Responsive image

Il 24 maggio 2016 è entrato in vigore in tutta la comunità europea il GDPR – General Data Privacy Regulation, ovvero il Regolamento Generale sulla Privacy.

Il 25 maggio 2018 tale regolamento è diventato immediatamente applicabile in tutti gli stati dell'Unione Europea senza bisogno di essere recepito con provvedimenti nazionali.

Pertanto le norme sono applicabili e dovranno essere attuate entro e non oltre il 25 maggio 2018 da tutte le imprese italiane. Il regolamento ha una serie di novità per aziende, enti pubblici, liberi professionisti ed associazioni che dovranno applicare le norme in esso contenute.

E' tempo di adeguarsi.

Il GDPR introduce regole più chiare in merito all’informativa ed al consenso e stabilisce precisi limiti al trattamento automatizzato dei dati, alla relativa violazione ed all’interscambio degli stessi al di fuori della Comunità Europea.

La norma diventa così più trasparente, con un respiro internazionale che coinvolge tutta l’Unione Europea, rendendo molto chiara e semplice la gestione del proprio dato per ogni cittadino mediante consensi e revoche evidenti.

L’oggetto del regolamento diventa quindi il DATO e la gestione dello stesso è definita con il TRATTAMENTO.

Quindi il consenso al trattamento diventa obbligatoriamente esplicito (prima poteva essere tacito) ed il cittadino potrà verificarne l’applicazione ed eventualmente revocarlo in modo semplice.

La norma introduce in modo chiaro il diritto all’oblio, cioè la cancellazione definitiva dei propri dati personali da parte di un titolare del trattamento qualora ad esempio cessino i motivi per cui si era dato il consenso; e si obbliga il titolare del trattamento ad agire tempestivamente perché l’informazione sia rimossa ovunque venga trattata.

Viene inoltre data evidenza alle problematiche del trasferimento dei dati al di fuori dell’Unione Europea dove si deve valutare l’adeguatezza della tutela dei dati della controparte e in caso di insufficienza si dovranno richiedere garanzie ed il cittadino dovrà esplicitamente dare il proprio consenso ad ogni forma di trasferimento.

Il furto dei dati personali (Data Breach) richiederà maggiore informazione verso l’interessato e una comunicazione tempestiva ed obbligatoria verso l’autorità nazionale per la protezione dati.

Cambia la visione generale che passa da un mero censimento dei trattamenti effettuati relativi alla privacy ad un vero e proprio Sistema Rischi dove si devono fare attente misurazioni, mettere in atto politiche di riduzione del rischio.

I legislatori europei al fine di evidenziare l’importanza del provvedimento hanno stabilito forti sanzioni pecuniarie nel mancato rispetto della norma.

Le Sanzioni amministrative pecuniarie possono arrivare fino a 20 milioni di euro e, per le imprese, fino al 4% del fatturato annuo mondiale precedente.

QUADRO NORMATIVO

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016

Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Regolamento (UE) 2016/679


DIRETTIVA (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016

Direttiva relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio

Direttiva (UE) 2016/680


DIRETTIVA (UE) 2016/681 del Parlamento europeo e del Consiglio del 27 aprile 2016

Direttiva sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi

Direttiva (UE) 2016/681

Piano di Implementazione per la “Protezione dei Dati Personali”

Le azioni che l’organizzazione (azienda, associazione, ente…) dovrà mettere in atto per implementare un sistema di Protezione dei Dati Personali, come dettato dal nuovo GDPR sono le seguenti:

  • definire le figure responsabili:
    • il «titolare del trattamento»:
      la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
    • il «responsabile del trattamento»:
      la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
  • dando rilevanza all’organigramma attribuire funzionalmente ogni risorsa ad una unità operativa, includendo il personale dipendente e tutti coloro che hanno una qualche attività con l’impresa stessa, e partendo dal censimento dei dati personali presenti e dei relativi trattamenti, si dovrà quindi riportare alle singole risorse l’incarico di trattare quel particolare dato;
  • si dovrà formalizzare per ogni risorsa una lettera di incarico che evidenzi compiti e responsabilità di trattamento;
  • redigere un piano formativo atto a prepararle risorse ad una corretta gestione;
  • essendo il trattamento dei dati un’attività a rischio si deve attuare un PIA preventivo (Privacy Impact Assessment = censimento degli impatti privacy) in cui per ogni fenomeno si valuta rischiosità complessiva, azioni intraprese e rischiosità residua in modo da realizzare il primo documento che fotografa la situazione corrente;
  • dalla valutazione del PIA nascerà quindi un piano interno in cui verrà stabilito come gestire il singolo rischio e coloro che dovranno essere incaricati ad operare in tal senso.

Il PIA deve quindi essere costantemente monitorato e avrà impatto sulle revisioni successive.

La gestione dei rischi privacy: il PIA (Privacy Impact Assessment)

Il PIA dovrà essere redatto in modo da raggiungere i seguenti obiettivi:

  • garantire la conformità con le normative, e requisiti legali applicabili per la privacy;
  • determinare i rischi e gli effetti che ne conseguono;
  • valutare le azioni protettive e gli eventuali processi alternativi per limitare i rischi per la privacy.

Il PIA diventa quindi l’elemento più importante per affermare di essere conformi alle prescrizioni del Regolamento.

Cosa cambia nel consenso dell’interessato

Il più evidente cambiamento sta nel fatto che il consenso deve essere necessariamente fornito dal cittadino per il trattamento dei dati.

Non è più accettabile la pratica del silenzio assenso.

Il consenso deve essere: manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, attraverso dichiarazione o attività positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Ogni operazione di comunicazione dovrà quindi far capo ad un preciso consenso formalizzato da presentare all’interessato nel caso ne facesse richiesta.

L’interessato ha poi il diritto di revocare qualsiasi consenso abbia dato e deve essere informato di questo dal titolare del trattamento, restano leciti tutti i trattamenti effettuati prima della revoca.

Privacy by Design e by Default

Il nuovo regolamento compie un ulteriore passo avanti introducendo la Privacy by Design che con un innovativo approccio concettuale

L’articolo 25 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) dice:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

È una visione del problema che obbliga tutti coloro che introducono nuove rischiosità “privacy” ad attuare e certificare anche i sistemi di sicurezza per limitarne il rischio.

I registri dei trattamenti

La redazione dei registri delle attività e dei trattamenti stessi è a cura del responsabile e del titolare del trattamento. La tenuta del registro rappresenta il sostituto della comunicazione diretta delle medesime informazioni al Garante della Privacy.

Il registro del titolare del trattamento, che contiene:

  • anagrafica del titolare stesso, di un contitolare se presente, del rappresentante e del titolare alla protezione dati;
  • le finalità del trattamento;
  • le categorie degli interessati a cui fa capo il dato;
  • eventuali termini per la cancellazione automatica del dato;
  • un’eventuale descrizione generale delle misure di sicurezza tecnicoorganizzative.
  • Il registro del responsabile del trattamento, in cui sono presenti:
  • l’anagrafica dei responsabili del trattamento;
  • la descrizione delle categorie di trattamento effettuati;
  • opzionalmente la descrizione delle misure di sicurezza intraprese.

La tenuta dei registri può essere sia in forma cartacea che in forma elettronica ma deve essere sempre disponibile ad eventuali ispezioni dell’autorità garante.

Azioni da intraprendere in caso di violazione dei dati (Data Breach)

Si intende per violazione di sicurezza tutto ciò che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo.

Il responsabile del trattamento informa il titolare del trattamento senza immediatamente dopo essere venuto a conoscenza della violazione.

La comunicazione all’autorità deve descrivere la natura della violazione dei dati personali, dare informazioni sulla violazione in termini di categorie, quantità di interessati, e il numero delle registrazioni coinvolte; descrivere le probabili conseguenze della violazione dei dati personali; indicare le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione e per ridurre gli effetti negativi;

Va inoltre documentata qualsiasi violazione dei dati personali, contestualizzandone le circostanze, le conseguenze e i provvedimenti adottati per porvi rimedio.

Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Si prevede inoltre la comunicazione della violazione dei suoi dati all’interessato:

  • quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche;
  • la comunicazione all’interessato deve descrivere in modo semplice e chiaro la natura della violazione e contenere le informazioni come già indicate all’autorità di controllo.

Non è richiesta la comunicazione all’interessato di cui al paragrafo se è soddisfatta una delle seguenti condizioni:

  • se il titolare del trattamento ha messo in atto tutte le misure atte a rendere i dati personali incomprensibili a chiunque non sia autorizzato;
  • se il titolare del trattamento ha successivamente adottato misure atte a scongiurare il rischio per i diritti e le libertà degli interessati;
  • se si e proceduto a una comunicazione pubblica o a una misura simile, al fine di informare efficacemente gli interessati.

Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere che vi provveda o valutare che una delle condizioni precedentemente descritta sia soddisfatta.

Quindi va da sé che la protezione dei dati deve rispondere ogni violazione con tempestive segnalazioni considerando che ogni violazione a queste regole potrà essere sanzionata con i valori già indicati.

DPO (Data Protection Officer)

La figura del Data Protection Manager (DPO) non sempre è necessaria, ma diventa obbligatoria nei seguenti casi

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  • le attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico dei responsabili su larga scala;
  • le attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali.

Un gruppo imprenditoriale o più amministrazioni pubbliche tenuto conto della loro struttura organizzativa e dimensione possono nominare un unico responsabile della protezione dei dati.

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.

Il DPO deve essere dotato di autonomia nella gestione delle problematiche affidate e devono essergli fornite le risorse necessarie per assolvere i suoi compiti.

Va da se che sia il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO sia adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

Chiunque può contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei propri dati personali e all’esercizio dei propri diritti.

Il DPO è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.

I compiti del responsabile della protezione dei dati sono i seguenti:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento formare i dipendenti che eseguono il trattamento sugli obblighi derivanti dal GDPR;
  • sorvegliare l’osservanza del GDPR, politiche attuate dal titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo;
  • fornire un parere professionale in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • cooperare con l’autorità di controllo;
  • essere il punto di contatto per l’autorità di controllo per questioni connesse al trattamento, ed effettuare, consultazioni relativamente a qualunque altra questione.

La figura del DPO è già presente sullo scenario internazionale da molti anni come un consulente interno o esterno esperto delle normative e delle problematiche privacy.


Richiesta contatto





Premere qui per ricaricare il codice.