GDPR chi deve adeguarsi

GDPR: significato e guida.

GDPR chi deve adeguarsi

Dall’entrata in vigore del Regolamento UE n. 2016/679 o GDPR chi deve adeguarsi si è posto il seguente problema: alla luce delle indicazioni contenute nel GDPR cosa fare per mettersi in regola?
La risposta è  complessa, poiché per adeguarsi al GDPR (o, come si dice in inglese, essere “GDPR compliant”) è richiesto un cambiamento di prospettiva, rispetto a quanto avveniva in passato.
Secondo quanto previsto dal GDPR chi deve adeguarsi non può limitarsi ad alcuni adempimenti “formali” (che pure sono previsti) ma deve concretamente ed effettivamente adottare le misure di sicurezza per tutelare il trattamento dei dati personali. Il problema è che queste non vengono indicate, come succedeva nella previgente normativa, ma la loro individuazione è lasciata ai soggetti obbligati, secondo il principio di auto-responsabilizzazione o accountability.
È inutile ricercare nel GDPR cosa fare in pratica, poiché il regolamento si limita a obbligare le aziende ad auto responsabilizzarsi.
Alla luce del GDPR cosa bisogna fare per mettersi in regola (essere cioè GDPR compliant) dipende dal tipo di trattamento che l’azienda intende effettuare con i dati personali: il regolamento impone di adottare le misure di sicurezza devono essere “adeguate” al trattamento dei dati personali. Secondo il GDPR cosa fare in pratica è lasciato alla auto-valutazione di ogni singola azienda.
Pertanto è perfettamente comprensibile il senso di “smarrimento” e la difficoltà ad adeguarsi a questa “nuova” prospettiva.


COS’È LA PRIVACY

Prima di affrontare nel dettaglio il contenuto del regolamento europeo, si ritiene opportuno fare qualche precisazione su quale sia la ratio, il senso della regolamentazione.
Sebbene il GDPR sia conosciuto anche come “regolamento europeo sulla privacy”, oggetto della protezione non è la privacy, ma il trattamento dei dati personali.
Come talvolta accade, un termine nel linguaggio giuridico ha un significato diverso rispetto al linguaggio comune.
Cos’è la privacy? Si può definire come il diritto di essere lasciati soli (right to be let alone) e viene trasportato nell’ordinamento italiano come diritto alla riservatezza, cioè il diritto a non far conoscere agli altri le informazioni riguardanti noi stessi.
Quello di cui si occupa il regolamento è qualcosa di diverso e, se vogliamo, più ampio. Non si occupa solamente del “diritto all’oblio” che, se vogliamo, è il corollario più diretto della riservatezza, ma si occupa di come devono essere “maneggiate” le informazioni che riguardano la persona.
Oggi è sotto gli occhi di tutti il valore di queste informazioni, che sono riconosciute come un vero proprio “bene giuridico” al pari degli immobili, del denaro o dell’energia elettrica. Basti pensare che sulle informazioni si sono costruite multinazionali come Google e Facebook.
Ecco allora che emerge la ratio del GDPR: quella di proteggere i cittadini da violazioni (il cosiddetto data breach) ed abusi delle informazioni personali.
Difatti all’art. 1 GDPR si legge che il regolamento “protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.


COS’È IL GDPR

Il GDPR è l’acronimo di General Data Protection Regulation, ossia Regolamento generale per la protezione dei dati personali che, attraverso il decreto legislativo di attuazione n. 101/2018, ha integrato e modificato il codice “sulla privacy” contenuta al decreto legislativo n. 196/2003.
Il legislatore europeo ha utilizzato lo strumento del regolamento perché ha voluto che con il GDPR chi deve adeguarsi siano tutte le aziende europee, senza distinzione di nazionalità (art. 3 GDPR).
Non solo. In base al GDPR chi deve adeguarsi sono le aziende, anche con sede in paesi extracomunitari, che tuttavia svolgono il trattamento dei dati all’interno del territorio dell’Unione.
Infine, ai sensi dell’art. 3 comma 2, al GDPR chi deve adeguarsi sono i soggetti extracomunitari che trattano i dati di cittadini che si trovano all’interno dell’Unione Europea, indipendentemente da dove il trattamento venga effettuato,  “quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.”
Pertanto lo strumento del regolamento ha il vantaggio di uniformare il livello di protezione dei dati personali di tutti i cittadini europei.


SECONDO IL GDPR CHI DEVE ADEGUARSI AL REGOLAMENTO?

Il primo punto che analizziamo è, alla luce del regolamento GDPR chi deve adeguarsi. Quali sono, cioè, i soggetti tenuti al rispetto del regolamento europeo sulla privacy.
Abbiamo visto che, per effetto dello strumento utilizzato (il regolamento) dal GDPR chi deve adeguarsi è sufficiente che abbia la sede all’interno dell’Unione Europea, oppure che il trattamento dei dati personali sia svolto all’interno dell’Unione Europea.
Ebbene, a grandi linee possiamo dire che per il GDPR chi deve adeguarsi è qualunque persona (sia essa persona fisica o giuridica) svolga, in proprio o per conto di altri, un trattamento dei dati personali, sia esso (art. 2 GDPR) interamente o parzialmente automatizzato oppure non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
In particolare, i soggetti che devono adeguarsi al GDPR sono:

  1. il titolare ed il contitolare del trattamento ex art. 4 GDPR,
  2. il responsabile del trattamento ex art 28 GDPR,
  3. l’incaricato del trattamento ex art. 29 GDPR,
  4. l’amministratore di sistema.

I soggetti esclusi sono indicati all’art. 2 comma 2 GDPR, in particolare le persone fisiche che trattano dati personali per attività esclusivamente personali o domestiche.
Dall’altro lato, il soggetto a cui i dati personali si riferiscono è chiamato “interessato” del trattamento, ed è titolare di una serie di diritti che sono indicati nel regolamento.
Prima di analizzare nel dettaglio quali sono i soggetti, è necessario quindi vedere cosa si intende per “trattamento” e cosa si intende per “dati personali”.


QUANDO PER IL GDPR CHI DEVE ADEGUARSI EFFETTUA “UN TRATTAMENTO” DEI DATI PERSONALI

Ai sensi del GDPR chi deve adeguarsi deve poter riconoscere quando sta effettuando un trattamento di dati.
Cosa si intende per trattamento?
L’art. 4 GDPR fornisce una definizione molto ampia di trattamento, riconoscendolo in “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Dalla lettura di tale disposizione, è considerata trattamento anche solamente la raccolta dei dati personali, con qualsiasi mezzo. È il caso, per esempio, dell’azienda che riceve il curriculum da parte del candidato.

Tra i vari trattamenti indicati dal GDPR chi deve adeguarsi deve prestare particolare attenzione ad un trattamento: la profilazione. Ai sensi dell’art. 4 GDPR, si tratta di “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
La profilazione non si limita quindi ad un semplice “tracciamento” dell’interessato, ma di un’analisi dei suoi comportamenti, svolta al fine di influenzarne le preferenze.
È ammessa solamente quando il trattamento è autorizzato da una legge o regolamento opporre è comunque necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare. In alternativa, vi deve essere il consenso dell’interessato.
Per adeguarsi al GDPR, i soggetti “GDPR compliant” che effettuano la profilazione sono soggetti a particolari obblighi di informazione, dovendo esplicitare le modalità e le finalità della profilazione, la logica inerente il trattamento e le conseguenze previste per l’interessato.


QUANDO PER IL GDPR CHI DEVE ADEGUARSI TRATTA “DATI PERSONALI”

Ai sensi del GDPR chi deve adeguarsi deve poter riconoscere quando sta trattando un “dato personale”.
Cos’è un dato personale?
Sempre all’art. 4 è contenuta anche la definizione di dato personale, anch’essa molto ampia, come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Secondo il GDPR dati particolari e personali possono essere informazioni apparentemente prive di alcun collegamento con una persona fisica. Dato personale non è solamente quello che individua direttamente una persona, ma anche indirettamente, cioè attraverso il collegamento ad altre informazioni. Ad esempio, l’iban del conto corrente non è in grado di identificare, di per sé, il titolare del conto corrente, ma lo diventa se, potendolo incrociare con altre informazioni (detenute dalla banca), può identificare una persona. Per la stessa ragione, sono considerati dati personali i cookie dei siti internet e l’indirizzo ip di un computer.


SECONDO IL GDPR CHI DEVE ADEGUARSI DEVE DISTINGUERE DATI PARTICOLARI E IDENTIFICATIVI

In particolare, adeguarsi al GDPR richiede un trattamento diversificato per i dati appartenenti a due macro-categorie. Si deve distinguere, secondo quanto previsto dal GDPR tra dati particolari ex art. 9 GDPR e dati identificativi.
Per il GDPR i dati particolari (o “sensibili” secondo la precedente denominazione) sono quelli “che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Alla luce di questa disposizione del GDPR i dati particolari sono ad esempio il peso e l’altezza delle persone, i vaccini effettuati, i giorni di malattia presi sul lavoro, il numero di tessera di un partito politico.
Tutti i dati diversi dai dati particolari, sono considerati “dati identificativi”.
La distinzione è rilevante perché secondo il GDPR chi deve adeguarsi, deve effettuare un trattamento lecito, e le condizioni di liceità cambiano a differenza della tipologia dei dati trattati:
Il trattamento dei dati identificativi è lecito se sussiste:

  1. Consenso dell’interessato;
  2. Esecuzione contratto di cui l’interessato è parte;
  3. Adempimento obbligo legale;
  4. Legittimo interesse del titolare.

Secondo l’art. 9 GDPR i dati particolari, del quale il trattamento è di regola vietato, possono essere trattati solamente:

  1. se vi è consenso esplicito, (anche se non necessariamente scritto);
  2. per obblighi specifici in materia del diritto del lavoro;
  3. per la difesa di un diritto in sede giudiziale;
  4. se i dati sono resi manifestamente pubblici;
  5. se il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali.

 


GDPR CHI DEVE ADEGUARSI: TITOLARE E CONTITOLARE DEL TRATTAMENTO

Il primo e principale soggetto che deve adeguarsi al GDPR (essere cioè “GDPR compliant”) è il titolare del trattamento dei dai personali.
L’art. 4 comma 1 n. 7 GDPR lo definisce come “ la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.
Secondo il GDPR chi deve adeguarsi come “titolare del trattamento” è qualsiasi persona giuridica (società, enti…. ) o fisica (ditte individuali, professionisti…) che tratta i dati personali in nome proprio, o che ne delega il trattamento ad altri soggetti (come vedremo, si tratta del responsabile ex art 28 GDPR e dell’incaricato).
Particolare attenzione si pone per il rappresentante legale della società. Se da una parte è vero che, formalmente, titolare del trattamento è la società, dall’altra parte, più concretamente, questo rappresenta la società nei confronti dei terzi, e quindi anche nei confronti dell’interessato.
L’art. 26 GDPR definisce invece la posizione del contitolare del trattamento. “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
Secondo il GDPR chi deve adeguarsi, nella posizione di contitolare, sono tutti i soggetti che definiscono le finalità ed i mezzi del trattamento e per essere GDPR compliant devono sottoscrivere, tra di loro, un accordo di contitolarità.
Quando la norma parla di “mezzi del trattamento” si riferisce, ad esempio, anche alle modalità di conservazione dei dati. Pertanto, se un computer, oppure un archivio cartaceo vengono utilizzati da più professionisti (pensiamo ad esempio a più avvocati che, pur senza costituire uno studio associato, operano nello stesso ufficio e hanno un archivio condiviso) ne consegue che per adeguarsi al GDPR, i professionisti devono redigere un accordo di contitolarità.

gdpr chi deve adeguarsi


PERCHÉ AI SENSI DEL GDPR CHI DEVE ADEGUARSI È IL RESPONSABILE DEL TRATTAMENTO EX ART 28 GDPR

Secondo quanto previsto dal GDPR chi deve adeguarsi è anche il cosiddetto “responsabile del trattamento”, definito dall’art. 4 comma 1 n. 8 GDPR come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Si tratta quindi del soggetto, diverso dal titolare (ed esterno ad esso), che tratta i dati personali degli interessati in nome e per conto del titolare.
Sono esempi concreti di “responsabile del trattamento”:

  1. il commercialista, nei confronti dei dati di terzi (fornitori e clienti) trattati in nome e per conto delle società-cliente;
  2. il consulente del lavoro, poiché su incarico della società, tratta i dati dei suoi dipendenti;
  3. il consulente legale, per i dati di terzi (dipendenti, clienti, fornitori….) che la società gli fornisce nell’espletamento della sua assistenza, consulenza o rappresentanza;
  4. gli istituti di credito, che trattano per conto degli imprenditori, i dati personali dei dipendenti (nome, cognome, iban….) per effettuare i bonifici dello stipendio;
  5. all’interno di gruppi di imprese, una società può essere responsabile del trattamento dei dati di cui è titolare un’altra.

Questi soggetti, oltre ad essere responsabili del trattamento, sono a loro volta titolari del trattamento nei confronti dei dati personali riferibili alle società-clienti.


PERCHÉ SECONDO L’ART 28 GDPR CHI DEVE ADEGUARSI, SCEGLIE CON ATTENZIONE IL PROPRIO RESPONSABILE DEL TRATTAMENTO

La figura del responsabile del trattamento è delineata soprattutto all’art 28 GDPR.

Infatti ai sensi dell’art 28 GDPR comma 1, il titolare può delegare il trattamento dei dati “ unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”. Sotto questo profilo, ad integrazione dell’art 28 GDPR, il considerando 81 stabilisce che la dimostrazione degli obblighi da parte del titolare del trattamento può essere dimostrata dall’applicazione, da parte del responsabile, di una privacy policy GDPR compliant “approvata”, oppure di un meccanismo di certificazione approvato.
L’art 28 GDPR pone in capo al titolare una responsabilità per colpa “in eligendo”ex art. 2049 codice civile. Si tratta di una forma di responsabilità oggettiva “per fatto altrui”, secondo cui il titolare è responsabile del comportamento negligente, imperito, imprudente o addirittura doloso del proprio responsabile del trattamento, a prescindere dal fatto che sia ravvisabile una propria colpa, sul semplice presupposto di avere male risposto la sua fiducia.
Per questo motivo, per adeguarsi al GDPR il titolare deve esigere dal responsabile che le informazioni personali vengano trattati in modo adeguato.
Secondo l’art 28 GDPR, il responsabile può ulteriormente delegare il trattamento dei dati ad un sub-responsabile del trattamento, a condizione che il titolare del trattamento lo autorizzi.


LA NOMINA DEL RESPONSABILE DEL TRATTAMENTO EX ART 28 GDPR

Nei paragrafi precedenti si è detto che, in linea di massima, nel GDPR cosa fare per mettersi in regola non viene espressamente indicato, ma che l’essere GDPR compliant origina da un auto analisi e da una auto-responsabilizzazione. In altre parole, nel GDPR chi deve adeguarsi non trova un elenco di adempimenti da eseguire.
A questa regola, fa eccezione l’atto di nomina del responsabile del trattamento, previsto dall’art 28 GDPR.
Lo stesso art 28 GDPR ne detta un contenuto minimo: deve disciplinare le modalità con cui il responsabile tratta i dati in nome e per conto del titolare, ed in particolare la materia disciplinata; la durata, la natura e la finalità del trattamento; il tipo di dati personali e le categorie dei soggetti interessati.
La forma può essere quella del contratto o dell’atto unilaterale.
Qualora il responsabile del trattamento ecceda i limiti di utilizzo dei dati fissati dal titolare, risponde della gestione dei dati come titolare, o per meglio dire come con-titolare.
In caso di nomina di un sub-responsabile (quarto comma dell’art 28 GDPR), questi assume la stessa posizione che il responsabile ha nei confronti del titolare. In base al GDPR chi deve adeguarsi dovrà allora redigere un contratto o un atto del contenuto analogo a quello esaminato sopra. In caso di sub-delega, Il responsabile risponde del trattamento illecito effettuato dal sub responsabile per culpa in eligendo ex art 28 GDPR e art. 2049 codice civile.


AI SENSI DEL GDPR CHI DEVE ADEGUARSI È L’AMMINISTRATORE DI SISTEMA.

Figura vicina a quella del responsabile del trattamento ex art 28 GDPR è l’amministratore di sistema.
Non trova definizione nel regolamento, ma già nel dall’art. 1, comma 1, lett. c) d.P.R. 318/1999 nella disciplina previgente al Codice Privacy e soprattutto nel provvedimento adottato dall’Autorità garante per la protezione dei dati personali il 27 novembre 2008, in base al quale, gli amministratori di sistema sono “soggetti preposti alla sicurezza, alla gestione e alla manutenzione delle banche dati, dei sistemi e delle infrastrutture informatiche di un’impresa, di un ente o organismo cui vengono associati anche gli amministratori di reti e gli amministratori di sistemi software complessi che, in ragione delle proprie mansioni, come ad esempio, attività tecniche quali il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e manutenzione hardware, possono avere il privilegio di accedere – accesso da considerarsi anche solo in via potenziale – ai dati personali trattati dal titolare”.
In altre parole, si tratta della figura professionale con competenze proprie di un tecnico hardware e software che sistematicamente e regolarmente accede, anche da remoto, al sistema informatico che il titolare utilizza per il trattamento dei dati personali.
Per l’amministratore di sistema valgono le stesse considerazioni effettuate per il responsabile del trattamento. Soprattutto per il GDPR chi deve adeguarsi, e cioè il titolare del trattamento, risponde per culpa in eligendo per i fatti commessi dall’amministratore di sistema, e che quindi ha l’onere di esigere garanzie sufficienti ed adeguate nell’adozione di idonee misure tecniche e organizzative volte alla protezione dei dati personali.
Dell’amministratore di sistema abbiamo parlato più dettagliatamente in questo articolo.


QUANDO PER IL GDPR CHI DEVE ADEGUARSI È IL DIPENDENTE: L’ INCARICATO DEL TRATTAMENTO

Il titolare del trattamento, oltre a delegare il trattamento dei dati ad un soggetto esterno (cioè il responsabile del trattamento) può affidare alcune operazioni ad un soggetto interno all’organizzazione aziendale.
Il cosiddetto  “autorizzato”“incaricato” al trattamento dei dati personali (art. 4 n.10 GDPR) è quella persona fisica che, sotto la diretta autorità del titolare o del responsabile del trattamento (cioè verosimilmente un dipendente), effettua materialmente e concretamente le operazioni di trattamento dei dati personali, anche in modo occasionale.
Secondo il GDPR chi deve adeguarsi è anche l’incaricato. Nel senso che, in primo luogo, egli è vincolato alle direttive fornite dall’imprenditore (titolare o responsabile del trattamento), verosimilmente indicate in un atto formale di designazione.
In secondo luogo, secondo il GDPR chi deve adeguarsi come incaricato ha il diritto/dovere di essere istruito dal titolare, circa le mansioni assegnate e soprattutto le misure di sicurezza da adottare (art. 29 GDPR).
Per assolvere l’obbligo di informazione, le aziende ed i professionisti possono avvalersi delle cosiddette privacy policy del GDPR, ossia documenti che forniscono linee guida sulla corretta o opportuna gestione del trattamento dei dati e sulle misure di sicurezza. Privacy policy del GDPR possono essere utilizzate, ad esempio, in materia di:

  1. gestione del data breach;
  2. gestione dei devices aziendali in uso ai dipendenti;
  3. trattamento dei dati senza l’utilizzo di strumenti elettronici o archivi informatici.

In terzo luogo, ai sensi del GDPR chi deve adeguarsi come incaricato deve essere formato a cura del titolare, nel senso che ha il diritto dovere di frequentare corsi di formazione o aggiornamento sul corretto trattamento dei dati personali.
Dall’altra parte, in caso di trattamento illecito o data breach da parte dell’incaricato, a causa della sua incompetenza, ne risponde il titolare per culpa in eligendo ex art. 2049 cod. civ..
In assenza della designazione di incaricati, qualsiasi operazione svolta da dipendenti e collaboratori, non è qualificata come utilizzo interno dei dati, ma come comunicazione a terzi, con relative problematiche, tra cui il necessario consenso da parte dell’interessato.


IL RESPONSABILE DELLA PROTEZIONE DEI DATI

Ultimo soggetto analizzato in questa guida è il responsabile della protezione dati (RDP).
Si tratta di un soggetto dotato di specifiche conoscenze e competenze nel settore della protezione dei dati personali, della normativa e della prassi nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
A differenza del responsabile del trattamento, il responsabile della protezione dati si occupa solamente e precipuamente di assistere il titolare ed il responsabile del trattamento ad adeguarsi al GDPR, ad essere cioè “GDPR compliant” soprattutto per quanto riguarda l’adozione delle misure di sicurezza, dal momento che, come abbiamo detto, non viene indicato nel GDPR cosa fare per mettersi in regola.
La nomina del responsabile della protezione dei dati è obbligatoria, secondo il GDPR per chi deve adeguarsi e svolge un trattamento dei dati particolarmente rischioso o complesso.

  1. per le amministrazioni e gli enti pubblici,
  2. se l’attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati “su larga scala”, in base al numero degli interessati coinvolti; alla quantità e alle diverse tipologie dei dati trattati; alla durata e alla portata geografica del trattamento,
  3. se l’attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici.

Come si vede, secondo il GDPR chi deve adeguarsi, deve nominare un RPD solamente in pochissimi casi: tendenzialmente, nel caso delle grandi aziende e delle pubbliche amministrazioni.


GLI ADEMPIMENTI FORMALI: L’INFORMATIVA, IL CONSENSO ED IL REGISTRO DEL TRATTAMENTO

Come già detto, non viene esplicitato nel GDPR cosa fare per mettersi in regola.
Sono però richiesti, da parte del titolare dl trattamento, alcuni adempimenti formali:

  1. La nomina del responsabile del trattamento (art 28 GDPR), degli incaricati, dell’amministratore di sistema ed eventualmente del responsabile della protezione dei dati, che abbiamo esaminato nei paragrafi precedenti
  2. L’informativa del trattamento dei dati personali;
  3. Il consenso al trattamento dei dati personali;
  4. Il registro del trattamento;
  5. Il registro del “data breach”;
  6. In alcuni casi, la valutazione d’impatto.

 


QUANDO PER IL GDPR CHI DEVE ADEGUARSI DEVE FORNIRE L’INFORMATIVA SUL TRATTAMENTO DEI DATI.

L’informativa al trattamento dei dati personali è il documento predisposto dal titolare del trattamento, che informa l’interessato quali dati vengono trattati ed in che modo.
È prevista dall’art. 13 GDPR, qualora i dati provengano direttamente dall’interessato, e dall’art. 14 GDPR qualora le informazioni provengano da soggetti terzi.
Si tratta di un adempimento già previsto dalla normativa precedente (D.Lgs 196/2003) ma che alla luce del GDPR chi deve adeguarsi, ha l’obbligo di modificare, poiché ne è previsto un contenuto parzialmente diverso.
In particolare, devono essere inseriti:

  1. i dati di contatto dell’eventuale responsabile della protezione dati (RPD);
  2. Se la comunicazione di dati personali è un obbligo di legge o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali;
  3. attraverso quali strumenti avviene l’eventuale trasferimento dei dati in paesi extracomunitari e se questi sono autorizzati dalla Commissione;
  4. il periodo di conservazione dei dati o i criteri per stabilirlo;
  5. i diritti dell’interessato in merito al trattamento dei dati personali (diritti di accedere, rettificare e cancellare i dati e di opporsi al trattamento, di presentare reclamo all’autorità di controllo)
  6. la logica degli eventuali processi decisionali automatizzati e le relative conseguenze per l’interessato.

Secondo il GDPR chi deve adeguarsi all’esecuzione di un trattamento dei dati proveniente non direttamente dall’interessato, ma da terzi, deve indicare anche la fonte dei dati personali (art. 14 GDPR).
Per quanto attiene alla forma, l’informativa deve essere redatta in forma chiara e semplice, facilmente accessibile e preferibilmente in formato elettronico (in particolar modo per l’adeguamento del sito GDPR compliant).
Ai sensi dell’art. 13 GDPR l’informativa deve essere rilasciata all’interessato prima di effettuare il trattamento, e quindi ancor prima di ricevere i dati personali. Questo perché ulteriore funzione dell’informativa è quella di permettere all’interessato di fornire un consenso pienamente informato ai trattamenti dei dati che lo richiedono.


SECONDO IL GDPR CHI DEVE ADEGUARSI AL TRATTAMENTO DEI DATI EFFETTUATO MEDIANTE UN SISTEMA DI VIDEOSORVEGLIANZA

Una peculiare informativa deve essere rilasciata, secondo il GDPR da chi deve adeguarsi al trattamento dei dati effettuato mediante un sistema di videosorveglianza.
Al netto delle problematiche derivanti dall’art. 4 della Legge 300/1970 (statuto dei lavoratori), a norma del GDPR cosa fare in pratica per adeguarsi al GDPR (per essere cioè “GDPR compliant”) è indicato all’art. 13 GDPR e soprattutto nel Provvedimento Garante Privacy del 08.04.2010, secondo il quale, oltre all’informativa completa (che segue le regole viste nel paragrafo precedente) è consentita una informativa sintetica, purché chiara e senza ambiguità, che indica almeno il titolare e la finalità di trattamento.
L’informativa sintetica deve essere collocata prima del raggio di azione della telecamera, deve essere chiaramente visibile in ogni condizione, anche in orario notturno e deve rinviare al testo esteso, facilmente accessibile per l’interessato
Inoltre le riprese devono essere conservate per il tempo strettamente necessario (indicativamente, al massimo 24-48 ore).


QUANDO PER IL GDPR CHI DEVE ADEGUARSI HA L’OBBLIGO DI RICHIEDERE IL CONSENSO AL TRATTAMENTO DEI DATI

Come detto nei paragrafi precedenti, alcuni trattamenti necessitano del consenso dell’interessato, definito all’art. 4 GDPR come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Secondo il GDPR chi deve adeguarsi al trattamento dei dati (ad esempio ex art 9. GDPR i dati particolari) deve curare che il consenso prestato dall’interessato abbia alcune caratteristiche:

  1. Inequivocabile: può essere prestato in modo esplicito o implicito, purché sia indubbio che, col proprio comportamento, l’interessato abbia voluto acconsentire al trattamento dei dati. Ad esempio, nell’attività di marketing a mezzo di e-mail, è consigliabile prevedere il meccanismo di “double opt in”, mediante il quale l’interessato, oltre alla richiesta di ricevimento delle e-mail, deve anche confermare tale richiesta.
  2. Informato: secondo il GDPR chi deve adeguarsi al trattamento dei dati basato sul consenso, deve richiederlo sulla base di adeguate informazioni su come il trattamento sarà effettuato. L’informativa esaminata nei paragrafi precedenti, serve proprio a questo.
  3. Libero: ai sensi del GDPR chi deve adeguarsi al trattamento dei dati, non può condizionare l’interessato, al fine di carpirne il consenso, da intimidazioni, raggiri, o minacce di subire conseguenze negative a seguito del mancato conferimento.
  4. Specifico: il base al principio di granularità ex art. 7 comma 2 GDPR chi deve adeguarsi al trattamento dei dati per il quale è richiesto il consenso, deve richiederlo in relazione ad ogni singola finalità per la quale è eseguito quel trattamento. In base al considerando n. 32, se un trattamento ha più finalità, è necessario un consenso per ogni finalità.
  5. Verificabile: il consenso deve essere documentato non necessariamente per iscritto, anche se in alcune ipotesi (ad esempio quelli indicati dall’art. 9 GDPR sui dati particolari) può essere preferibile, perché consente più facilmente di provare il consenso, facilitando quindi le verifiche da parte dell’autorità. Stando a quanto imposto dal GDPR chi deve adeguarsi al trattamento dei dati, deve essere in grado di dimostrare che l’interessato lo ha conferito per lo specifico trattamento.
  6. Infine, deve poter essere revocabile in ogni momento. Ad esempio, le e-mail di marketing devono prevedere il meccanismo di opt-out: ai sensi del GDPR chi deve adeguarsi al trattamento dei dati mediante le e-mail di marketing, deve offrire, a chi le riceve, al possibilità di cancellarsi dalla newsletter.

 


QUANDO IL CONSENSO NON È NECESSARIO, SECONDO IL GDPR PER CHI DEVE ADEGUARSI

Ai sensi del GDPR chi deve adeguarsi deve indicare, nell’informativa, la base giuridica del trattamento, e cioè la condizione per cui il trattamento è giustificato.
Il consenso è una delle cosiddette “basi giuridiche”, ma non l’unica.
Le altre, ai sensi dell’art. 6 lett. b) e seguenti GDPR, sono:

  • b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

Ne consegue che, per adeguarsi al GDPR, se il trattamento effettuato dal titolare non è giustificato da nessuna delle basi giuridiche sopra indicate, dovrà essere richiesto il consenso.


COSA DEVE FARE AI SENSI DEL GDPR CHI DEVE ADEGUARSI AL TRATTAMENTO DEI DATI DEI PROPRI DIPENDENTI

In merito al requisito della “libertà”, il consenso richiesto ai dipendenti, per il trattamento dei dati che lo richiedono, ad esempio per attività al di fuori dell’esecuzione del rapporto di lavoro, è alquanto particolare.
Può definirsi realmente libero? O invece è comunque condizionato dal proseguimento del rapporto di lavoro?
Secondo Gruppo di Lavoro per l’Articolo 29 (WP29, oggi European Data Protection Board): i datori di lavoro, prima di effettuare il trattamento che richiederebbe il consenso dei lavoratori, devono tenere presente il loro fondamentale diritto alla riservatezza, e pertanto considerare le altre basi giuridiche che il trattamento potrebbe avere:

  1. esecuzione di obblighi derivanti da un contratto di lavoro (es.: finalità retributive ai sensi dell’art. 6.1, lett. b);
  2. adempimento di obbligazioni previste dalla legge (es.: calcolo della ritenuta d’imposta – ex art. 6.1, lett. c) ;
  3. interesse legittimo del datore di lavoro (es.: prevenzione della perdita di materiali aziendali e/o miglioramento della produttività dei lavoratori – ex art. 6.1, lett. f).


IL REGISTRO DEL TRATTAMENTO

All’art. 25 GDPR chi deve adeguarsi, è tenuto a farlo alla luce della “privacy by default” e della “privacy by design”.
Cos’è la privacy by default? È quel principio per cui il trattamento deve essere il meno invasivo possibile e i dati devono essere manipolati il meno possibile. Cos’è la privacy by design? È quel principio in base al quale il trattamento dei dati deve essere definito prima del trattamento stesso.
Alla luce di questi principi, l’art. 30 GDPR ha introdotto il registro dei trattamenti. Si tratta di un documento che offre una fotografia completa delle attività di trattamento dei dati da parte dell’azienda e quindi uno strumento potenzialmente utile, e comunque necessario per adeguarsi al GDPR.
È obbligatorio per tutte le imprese, anche con meno di 250 dipendenti, qualora effettuino un trattamento dei dati in modo “non occasionale” e quindi, diventa obbligatorio, di fatto per qualsiasi titolare del trattamento.
Il registro del trattamento deve contenere:

  1. Il nome e i dati del titolare del trattamento e del responsabile della protezione dei dati RPD;
  2. Le finalità del trattamento e le misure di sicurezza;
  3. Una descrizione delle categorie degli interessati;
  4. Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
  5. Ove applicabile, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  6. I termini ultimi per la cancellazione delle diverse categorie di dati.

Inoltre, ai sensi del GDPR chi deve adeguarsi a tenere il registro del trattamento, deve anche aggiornarlo, alla luce delle variazioni dei trattamenti effettuati, dei dati e degli interessati indicati.


ALLA LUCE DEL GDPR COSA FARE PER METTERSI IN REGOLA CON LE MISURE DI SICUREZZA

A norma dell’art. 32 GDPR il titolare “deve adottare sistema di misure di sicurezza adeguate al rischio”, che devono essere aggiornate quando necessario.
Se in passato, la legge prescriveva le misure da adottare (art. 34 e allegato B del D.Lgs 196/2003 individuavano uno standard minimo di sicurezza, oggigiorno superato dall’evoluzione tecnologica), con il GDPR si introduce il principio fondamentale di auto-responsabilizzazione (accountability) del titolare del trattamento. Non è dato sapere dal GDPR cosa fare in pratica (ad esempio per l’adeguamento del sito al GDPR), quali siano le misure di sicurezza adeguate al rischio. È proprio questo elemento che rappresenta, come detto nel paragrafo introduttivo, l’elemento di novità rispetto al passato (ed in genere, rispetto all’impianto normativo italiano).
Secondo il GDPR chi deve adeguarsi (titolari e responsabili del trattamento su tutti) è costretto ad adottare un approccio proattivo e non più reattivo, con focus su obblighi e comportamenti che prevengano in modo effettivo il possibile evento di danno, configurandosi sulle specificità dei diversi trattamenti cui si riferiscono.
Alla luce di queste considerazioni, secondo il GDPR cosa fare per mettersi in regola?
In primo luogo, l’art. 23 GDPR fornisce un elenco di misure consigliate, ma non per questo possono essere considerate sempre sufficienti. Si tratta di:

  • Pseudonimizzazione;
  • Protezione manuale dei fascicoli;
  • Cifratura dei documenti;
  • Assicurare ripristino tempestivo dei dati (backup).

In secondo luogo, il titolare del trattamento potrebbe poi affidarsi ai codici di condotta ex art 40 GDPR (che esamineremo a breve).
Infine, il GDPR per chi deve adeguarsi, detta i principi generali per orientare l’assolvimento dell’obbligo di adottare misure adeguate.


QUALI SONO I PRINCIPI DEL GDPR PER CHI DEVE ADEGUARSI NELL’ADOTTARE LE MISURE DI SICUREZZA

Tra i principi generali per orientare l’adozione delle misure di sicurezza, l’art. 24 GDPR prescrive che queste tengano contodella natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”.
Altro principio cardine che secondo il GDPR chi deve adeguarsi, è obbligato a seguire, sono quelli indicati nell’art. 25 e conosciuti come “privacy by design” e “privacy by default”.
Secondo il principio della privacy by design ex art. 25 comma 1 GDPR chi deve adeguarsi al trattamento dei dati, deve adottare le misure di sicurezza ancor prima che il trattamento abbia luogo.
Invece, secondo il principio della privacy by default ex art. 25 comma 2 GDPR chi deve adeguarsi, ha l’obbligo di trattare “per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”. Come prima scelta, il trattamento deve essere meno invasivo possibile ed i dati trattati il meno possibile. Può comunque essere offerta all’interessato la scelta di un trattamento più invasivo.


LA VALUTAZIONE D’IMPATTO EX ART. 35 E ART 36 GDPR

Se il registro del trattamento è di fatto sempre obbligatorio secondo il GDPR per chi deve adeguarsi, la valutazione di impatto è un documento che invece è necessario solamente in alcuni casi.
La normativa di riferimento è contenuta nell’art. 35 GDPR e nell’art 36 GDPR.
Si tratta di un documento che esprime un’analisi del rischio che si verifichi un evento pericoloso riguardante il trattamento dei dati personali, valutandone le conseguenze (sanzioni, eventuali risarcimenti e danno di immagine) e individuandone le misure tecniche ed organizzative idonee ad impedirlo.
Ai sensi dell’art. 32 GDPR l’analisi è rivolta in particolar modo ad alcuni rischi:

  1. distruzione o cancellazione;
  2. perdita;
  3. modifica non autorizzata;
  4. divulgazione non autorizzata;
  5. accesso non autorizzato.


QUANDO È OBBLIGATORIA LA VALUTAZIONE D’IMPATTO

Ex art. 35 GDPR deve adeguarsi a redigere una valutazione d’impatto il titolare o il responsabile che effettui un tipo di trattamento, “allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
La valutazione d’impatto è espressamente richiesta solamente in casi particolari:

  • Valutazione sistematica e globale di aspetti personali basata su trattamenti automatizzati come la profilazione e sulla quale si fondano decisioni che hanno effetti giuridici o incidono analogamente sulle persone fisiche;
  • Trattamento su larga scala di dati ex art. 9 comma 1 GDPR dati particolari o di dati di cui all’art. 10 GDPR;
  • Videosorveglianza sistematica e su larga scala di una zona accessibile al pubblico;
  • Altre tipologie di trattamento indicate dall’autorità di controllo.

Infine, ai sensi del primo comma dell’art 36 GDPRIl titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.


I CODICI DI CONDOTTA EX ART 40 GDPR E LE PRIVACY POLICY

Aziende e professionisti, in quanto titolari e responsabili del trattamento, si trovano in uno stato di incertezza, poiché non viene precisato nel GDPR cosa fare in pratica.
A tale incertezza, l’art 40 GDPR può essere una soluzione, esortando le autorità pubbliche ad adottare “codici di condotta” in modo da orientare ai sensi del GDPR chi deve adeguarsi.
L’art 40 GDPR stabilisce infatti che “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del presente regolamento”.
Peraltro, l’adesione ai codici di condotta ha una funzione potenzialmente “salvifica” per i titolari del trattamento, in quanto ai sensi dell’art. 24 GDPRL’adesione ai codici di condotta di cui all’articolo 40 (…) può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento”.
In attesa di questi codici di condotta, attualmente inattuati in larga parte, le aziende possono adottare le cosiddette privacy policy del GDPR. Si tratta di documenti, elaborati da professionisti, che orientano il titolare del trattamento (e soprattutto gli incaricati, ovverosia i dipendenti delle aziende) a come devono essere effettuati i trattamenti dei dati personali, e quali misure di sicurezza adottare.


SECONDO IL GDPR CHI DEVE ADEGUARSI AL TRATTAMENTO DEI DATI MEDIANTE UN SITO INTERNET

Qualora il titolare del trattamento disponga di un sito internet, è necessario anche l’adeguamento del sito al GDPR. Si tratta infatti di uno strumento per mezzo di cui il titolare riceve (e quindi, tratta) informazioni personali degli utenti.
Ci si riferisce in particolar modo alle informazioni rilasciate attraverso i “cookie” di navigazione.
Si ricorda poi, che anche l’indirizzo IP è considerato un dato personale, poiché anche se non individua direttamente la persona interessata, può farlo se collegato con altri dati.
Tanto è vero che, oltre all’informativa generica per l’adeguamento del sito al GDPR, dovrà essere disponibile nel sito anche la “cookie policy”, con il quale il navigante viene informato dei cookie che vengono utilizzati e di come i dati da questi ricevuti vengono gestiti.
Infine, dovrà essere data la possibilità all’utente di scegliere quali cookie accettare e quali rifiutare.


IL DATA BREACH ED IL REGISTRO DEL DELLE VIOLAZIONI

Ciò che il titolare ed il responsabile del trattamento devono evitare, attraverso l’adozione delle misure di sicurezza, è il data breach definizione del quale è indicata all’art. 4 GDPR come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Sono quindi ricompresi:

  • un attacco informatico;
  • un accesso abusivo;
  • un incidente (es. un incendio o una calamità naturale);
  • la semplice perdita di una chiavetta USB;
  • la sottrazione di documenti con dati personali (furto di un notebook di un dipendente).

In taluni casi la violazione avvenuta deve essere notificata all’autorità di controllo, e persino allo stesso interessato del trattamento.
Ai sensi dell’art. 33 comma 5  GDPRIl titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
La disposizione introdice quindi un altro adempimento formale, che si aggiunge agli atri esaminati, che viene imposto dal GDPR a chi deve adeguarsi. Si tratta di un registro dove annotare le violazioni (anche se non notificate) e le loro conseguenze, le ragioni delle decisioni assunte, nei casi in cui non ha proceduto alla notifica, ha ritardato la notifica e nei casi in cui non ha comunicato la violazione agli interessati. Tale documentazione dovrà essere fornita al Garante in caso di accertamenti.

 

Per una consulenza in materia di adeguamento al GDPR, potete inviarci una e-mail all’indirizzo info@btstudiolegale.it oppure una richiesta tramite il form presente a questa pagina. https://www.btstudiolegale.it/contatti/
Lo Studio Legale si trova a Pistoia, in Piazza Garibaldi n. 5. Offriamo assistenza e consulenza legale in tutta Italia, in particolare presso i Tribunali di Pistoia, Prato, Lucca e Firenze.