GDPR e conformità del sito

 
 
 
Il Regolamento Europeo n. 679/2016 sulla protezione dei dati personali, noto come GDPR (General Data Protection Regulation), è entrato in vigore il 24 maggio 2016 ed è divenuto applicabile dal 25 maggio 2018 (termine ultimo di adeguamento), abrogando di fatto la Direttiva 95/46/CE. Il nuovo quadro normativo prevede maggiori tutele nel trattamento dei dati personali, adempimenti più complessi e sanzioni più pesanti. Il trattamento dei dati personali viene posto al centro delle organizzazioni aziendali ed in questo ambito sono previste nuove figure professionali.
Il General Data Protection Regulation impone a tutte le aziende e ai professionisti che operano nei Paesi membri della Ue una serie di novità di assoluto rilievo in materia di trattamento dei dati personali. Ove per trattamento dati deve intendersi qualsiasi informazione riguardante una persona fisica identificata o identificabile (quindi, ad esempio, sono dati personali: l’indirizzo di posta elettronica fornito, i dati anagrafici forniti, il numero di cellulare fornito…)
Il GDPR introduce delle novità rispetto alla precedente normativa, come:
1. RESPONSABILIZZAZIONE DEL TITOLARE DEL TRATTAMENTO (ACCOUNTABILITY): Il soggetto che determina le finalità e i mezzi del trattamento dei dati personali è definito “titolare del trattamento” e può essere sia una persona fisica che giuridica, oppure un’autorità pubblica, o ancora un servizio altro organismo. Il suo compito è quello di porre in essere tutte le misure tecniche e organizzative adeguate a garantire che tale trattamento sia effettuato conformemente al Regolamento. Il titolare deve dimostrare la concreta adozione di misure tecniche e organizzative finalizzate a garantire che tale trattamento sia coerente alla norma. A tal fine il titolare deve rispettare i seguenti principi:
• Principio privacy by design: il trattamento dei dati deve prevedere sin dall’inizio le garanzie indispensabili per tutelare i diritti e le libertà dei diretti interessati;
• Principio privacy by default: ovvero la necessità di mettere in atto misure tecniche e organizzative adeguate al fine di garantire che in tale contesto vengano trattati i soli dati personali necessari per la specifica finalità del trattamento.
2. LICEITA’ DEL TRATTAMENTO: Il Regolamento pone particolare attenzione al principio della liceità, correttezza e trasparenza. I fondamenti di liceità del trattamento sono:
• Il consenso esplicito dell’interessato;
• L’adempimento di obblighi contrattuali;
• L’adempimento di obblighi legali cui è tenuto il titolare;
• La salvaguardia di interessi vitali per una persona fisica;
• L’interesse pubblico o esercizio di pubblici poteri;
• Il perseguimento di un legittimo interesse del titolare o di terzi cui i dati vengono comunicati. Non è più ammesso il consenso tacito o presunto. Il titolare del trattamento deve essere sempre in grado di dimostrare che l’interessato ha prestato il consenso al trattamento dei dati.
3. INFORMATIVA: L’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati. Il titolare deve fornire all’interessato una lunga serie di informazioni, elencate in modo tassativo negli articoli 13 e 14 del Regolamento. Le informazioni che il titolare del trattamento deve fornire all’interessato devono sempre essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
4. I DIRITTI DEGLI INTERESSATI E LE MODALITA’ DI ESERCIZIO: Il GDPR disciplina il trattamento dei dati su cinque diritti fondamentali:
• Diritto di accesso: si configura come il diritto del soggetto interessato di richiedere e ottenere dal titolare del trattamento le informazioni sul trattamento dei suoi dati personali;
• Diritto all’oblio: ovvero il diritto dell’interessato a veder cancellati i dati personali che lo riguardano;
• Diritto di rettifica: il diritto dell’interessato di richiedere che siano modificati, corretti o aggiornati i dati che lo riguardano;
• Diritto di limitazione consiste nel diritto riconosciuto all’interessato di richiedere al titolare che il trattamento dei suoi dati sia limitato alla sola conservazione;
• Diritto alla portabilità dei dati: l’interessato ha il diritto di ricevere dal titolare copia dei dati personali oggetto del trattamento in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
4. I DIRITTI DEGLI INTERESSATI E LE MODALITA’ DI ESERCIZIO: Ove per interessato s’intende la persona fisica cui si riferiscono i dati personali (esempio: persona fisica cliente, azienda cliente o lavoratore dipendente). In particolare si sottolinea che il titolare del trattamento è tenuto ad agevolare l’esercizio dei diritti dell’interessato. Qualora l’interessato faccia richiesta al titolare il termine di risposta è per tutti i diritti di 1 mese, estensibile 3 mesi in casi di particolare complessità.
5. PRIVACY IMPACT ASSESSMENT: Per “valutazione d’impatto” s’intende l’analisi dell’origine, della natura e della gravità del rischio per la tutela del diritto alla protezione del dato. Solo all’esito di tale valutazione il titolare potrà decidere se procedere con il trattamento dei dati secondo le misure che ha predisposto. Qualora lo ritenesse necessario potrà consultare le autorità di controllo per avere indicazioni sulla gestione del rischio residuale.
6. DATA PROTECTION OFFICER: Il Regolamento introduce la figura del “Data Protection Officer” (DPO) o del “responsabile per la protezione dei dati” (RPD) al quale sono attribuiti importanti compiti ai fini della protezione dei dati e, in primo luogo, quello di sorvegliare l’osservanza del Regolamento. Il Data Protection Officer deve avere una conoscenza specialistica della normativa e della prassi in materia di protezione dei dati e deve avere le capacità necessarie per assolvere i compiti di cui è investito. La nomina del DPO è obbligatoria:
• Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell’esercizio di tali funzioni);
• Ove i trattamenti, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• Quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili) o di dati relativi a condanne penali.
7. RESPONSABILE DEL TRATTAMENTO: Il titolare del trattamento può designare un responsabile del trattamento, che tuteli i dati personali per suo conto. Questi deve prestare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale da garantire la tutela dei diritti dell'interessato. L’affidamento del trattamento al responsabile deve avvenire con un contratto stipulato informa scritta e che disciplini tassativamente le materie indicate nel Regolamento.
8. NOTIFICA VIOLAZIONE DATI PERSONALI (DATA BREACHES): In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
9. REGISTRO DEI TRATTAMENTI: Il titolare deve tenere un registro delle operazioni di trattamento. Sebbene il GDPR escluda da tale obbligo i soggetti con meno di 250 dipendenti (solo se non effettuano trattamenti a rischio ovvero limiti i diritti e la libertà dell’interessato), il Garante della Privacy consiglia fortemente la sua tenuta da parte di tutti i soggetti che trattano dati personali poiché si tratta di uno strumento fondamentale per avere un elenco aggiornato di tutti i trattamenti effettuati.
 
In relazione alla necessità di adeguarsi al nuovo Regolamento Europeo si prevede la seguente modalità operativa:
PRIVACY ASSESTMENT nuova mappatura dei trattamenti e dei ruoli al fine di progettare l’implementazione di un Sistema di Governance della Privacy strutturato ed in grado di accrescere il livello di protezione dei dati e di consapevolezza nei trattamenti, con particolare attenzione:
   ▫ Identificazioni banche dati;
   ▫ Vulnerabilità e criticità dei trattamenti operati;
   ▫ Procedure e policy internet;
   ▫ Gestione e disciplina dei trattamenti;
   ▫ Gestione e disciplina degli incaricati;
   ▫ Documentazione di sistema;
   ▫ Analisi del sistema informativo e delle misure di sicurezza implementate secondo disposizioni di legge finalizzata alla definizione di una gap analysis atta ad evidenziare gli scostamenti rispetto alla messa in conformità al nuovo Regolamento su richiamato.
• Valutazione e definizione applicativa del principio “Privacy by Default e Privacy By Design” su cui si basa il nuovo Regolamento;
• Valutazione del rischio per i trattamenti svolti;
• Identificazione, pianificazione e applicazione delle misure minime di sicurezza fisiche e logiche per la protezione del dato;
• Redazione documentazione di sistema (registro dei trattamenti, incarichi interni al trattamento, incarichi e nomine responsabili del trattamento esterno, incarichi tecnici, informative, ecc….);
• Definizione e implementazione di attività correlate al “Data Breach” (violazione del dato) compresa la definizione del sistema di allerta;
• Formazione degli incaricati al trattamento;
• Nomina del DPO (qualora necessario).
Il Regolamento prevede solo sanzioni amministrative pecuniarie. Le sanzioni erogate devono essere in ogni singolo caso effettive, proporzionate e dissuasive. In relazione alla tipologia di violazione sono state distinte due entità di sanzioni:
• Sanzioni amministrative pecuniarie fino a 10.000.000 di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (es. nel caso non vengono poste in essere adeguate misure di sicurezza dei dati);
• Sanzioni amministrative pecuniarie fino a 20.000.000 di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (es. in caso di violazione dei principi di base del trattamento, comprese le condizioni relative al consenso).
Le singole legislazioni nazionali potranno prevedere sanzioni penali.
 
Ultima modifica: 15 giugno 2018