Personali (1) Sono tutte quelle informazioni relative ad una persona vivente identificata o identificabile. Costituiscono dati personali anche tutte le informazioni che, una volta raccolte e messe insieme, possono portare all’identificazione di una specifica persona.

DEFINIZIONE: Dati Personali (2) Esempi pratici di dati personali: Nome e cognome Indirizzo di casa Indirizzo email come nome.cognome@pippo.it e nome.cognome@azienda.it Dati sulla posizione geografica Un indirizzo IP Un ID cookie I dati conservati in un ospedale o da un medico

DEFINIZIONE: Dati Sensibili Esempi pratici di dati considerati sensibili: Origine razziale o etnica Opinioni politiche Convinzioni religiose o filosofiche Appartenenza sindacale Trattamento di dati genetici Dati biometrici che hanno lo scopo di identificare univocamente una specifica persona Dati sulla salute o dati sanitari Dati riguardanti la vita sessuale o l’orientamento sessuale Dati giudiziari

DEFINIZIONE: Trattamento Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

NOTE Ci muoviamo in un contesto in divenire, dove le autorità nazionali hanno ancora molto da «dire» per armonizzare il Regolamento Europeo (GDPR) per adattarlo alle leggi locali e limitare le antinomie.