Si tratta del nuovo Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation) che in Italia abrogherà la direttiva 95/46/CE e andrà a sostituire il Codice Privacy e verrà applicato direttamente in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale occorrerà, da parte di aziende e possessori di dati, adeguarsi alla nuova normativa.
Una piccola rivoluzione nel mondo della privacy, attesa ormai da diversi anni viste le importanti novità (e a volte anche scandali, si pensi alle ultime notizie in merito a Facebook) introdotte dalla tecnologia, internet e i social network su tutto, e il cui percorso è stato in continua salita, essendoci in gioco interessi economici consistenti, legati soprattutto alle attività di marketing e di profilazione oltre che i rapporti tra Europa e resto del mondo (con Stati uniti, Canada e Cina principali interlocutori interessati).
Tra i punti cardine, di grande interesse per i cittadini, ci sono il diritto all’oblio e alla portabilità dei dati, le notifiche di violazione agli utenti e alle autorità nazionali, le modalità di accesso ai propri dati personali semplificate e la possibilità per le imprese di rivolgersi a un’unica autorità di vigilanza.
I dati presenti nella rete sono in continuo aumento e le connessioni tra i diversi Paesi del mondo sempre più fitte, per questo è stata anche regolamentata la diffusione di dati personali all’esterno dell’Unione Europea.
I dati su internet saranno inoltre maggiormente protetti con alcune restrizioni sui meccanismi di “profiling” e viene introdotto l’obbligo di utilizzare un linguaggio chiaro nelle regole relative alla privacy.
Chi fornisce servizi internet, avrà bisogno di un consenso esplicito prima di utilizzare i dati personali dei clienti.
Le nuove norme non riguardano solo le imprese, ma chiunque possegga dei dati (ad esempio le mail per l’invio di una newsletter informativa).
Per le piccole e medie imprese ci sono altre novità importanti e non solo obblighi, come i tagli ai costi e burocrazia più snella, che favoriscano lo sviluppo economico e del mercato digitale.
Qui scarichi Regolamento e documenti di approfondimento del Garante
Testo Regolamento GDPR (UE) 2016/679999.86 KB Regolamento UE 2016 679. Con riferimenti ai considerando.pdf2.1 MB
Lettura d'insieme
Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i Titolari del trattamento dei dati (anche con sede legale fuori dall'Unione Europea) che trattano dati di residenti nell'unione europea ad osservare ed adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE. Dal 25 maggio 2018, il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) istituita nel 1995, abrogherà le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili.
Ciò potrà generare confusione per alcuni ma si attende una normativa italiana "di raccordo" che metta ordine e inserisca le norme del Codice privacy non incompatibili all'interno dell'impianto normativo del Regolamento.
Con Direttiva UE 2016/680, in aggiunta a questo nuovo regolamento sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorita' Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale .
OBBLIGHI
I requisiti per le informative agli interessati rimangono e in parte sono ampliati. Essi devono includere il tempo di mantenimento dei dati personali e occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati.
È stato introdotto il diritto di contestazione delle decisioni automatizzate, compresa la profilazione (Articolo 22). I cittadini hanno ora il diritto di contestare e contrastare decisioni che hanno impatto su di loro e che sono state realizzate unicamente in base ai risultati di un algoritmo.
Tale diritto, fatta eccezione per dati personali intesi ad identificare in modo univoco una persona fisica (Articolo 9 comma 1), non si applica nel caso in cui la decisione:
- sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
- sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa inoltre misure adeguate a tutela dei diritti, della libertà e dei legittimi interessi dell'interessato;
- si basi sul consenso esplicito dell'interessato.
I principi di Privacy by Design and by Default (Articolo 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi.
Le impostazioni di privacy sono configurate su un livello alto in modo predefinito.
Le valutazioni dell'impatto della protezione dei dati (Articolo 35)devono essere effettuate nei casi in cui si verifichino rischi specifici per i diritti e le libertà dei soggetti dei dati. La valutazione e la riduzione del rischio sono richieste insieme ad un'approvazione preventiva da parte delle autorità per la protezione dei dati (DPA, Data Protection Authority) per rischi elevati. I Responsabili per la protezione dei dati (Articoli 37) sono tenuti a verificare l'osservanza delle norme del Regolamento da parte dei titolari e nel caso di valutazioni di impatto, se richiesto dal titolare, sono tenuti a consultarsi con esso.
Consenso
Un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per i propositi per i quali sono usati (Articolo 7; definito in Articolo 4). Pertanto se la richiesta viene inserita nell'ambito di altre dichiarazioni essa va distinta e formulata con linguaggio semplice e chiaro (Articolo 7). Condizione di validità del consenso è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti (Articolo 5). nel caso in cui il consenso al trattamento dei propri dati personali per una o più specifiche finalità sia stato espresso da minori esso è valido solo se il minore ha almeno 16 anni. L’età viene ridotta a 13 anni solo se lo stato membro ha previsto con legge una diversa età purché non inferiore a questa. Qualora il minore abbia un'età inferiore ai 16 o 13 anni, il consenso al trattamento deve essere dato da un genitore o da chi eserciti la potestà, e deve essere verificabile (Articolo 8). I controllori dei dati devono essere in grado di provare il consenso ("opt-in") e il consenso può essere ritirato o modificato con l’introduzione di limitazioni nel trattamento (art. 18).
Sicurezza dei dati
La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito, salvo che lo richieda il diritto dell'Unione o degli Stati membri (Articolo 32). A garanzia dell’interessato il Regolamento UE 2016/679 regolamenta anche il caso di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale (Articolo 44 e ss) e prevede che l’interessato venga prontamente informato in presenza di una violazione che metta a rischio i suoi diritti e le sue libertà (Articolo 33).
Responsabile per la protezione dei dati (cd DPO, Data protection officer)
Qualora l'elaborazione sia effettuata da un'autorità pubblica, fatto salvo per le corti o le autorità giudiziarie indipendenti agenti nella loro competenza giudiziaria, o qualora, nel settore privato, l'elaborazione sia effettuata da un controllore le cui attività principali consistono di operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico dei soggetti dei dati, una persona esperta di legislazione e pratiche relative alla protezione dei dati deve assistere colui che li controlla o li gestisce al fine di verificare l'osservanza interna al regolamento. Il responsabile per la protezione dei dati è una figura simile, ma non identica, al funzionario preposto all'osservanza, in quanto ci si aspetta che il primo abbia una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei ciber-attacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l'elaborazione di dati personali e sensibili. Ricorda molto l'Odv (organismo di vigilanza) della legge n. 231 del 2001 sulla responsabilità penale delle persone giuridiche e il responsabile anticorruzioni per la sua autonomia, indipendenza e assenza di conflitti di interesse. L'insieme di competenze richieste si estende al di là della comprensione dell'osservanza legale di leggi e regolamenti sulla protezione dei dati e comporterà una grande preparazione e professionalità. Il monitoraggio dei Data protection office sarà onere del regolatore e non del consiglio di amministrazione dell'organizzazione che assume il funzionario. La nomina di un responsabile per la protezione dei dati all'interno di una grande organizzazione rappresenterà una sfida sia per il consiglio di amministrazione, sia per lo stesso responsabile. Considerati lo scopo e la natura della nomina, sono in gioco una miriade di questioni legate alla governance e a fattori umani che le organizzazioni e le aziende dovranno affrontare. Inoltre, chi detiene l'incarico dovrà creare un proprio team di supporto e sarà anche responsabile del proprio sviluppo professionale continuativo, dal momento che, come "mini-regolatore" ad ogni effetto, dovrà essere indipendente dall'organizzazione che lo ha assunto.
Violazione dei dati (cd Data Breach) art. 33 e art. 34
Il titolare del trattamento dei dati avrà l'obbligo legale di rendere note le fughe di dati all'autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza. I resoconti delle fughe di dati non sono soggetti ad alcuno standard "de minimis" e debbono essere riferite all'autorità sovrintendente non appena se ne viene a conoscenza e comunque entro 72 ore. In alcune situazioni le persone di cui sono stati sottratti i dati dovranno essere avvertite.
Sanzioni
Possono essere comminate le seguenti sanzioni:
- un'ammonizione scritta in casi di una prima mancata osservanza non intenzionale.
- accertamenti regolari e periodici sulla protezione dei dati
- una multa fino a 10 milioni di euro, o fino al 2% del volume d'affari globale registrato nell'anno precedente nei casi previsti dall'Articolo 83, Paragrafo 4 o fino a 20 milioni di euro o fino al 4% del volume d'affari nei casi previsti dai Paragrafi 5 e 6.
Diritto alla cancellazione, limitazione e rettifica.
Il cosiddetto diritto all'oblio è stato sostituito da un più limitato diritto alla cancellazione nella versione del GDPR adottata dal Parlamento Europeo nel marzo del 2014.
L'Articolo 17 stabilisce che il soggetto dei dati ha il diritto di richiedere la cancellazione di dati personali relativi a sé sulla base di una qualsiasi di una serie di giurisdizioni che comprendono la mancata osservanza dell'articolo 6.1 (legalità), il quale include il caso (f) in cui gli interessi o i diritti fondamentali del soggetto dei dati richiedente la loro protezione prevalgono sui legittimi interessi del controllore. L’interessato deve poter esercitare questo suo diritto con la stessa facilità con cui ha espresso il consenso al trattamento dei suoi dati. Il responsabile del trattamento, dietro richiesta dell’interessato, dovrà comunicare all’interessato i destinatari a cui ha trasmesso la sua richiesta di cancellazione (Articolo 19). Sul responsabile del trattamento grava lo stesso onere in caso di richiesta di limitazione o di rettifica dei dati presentata dall’interessato rispettivamente ai sensi dell’art. 18 e dell’art. 16 del Regolamento UE 2016/679.
Portabilità dei dati
Una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro senza che il controllore dei dati possa impedirlo. Inoltre, i dati devono essere forniti dal controllore in un formato strutturato e di uso comune. Il diritto alla portabilità dei dati è sancito dall'Articolo 18 del GDPR. Gli esperti legali vedono nella versione finale di questa misura la creazione di un "nuovo diritto" che "si estende oltre l'ambito della portabilità dei dati tra due controllori, così come stipulato dall'Articolo 18".
QUALI SONO GLI IMPATTI PRINCIPALI SULLE IMPRESE?
Ovvero in cosa il regolamento modifica le norme esistenti:
1 – INDIVIDUAZIONE DEI SOGGETTI A CUI SI APPLICA IL REGOLAMENTO
Prima = la normativa era applicabile nel luogo in cui aveva sede il Titolare del trattamento dei dati.
Con il Nuovo Regolamento Europeo = la legge applicabile è quella del soggetto i cui dati vengono raccolti. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE.
Con il nuovo regolamento viene abolita la figura del Titolare del Trattamento Dati e rimane solo la figura di Responsabile
2 – DOVERE DI DOCUMENTAZIONE E INFORMAZIONE
Prima = la documentazione era importante.
Con il Nuovo Regolamento Europeo = principio dell’accountability (responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati.
Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.
3 – L’INFORMATIVA PRIVACY
Prima = l’informativa era spesso lunga, incomprensibile e con richiami normativi complessi.
Con il Nuovo Regolamento Europeo = l’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Si propone anche l’utilizzo di icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.
4 – CAMBIA IL CONSENSO
Prima = il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati.
Con il Nuovo Regolamento Europeo = il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.
5 – VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
Prima = si preparava il DPS.
Con il Nuovo Regolamento Europeo = si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi. Quasi sicuramente il nuovo documento sarà chiamato PIA: Privacy Impact Assessment.
6 – ABOLIZIONE DELLA NOTIFICAZIONE
Prima = si doveva informare il Garante che un soggetto sta trattando dati per una particolare finalità. (ex art. 37 D.lgs. 196/2003)
Con il Nuovo Regolamento Europeo = non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera effettuata la notifica.
7 – IL DATA PROTECTION OFFICER
Prima = il DPO non era una figura contemplata.
Con il Nuovo Regolamento Europeo = bisogna istituire (per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un responsabile per la protezione dei dati. Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.
8 – PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Prima = la privacy era un elemento conclusivo e finale.
Con il Nuovo Regolamento Europeo = la privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato.
9 – OBBLIGO DI SEGNALAZIONE IN CASO DI VIOLAZIONE DEI DATI
Prima = non era necessario comunicare violazioni nel trattamento dati.
Con il Nuovo Regolamento Europeo = nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach.
10 – RICONOSCIMENTO DI NUOVI DIRITTI
Prima = pochi diritti che tutelavano l’interessato in merito alla gestione dei suoi dati.
Con il Nuovo Regolamento Europeo = nuovi diritti: diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto a essere totalmente dimenticato da chi ha raccolto i miei dati.
L’ Unione europea ora sta affrontando altri temi cruciali: dalla responsabilità delle piattaforme rispetto anche ai contenuti, al tema delle fake news e della necessità di impedire che la manipolazione dei dati arrivi ad alterare la democrazia e più in generale sta assumendo decisioni sulla tassazione del web.
Perciò su questi temi ritorneremo!
