Blog Netminds
GDPR - Cosa c’è da sapere per farsi trovare pronti entro 25 maggio!
Innanzitutto chiariamo, per chi ancora non lo sapesse, cos’è il GDPR e per cosa sta questa sigla. Si tratta del Regolamento UE 2016/679, noto appunto come General Data Protection Regulation (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Parliamo, quindi, di un Regolamento del Parlamento Europeo applicabile a tutti gli Stati membri, emanato ad Aprile 2016 e che diverrà operativo a decorrere dal 25 Maggio 2018, data nella quale verrà per l’appunto abrogata la precedente direttiva.
La nuova normativa ha, pertanto, messo a disposizione circa 2 anni per adeguarsi al nuovo Regolamento, ma in quanti ora a meno di un mese dalla sua entrata in vigore si trovano ancora impreparati?
Allora cerchiamo di capire in primis di cosa stiamo parlando, chi riguarderà questo Regolamento, quali principi introduce e quali obiettivi si pone.
Definizioni
- Dati personali
- Dati sensibili
- Dati giudiziari
- Trattamento
Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile, cioè che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dati sensibili: sono quei dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché dati personali idonei a rivelare stato di salute e vita sessuale.
Dati giudiziari: dati idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi del codice di procedura penale.
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Meglio se il vostro PDO non sia Elliot Alderson, protagonista di Mr Robot |
- Data Controller
- Data Processor
- Data Protection Officier (DPO)
- Amministratore di sistema
- Incaricato al trattamento dei dati personali
2Data Controller: è il Titolare del trattamento dei dati personali, può essere una persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e le modalità del trattamento dei dati. Ha titolarità dei dati."
Data Processor: è il Responsabile del trattamento dei dati personali, persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Non ha titolarità dei dati.
Data Protection Officier (DPO): questa è una figura obbligatoria per alcuni business e nella PA (Pubblica Amministrazione). Il Responsabile della protezione dei dati è incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti. Questa figura riferisce direttamente al vertice, ma è indipendente e non riceve istruzioni per quanto riguarda l’esecuzione dei compiti.
Amministratore di sistema: è una figura professionale il cui fine è la gestione e la manutenzione di un impianto di elaborazione e delle sue componenti.
Incaricato al trattamento dei dati personali: sono incaricati che operano sotto la diretta autorità del Data Controller o del Data Processor, attenendosi alle istruzioni che gli sono state impartite.
Principi introdotti dal GDPR
- Armonizzazione
- Trattamenti oltre i confini
- Consenso
- Maggior controllo
- Governance
- Trasparenza
- Data breach
- Diritto all’oblio
- Responsabile della protezione dei Dati
- Valutazione di impatto sulla privacy (PIA)
- Portabilità dei Dati
- One-stop-shop
- Protezione dei Dati
Armonizzazione: imporre le stesse regole per tutti gli Stati Membri dell’UE. Questo è uno degli obiettivi primari del GDPR, volendo appunto uniformare a livello europeo le diverse normative nazionali vigenti in materia del Trattamento dei Dati.
Trattamenti oltre i confini: è una diretta conseguenza dell’armonizzazione, ma estende ulteriormente la protezione dei dati personali in riferimenti ai cittadini dell’UE. Questo perché il GDPR vale per tutte le organizzazione situate all’interno dell’UE che trattano dati personali di cittadini UE e non, ma come detto estende questo regolamento anche a tutte le organizzazioni extra-UE che trattano i dati personali di cittadini UE.
Consenso: deve essere “esplicito”. Si parla appunto di consenso attivo dell’interessato, per supportare le legittime finalità dello stesso. Anche prima dell’introduzione del GDPR, in effetti, non era ammesso il consenso tacito o presunto (ad es. le caselle pre-spuntate di un modulo), ma con l’introduzione del GDPR il Data Controller dovrà essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Inoltre il consenso dei minori è valido a partire dai 16 anni (derogabile da normative nazionali che possono abbassarlo fino al limite dei 13 anni), prima di tale limite di età sarà necessario il consenso dei genitori o chi ne fa le veci.
Maggior controllo: si esplicita in sanzioni più pesanti. Il GDPR ha introdotto infatti sull’inosservanza delle disposizioni sanzioni amministrative pecuniarie che vanno dal 2% al 4% dei ricavi annuali di una società (fino ad un limite massimo di 20 milioni).
Governance: viene imposta una maggiore responsabilità per le organizzazioni, infatti il titolare ed il responsabile del trattamento, devono attuare e garantire che i requisiti siano adottati e rispettati tanto all’interno della propria organizzazione ma anche da eventuali sub-appaltatori (es. Amministratore di sistema esterno).
Trasparenza: le informative sulla privacy devono contenere informazioni molto più dettagliate. In particolare: quali sono i diritti dell’interessato, le finalità del trattamento, le modalità del trattamento (conservazione, comunicazione, ecc.) e i recapiti dell’organizzazione attraverso cui l’interessato può esercitare i propri diritti.
Data breach: sono casi in cui si è avuta una perdita dei dati dovuta al manifestarsi di eventi negativi. Il GDPR impone delle precise regole sulla notifica di questi eventi. Sostanzialmente l’organizzazione titolare del trattamento dei dati personali è tenuta ad inviare sia agli interessati che all’Autorità di controllo (Garante Privacy), entro un intervallo di tempo stabilito, una comunicazione contenente informazioni sull’evento verificatosi, sui dati intaccati, sulle possibili conseguenze e sulle misure prese in risposta all’evento.
Diritto all’oblio: è probabilmente la maggiore novità introdotta dai principi del GDPR. Si tratta della richiesta di cancellazione dei dati personali rivolta ad un titolare che li abbia resi pubblici il quale è obbligato a trasmetterla a tutti coloro ai quali ne ha concesso l’utilizzo.
Quindi sostanzialmente chi tratta i dati è tenuto ad eliminarli se il trattamento non è più legittimo. Ciò comporta anche che una volta scaduti i termini stabiliti dal contratto/nomina tra l’interessato e l’organizzazione, quest’ultima non è più tenuta a trattare i dati dell’interessato (compreso quindi la loro conservazione e la comunicazione degli stessi).
Responsabile della protezione dei Dati: questa è una figura che abbiamo già visto all’inizio quando abbiamo parlato delle figure che il GDPR coinvolge, trattasi quindi del DPO (Data Protection Officer), in italiano appunto Responsabile della protezione dei Dati (RPD) che fa da trait d’union tra le organizzazioni e l’autorità di controllo, ed è obbligatorio ogniqualvolta:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- i trattamenti richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- Siano effettuati trattamenti, su larga scala, di categorie particolari di dati personali (dati sensibili o giudiziari).
Valutazione di impatto sulla privacy (PIA): quando un tipo di trattamento può presentare un rischio elevato per i diritti e la libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.
Portabilità dei Dati: è il diritto a poter trasferire i propri dati personali da un titolare del trattamento ad un altro, ovviamente sotto sua indicazione. La norma fa eccezione nei casi in cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personali verso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.
One-stop-shop: è stato introdotto sostanzialmente quello che potremmo definire lo sportello unico, cioè un’autorità di Controllo univoca in ogni Stato membro UE. Questo per risolvere eventuali difficoltà e per semplificare la gestione dei trattamenti garantendo un approccio uniforme. Le imprese che operano in più Stati UE potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale.
Protezione dei Dati: sono misure a protezione dei dati personali che dovranno essere previste in tutte le fasi operative, i dati personali dovranno essere trattati nella misura minima strettamente necessaria per l’esecuzione delle attività previste.
[Fonte: Altea Federation]
Obiettivi del GDPR
Il GDPR nasce dall’esigenza di dare maggior protezione ai dati personali in virtù soprattutto dei maggior “pericoli” che il nuovo contesto sociale e tecnologico ci porta ad affrontare.
Infatti possiamo individuare come uno dei primari obiettivi del GDPR quello di adeguare la precedente normativa sul trattamento dei dati personali, proprio al contesto tecnologico attuale, con riferimento ai rischi legati alla rete informatica ed alla circolazione dei dati che questa ha scatenato.
Sotto gli occhi di tutti noi oggi c’è il recente scandalo che ha coinvolto Mark Zuckerberg ed il suo Facebook per mano di Cambridge Analytica (ne parliamo in questo articolo), in realtà il GDPR non nasce in risposta a questo caso specifico, ma è, come abbiamo ricordato in apertura, un provvedimento legiferato ormai 2 anni fa, quanto mai profetico se si immagina il trend ed il rischio che i dati personali di noi tutti corrono oggigiorno sul filo della rete internet.
Altro obiettivo prefissato dalla UE con l’emissione del GDPR è quello di unificare la normativa proprio a livello europeo in tutti gli Stati membri e per tutti i cittadini degli stessi, infatti gli obiettivi fin qui visti passano per il non secondario obiettivo di fortificare i diritti delle persone. Vengono, infatti, poste le basi affinché i dati personali siano raccolti e gestiti solo nei casi e negli ambiti davvero necessari e non in ultimo, sempre protetti con adeguati sistemi di sicurezza.
Bene, siamo giunti, dopo tante parole, termini e definizioni, alla conclusione di quest’articolo, che tratta un argomento vasto e meritevole di spazio necessario per approfondirne ogni aspetto.
Purtroppo il nostro tempo a disposizione è terminato ;-), ma se rientri tra chi ancora non si è posto il problema di adeguarsi al GDPR o se necessiti di ulteriori informazioni per capire meglio cosa fare o di quali consulenze avvalersi per destreggiarsi in questa nuova rivoluzione riguardante il trattamento dei dati personali (che, chi bazzica sul web, sa quanto sia delicato e spinoso), restiamo a disposizione con il form sottostante, attraverso il quale potrete esporci tutti i vostri dubbi o eventuali domande al riguardo!
Adesso è proprio tutto, vi diamo appuntamento al prossimo approfondimento!
Iscriviti alla Newsletter per tutti gli aggiornamenti e le novità