Le cose che devi sapere sul nuovo Regolamento per la protezione dei dati

E’ in vigore il nuovo Gdpr. Quando occorre nominare il DPO? Cos’è il data breach e come gestirlo? Quali sono le sanzioni? Tutto quello che occorre sapere

Il 25 maggio entra ufficialmente in vigore il Gdpr, General data protection regulation, anche detto Rgpd (Regolamento general e per la protezione dei dati) in materia di protezione dei dati personali – regolamento n. 2016/679.

In quanto regolamento, è applicabile in maniera diretta dai Paesi membri e non ha bisogno di leggi di recepimento, ma solo di un lavoro di armonizzazione con le proprie leggi.

Ma a chi si applica, cosa prevede, quali sono le vere novità? 

In questo articolo cerchiamo di fare una panoramica sul nuovo Regolamento e di dare un risposta alle domande più frequenti.

I principi generali del Gdpr

Il regolamento riprende alcuni principi fondamentali già in vigore con la precedente legislazione e ne aggiunge di nuovi.

I principi generali relativi al trattamento dei dati che vengono confermati possono essere così riassunti:

  • tutela del dati persona e trattamento opportuno
  • necessità e proporzionalità: il trattamento deve essere adeguato, pertinente e necessario allo scopo
  • durata limitata: il trattamento non può protrarsi a tempo indeterminato
  • sicurezza e riservatezza
  • rispetto del diritto delle persone

Sono stati, inoltre, introdotti ulteriori principi non presenti nella precedente norma:

  • principio di accountability (principio di responsabilizzazione)
  • minimizzazione dei dati
  • diritto all’oblio
  • diritto alla portabilità dei dati
  • notificazione tempestiva dei data breach al Garante e agli interessati

A chi si applica il Gdpr

Il nuovo Regolamento si applica a:

  • persone
  • società
  • organizzazioni

che raccolgono e trattano (manualmente o mediante procedure automatiche) qualsiasi tipo di dato personale in UE.

Il regolamento non si applica ai trattamenti di dati personali:

  1. effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione
  2. effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE
  3. effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico
  4. effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse

Cosa si intende per dato personale

Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità:

  • fisica
  • fisiologica
  • genetica
  • psichica
  • economica
  • culturale
  • sociale

Alla nozione di dato personale (cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile) il Gdpr aggiunge quelli di dato genetico, biometrico e relativo alla salute.

Dati genetici: sono i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.

Dati biometrici: sono i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

Dati relativi alla salute: sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Trattamento

Con il termine trattamento si intende  qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:

  • la raccolta di dati
  • la registrazione di dati
  • l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione di dati
  • l’uso di dati
  • la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione,
  • la limitazione, la cancellazione o la distruzione di dati

Titolare del trattamento e responsabile del trattamento

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Profilazione

Con il termine profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti:

  • il rendimento professionale
  • la situazione economica
  • la salute
  • le preferenze personali
  • gli interessi
  • l’affidabilità
  • il comportamento
  • l’ubicazione o gli spostamenti di detta persona fisica.

Consenso

Il consenso dell’interessato è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

Il Gdpr mira ad una semplificazione della definizione del consenso: il consenso alla raccolta dei dati e al successivo trattamento da parte degli utenti deve essere per esempio fornito in forma chiara, con un atto inequivocabile.

In pratica, ok a una casella da spuntare, no a caselle precompilate, silenzio assenso o altri meccanismi poco chiari. L’autorizzazione dovrebbe anche essere spacchettata, cioè richiesta per ogni elaborazione che su quelle informazioni sarà effettuata.

Il trattamento di dati personali di un minore è lecito ove il minore abbia almeno 16 anni. Se il minore ha un’età inferiore ai 16 anni, il trattamento è lecito solo se il consenso è prestato o autorizzato da un genitore. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

Accesso ai dati

I dati in possesso dei titolare devono essere accessibili. L’utente deve essere messo in condizione di poterne chiedere:

  • l’accesso, per conoscere i dati in possesso del titolare
  • la rettifica, in caso volesse modificare qualcosa
  • la cancellazione, qualora cambiasse idea
  • l’approfondimento delle informative sulle finalità e sulle tecniche di profilazione.

Portabilità dei dati

L’art. 20 del Gdpr attribuisce all’interessato il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora il trattamento si basi sul consenso o su un contratto e sia effettuato con mezzi automatizzati.

Pertanto, se l’interessato chiede al titolare del trattamento la trasmissione dei suoi dati ad un altro titolare, il titolare dovrà trasferirli in formato strutturato comunemente usato e leggibile da una macchina.

Al riguardo, viene spontaneo pensare alle piattaforme Social (Facebook, Twitter, LinkedIn, ecc.): sarà possibile trasferire i dati da un servizio all’altro.

Informativa

L’art. 13, del Gdpr impone al titolare di fornire tutta una serie di informazioni, tra cui:

  • l’identità e i dati di contatto del titolare e, ove applicabile, del suo rappresentante all’estero
  • i dati di contatto del responsabile della protezione dei dati (ove applicabile)
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
  • le categorie di dati personali in questione
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
  • i diritti che gli interessati possono esercitare
  • le condizioni e le modalità per l’esercizio dei diritti degli interessati
  • il diritto di presentare un reclamo all’autorità di controllo
  • le informazioni sulla natura normativa o contrattuale del trattamento quando si tratta della base giuridica del trattamento.

Alla luce del considerando n. 58 e dei chiarimenti resi dal Garante, l’informativa deve:

  • avere forma concisa
  • essere trasparente, comprensibile per l’interessato
  • essere facilmente accessibile

Deve essere scritta in un linguaggio chiaro e semplice e può essere resa anche in formato elettronico (su sito web) o comunicata via email.

Conservazione dei dati

Il titolare del trattamento deve definire una politica di durata e di conservazione dei dati.

I dati personali possono essere conservati solo per il tempo necessario per il completamento dell’obiettivo perseguito durante la loro raccolta.

Data breach e notifica delle violazioni

Una violazione dei dati personali è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Ogni violazione dei dati dev’essere notificata con una serie di informazioni specifiche agli interessati entro 72 ore, dice l’art. 33 del regolamento.

Viene istituito un registro delle attività nel quale vengano registrati nome e dati di contatto del titolare del trattamento, le finalità, le categorie di interessati e di dati raccolti, i trasferimenti di quegli stessi dati verso Paesi terzi o altre organizzazioni, i termini per la cancellazione e una sintesi delle misure di sicurezza adottate.

Pseudonimizzazione

La pseudonimizzazione è una tecnica che consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive.

La pseudonimizzazione consiste nel modificare e mascherare i dati personali e sensibili di una persona fisica al fine di non renderli direttamente e facilmente attribuibili allo stesso senza l’utilizzo di informazioni aggiuntive. Risulta evidente che il dato e le informazioni aggiuntive, comunemente chiamate chiavi, debbano essere materialmente conservati in zone differenti, ad esempio server distinti, al fine di impedire un facile ricongiungimento.

Questa tecnica consente quindi di aumentare la protezione di un dato.

Si parla di pseudonimizzazione o cifratura e non di anonimizzazione poiché non esistono tecniche informatiche per rendere completamente anonimo un dato.

Il responsabile della protezione dei dati e il controllo

Il regolamento istituisce la figura del data protection officer (DPO) o responsabile della protezione dei dati. Si tratta di una figura distinta dal titolare che deve garantire la messa in pratica delle diverse norme previste.

La designazione del DPO, ai sensi dell’art. 37 è obbligatoria in tre ipotesi:

  1. il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico
  2. quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”
  3. quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili”  o “giudiziari”

Data breach e violazione dei dati

L’art. 34 prevede che In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

La notifica all’autorità deve:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
  • descrivere le probabili conseguenze della violazione dei dati personali
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi

Qualora non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

Non è richiesta la comunicazione all’interessato se è soddisfatta una delle seguenti condizioni:

  • il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura
  • il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati
  • la  comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia

Il diritto all’oblio

Il diritto all’oblio previsto dall’art. 17 del regolamento consiste in una sorta di cancellazione rafforzata dei propri dati in determinate situazioni: ad esempio quando non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati o quando si revoca o ci si oppone al consenso e se non sussiste altro fondamento giuridico per il trattamento.

Da sottolineare che la richiesta inoltrata al primo che ha trattato i dati comporta l’obbligo per quest’ultimo titolare di trasmetterla a tutti coloro che li utilizzano o li hanno utilizzati in seguito.

Il diritto all’oblio non si applica se il trattamento è necessario per:

  • l’esercizio del diritto alla libertà di espressione e di informazione
  • motivi di interesse pubblico nel settore della sanità pubblica
  • a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

Le sanzioni

Si inaspriscono le sanzioni amministrative pecuniarie in caso di inosservanza: le multe possono arrivare fino a 20 milioni di euro o 4% del volume d’affari globale.

Rimangono dei margini interpretativi a disposizione delle singole autorità nazionali per stabilire l’entità e la gravità delle violazioni.

 

Clicca qui per scaricare il testo del Regolamento, completo dei considerando

Clicca qui per conoscere PriMus, il software per il computo e la contabilità lavori

 

Vuoi rimanere aggiornato su questo argomento e sulle principali novità legate al mondo dell'edilizia?

Iscriviti GRATIS alla Newsletter

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *