Chat with us, powered by LiveChat

Guida GDPR: Come adeguare a propria attività

Guida GDPR: Come adeguare a propria attività

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo sulla Privacy (GDPR), relativo alla protezione dei dati riguardanti le persone fisiche.

 

Il Regolamento interessa la quasi totalità delle imprese e società, sia che esse operino attraverso web, sia che esse operino attraverso canali convenzionali (difficilmente un’azienda non tratta dati personali, si pensi ad esempio ai dati relativi ai dipendenti, clienti, fornitori e potenziali clienti).

 

Tuttavia, nonostante il Regolamento sia già entrato in vigore, sia stato pubblicato in Gazzetta Ufficiale il 4 Settembre 2018 (con entrata in vigore il 19 settembre 2018) e preveda  inoltre multe salatissime in caso di inadempimenti (es. fino al 4% del fatturato), molte aziende devono ancora adeguarsi.

 

Per questo motivo, in base all’esperienza accumulata al fianco dei nostri clienti, scriviamo questa breve guida per elencare sinteticamente gli aspetti principali della nuova normativa che riguardano direttamente le aziende.

 

Prima di Cominciare

 

Date le caratteristiche di semplicità e sinteticità, questo documento non è da considerarsi esaustivo né copre ogni possibile ambito della normativa, in particolar modo non è da considerarsi una consulenza legale.

 

Il Regolamento

 

Il Regolamento Generale sulla Protezione dei Dati GDPR (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, disponibile a questo link) è stato emanato dalla Commissione Europea con l’intento di omogenizzare e rafforzare la tutela dei dati personali dei cittadini, sia all’interno che all’esterno dell’Unione.

 

Il Regolamento, sancisce i principi che regolano: la raccolta, l’uso e l’immagazzinamento dei dati, nonché i diritti delle persone fisiche nei riguardi di tali trattamenti. Il regolamento europeo rimanda alle autorità di controllo nazionali (per l’Italia il Garante per la Protezione dei Dati Personali) la definizione di specifici codici di condotta e buone norme da adottare.

In breve, gli elementi principali del regolamento di cui tener conto sono:

 

  1. dati personali e trattamento;
  2. soggetti responsabili del trattamento: titolare e responsabile del trattamento;
  3. liceità del trattamento;
  4. informativa e richiesta del consenso;
  5. registro del trattamento;
  6. analisi dei rischi connessi al trattamento;
  7. diritti degli interessati;
  8. notifica delle violazioni.

 

Dati personali e trattamento

 

Il regolamento definisce come “dato personale” qualsiasi informazione riguardante una persona fisica (“l’interessato”) identificata o identificabile direttamente o indirettamente. Per “trattamento” si intende qualsiasi operazione effettuata sui dati compresa la consultazione, la diffusione o il trasferimento. Il regolamento pone particolare attenzione verso il trattamento di alcune “categorie particolari” di dati, i quali rendono l’interessati vulnerabili nei confronti di possibili atti discriminatori. Rientrano in questa classe i dati che: rilevino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.

 

Soggetti responsabili del trattamento: il titolare e responsabile del trattamento

 

L’entità giuridica responsabile della protezione dei dati è il “titolare del trattamento”. È responsabilità del titolare del trattamento far sì che i dati riguardanti le persone fisiche siano trattati secondo quanto stabilito dal Regolamento.

 

Il titolare del trattamento, può avvalersi di “responsabili del trattamento” qualora il trattamento dei dati venga effettuato esternamente alla propria attività. È diritto e dovere del titolare del trattamento preoccuparsi che i responsabili del trattamento presentino sufficienti garanzie per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del regolamento.

 

Liceità del trattamento

 

Il trattamento dei dati personali è lecito se:

 

  1. l’interessato ha espresso il proprio consenso;
  2. tale trattamento si rende necessario per l’adempimento di obblighi contrattuali e/o di legge;
  3. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato.

 

 

Informativa e richiesta del consenso

 

Il titolare del trattamento deve fornire all’interessato, attraverso apposite informative, tutte le informazioni riguardo il trattamento dei suoi dati personali. L’informativa deve essere fornita all’atto del conferimento dei dati al titolare del trattamento da parte dell’interessato. In caso sia necessario ai fini della liceità del trattamento, il titolare deve richiedere il consenso al trattamento dei dati da parte dell’interessato. L’interessato deve poter esprimere il proprio consenso in maniera: informata, specifica, libera, inoltre tale consenso deve essere espresso attraverso dichiarazione o azione positiva inequivocabile (esempio no form precompilate). E compito del titolare del trattamento poter dimostrare il consenso espresso dall’interessato o comunque dimostrare la liceità del trattamento.

 

Registro del trattamento

 

Tutte le operazioni effettuate sui dati personali devono essere riportati sul registro del trattamento. Il registro del trattamento deve contenere:

  1. estremi del titolare del trattamento;
  2. finalità del trattamento;
  3. descrizione delle categorie degli interessati;
  4. descrizione delle categorie di dati personali;
  5. destinatari dei dati;
  6. eventuali trasferimenti verso paesi terzi;
  7. periodo di conservazione dei dati;
  8. descrizione generale delle misure attuate per la sicurezza dei dati

 

Analisi dei rischi connessi al trattamento

 

Il regolamento prevede che il titolare del trattamento attui misure adeguate a garantire ed a dimostrare, il rispetto del regolamento stesso. Da qui discende l’obbligo per il titolare del trattamento di realizzare una valutazione d’impatto sulla protezione dei dati, volta ad analizzare i rischi ed individuare le misure necessarie per la loro corretta minimizzazione e gestione (gestione del rischio). Con rischio il regolamento intende uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità.

 

  • 1. Esempio mappatura del rischio.

 

 

Diritti degli interessati

 

L’interessato, nel rispetto degli obblighi di legge e contrattuali del titolare del trattamento, ha diritto: a ricevere una copia dei propri dati, alla rettifica, alla cancellazione, all’oblio, alla portabilità (solo nel caso di archivi digitali), alla limitazione e opposizione dell’utilizzo degli stessi.

 

Il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni riguardo il trattamento dei sui dati personali. Tali informazioni devono essere trasferite in forma coincisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

 

Notifica delle violazioni

 

In caso di avvenuta violazione dei dati personali, se questa comporta un rischio per l’interessato, essa deve essere notificata all’Autorità di controllo entro 72 ore. Se il rischio è ritenuto elevato, allora devono essere informati anche gli interessati. Ogni violazione, anche se non notificata, deve essere registrata e documentata.

 

Conclusioni

 

La nuova normativa introduce importanti novità rispetto alla precedente. Tuttavia l’aspetto di maggior conto è rappresentato dal fatto che il GDPR richiede un approccio alla sicurezza dei dati basato sulla consapevolezza, in particolare riguardo:

 

  1. dati trattati;
  2. metodologie di trattamento adottate;
  3. tipologia degli interessati e dei loro diritti;
  4. rischi connessi al trattamento;
  5. misure di sicurezza adottate e riduzione del rischio.

 

Questo nuovo approccio, costringe le aziende a comprendere a fondo il ciclo di vita dei dati trattati e a prendere tute le misure necessarie per la loro protezione senza che il regolamento individui in maniera specifica le azioni da intraprendere.

 

Per questo motivo, in special modo per i trattamenti effettuati mediante tecnologie informatiche (la maggioranza), risulta essenziale appoggiarsi alla consulenza di esperti in materia.

 

 

CONTATTACI!