Dec
12th
left
right

Il nuovo regolamento sulla privacy (GDPR)

Le nuove regole sulla privacy cambiano il modo di comunicare con i clienti. Infatti il nuovo Regolamento sul trattamento dei dati personali (GDPR) [1], rende ancora più centrale la persona e la tutela dei suoi diritti fondamentali. Pertanto, oggi, ragionare in termini di privacy significa rendere partecipe l’interessato di come vengano trattati i suoi dati, del perché vengano trattati e del dove vengano trattati e conservati. Le imprese ed i professionisti [2] sono chiamati ad adottare tutti quegli accorgimenti organizzativi e tecnici per garantire che i dati dei propri clienti siano disponibili per chi debba consultarli, riservati, nei confronti di chi non debba consultarli ed integri nel loro contenuto.

Il regolamento, pubblicato sulla Gazzetta Ufficiale Europea [3] il 4 marzo 2016, è entrato subito in vigore ed ha iniziato ad avere efficacia il 25 maggio 2018 [4]. Stabilisce norme relative alla protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento di una particolare tipologia di informazioni: i “dati personali” (cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile).

E’ una normativa direttamente applicabile perché prevede alcuni margini di flessibilità per gli Stati al fine di adattarla al diritto nazionale su ambiti specifici (ad esempio trattamento dati per obblighi di legge e per pubblico interesse). In particolare, per quanto riguarda l’Italia, questa regolamento sostituisce il codice privacy [5].

Le nuove regole impongono che i dati personali devono essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza nei confronti dell’interessato [6] e raccolti per finalità determinate, esplicite e legittime. Inoltre devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Poi debbono essere esatti e, se necessario, aggiornati, nonché conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Infine devono essere trattati in maniera da garantire un’adeguata sicurezza.

Tuttavia il trattamento dei dati non è sempre lecito. Infatti solo nella misura in cui ricorre almeno una delle seguenti condizioni il trattamento si considera legittimo, e cioè quando:

  1. l’interessato ha espresso il consenso del trattamento dei propri dati personali per una o più specifiche finalità;
  2. il contratto, di cui l’interessato è parte, non sarebbe applicabile;
  3. è necessario per l’adempimento di un obbligo legale del soggetto, titolare del trattamento;
  4. garantisce la salvaguardia degli interessi vitali dell’interessato o altra persona fisica;
  5. comporta l’esecuzione di un compito di interesse pubblico o è connesso all’esercizio di pubblici poteri;
  6. perseguendo un legittimo interesse del titolare [7] del trattamento o di terzi non prevalgano gli interessi ed i diritti e le libertà fondamentali dell’interessato.

Per dare attuazione il regolamento prevede norme ed adempimenti che devono essere osservati dal titolare del trattamento dei dati personali tra cui 1) informare adeguatamente l’interessato circa le modalità e finalità del trattamento dei suoi dati e dove necessario raccogliere il relativo consenso; 2) applicare nella progettazione di nuovi servizi i principi di “Privacy by design [8]” e “Privacy by default [9]”; 3) regolare adeguatamente, anche tramite clausole contrattuali, i rapporti con i soggetti terzi (es. i fornitori) ai quali affida il trattamento dei dati personali; 4) mantenere un registro delle attività di trattamento svolte; 5) adottare adeguate misure di sicurezza a fronte della valutazione dei rischi che incombono sui dati; 6) notificare eventuali violazioni di dati personali (Data Breach [10]) all’autorità di controllo ed in determinati casi anche agli interessati; 7) eseguire per i trattamenti maggiormente critici una valutazione d’impatto sulla protezione dei dati.

Il regolamento riconosce all’interessato o alla persona fisica a cui si riferiscono i dati personali, la facoltà di esercitare il diritto di:

  1. accesso ai propri dati;
  2. la richiesta di rettifica o aggiornamento;
  3. a determinate condizioni, la richiesta di cancellazione (diritto all’oblio) o portabilità.

Le disposizioni generali del nuovo regolamento sostituiscono le disposizioni generali del codice Privacy, anche in assenza di un intervento formale del legislatore italiano.

Invece le disposizioni specifiche per il settore delle comunicazioni elettroniche (titolo X del Codice Privacy) continuano ad essere vigenti.

Per la sua attuazione, il Gruppo dei Garanti Europei (Working Part, art.29) ha previsto la definizione di Linee Guida su temi specifici (Data Protection Officer, Diritto alla portabilità del dato, valutazione d’impatto privacy).

Il nuovo regolamento si applica al “Trattamento di dati personali” delle Persone Fisiche e non alle Persone Giuridiche Enti o Associazioni ed è effettuato da un soggetto (Titolare o Responsabile [11] del trattamento) che è stabilito nella UE, indipendentemente che il trattamento sia effettuato o meno nella UE o un soggetto (Titolare o Responsabile del trattamento) che non è stabilito nella UE, per attività di trattamento di dati, di persone che si trovano nella UE in ambito sia di offerte di beni o prestazioni di servizi sia di monitoraggio del loro comportamento.

Inoltre il GDPR introduce il criterio di “Targeting” [12]. In altri termini la raccolta di dati comportamentali al fine di inviare pubblicità personalizzata agli utenti (behavioural targeting) è considerata un trattamento particolarmente invasivo perché può ledere in particolare il diritto alla privacy, alla dignità e alla non discriminazione. Pertanto il nuovo regolamento subordina il “targeting” a requisiti più stringenti.

Infine la sua applicabilità a soggetti extra-UE, contribuisce a creare un “level playing field”.

In ultima analisi lo svantaggio competitivo che oggi sembra penalizzare operatori UE nei confronti di quelli extra-UE verrà parzialmente colmato se vi sarà un efficace applicazione delle suddette disposizioni.

Per comodità, chiudiamo questo veloce excursus sul GDPR con un riepilogo delle principali novità introdotte. Innanzitutto si tratta dell’esigenza di armonizzare la normativa con Regole Comuni direttamente applicabili in tutta la UE e nello Spazio Economico Europeo e farla rispettare anche a soggetti extra-UE che trattano i dati di persone che si trovano in UE/SEE [13] per offrire loro beni o servizi o per monitorarne i comportamenti (principio di targeting).

Poi per il principio di accountability dei soggetti che trattano i dati (es. privacy by design e by default, PIA [14]), si eliminano gli obblighi di notificazione dei trattamenti alle Autorità e “prior-check” per trattamenti con rischi specifici (adozione di comportamenti pro-attivi per assicurare, ed essere in grado di dimostrare, il rispetto dei principi applicabili al trattamento dei dati personali in termini di valutazioni fatte e di efficacia delle misure concretamente realizzate) e, quindi, ai titolari è concessa maggiore discrezionalità nel valutare e decidere autonomamente le finalità ed i limiti del trattamento e le relative misure di garanzia (approccio risk based [15]), fermo restando l’onere della prova.  Va ricordato che il Titolare deve attuare una privacy By design e privacy By Default (vedi note a piè pagina).

Molto importante è l’introduzione della figura del “Responsabile della protezione dei dati – DPO (obbligatoria in determinate circostanze), per facilitare l’osservanza delle disposizioni del GDPR e a garanzia del Vertice aziendale. Inoltre [16] è obbligatorio per il “Titolare tenere un “registro dei trattamenti” contenente il nome del titolare e del DPO, le finalità del trattamento, le categorie di interessati, le categorie di dati trattati e di soggetti terzi a cui vengono trasmessi ed una descrizione generale delle misure di sicurezza [17] tecniche e organizzative.

Interessante è l’approccio alla valutazione del rischio, denominato “risk based”, per cui gli adempimenti sono attuati in funzione del grado di rischio per gli interessati dei trattamenti di dati svolti dal Titolare (ad esempio relativamente alle disposizioni su misure di sicurezza, data breach e PIA).

Altri punti essenziali sono il concetto di Data breach [18] con estensione degli obblighi a “tutti i settori” e di Pseudonimizzazione dei dati [19], inteso come misura di mitigazione dei rischi.

Altra peculiarità delle nuova normativa è l’attributo che deve avere il “consenso al trattamento”, suddiviso in consenso inequivocabile per dati “comuni” (reso mediante dichiarazione o azione positiva dell’interessato) e consenso “esplicito” (ma non necessariamente in forma scritta) per dati particolari, (es. genetici, biometrici etc) e per alcune finalità (es. profilazione che produce effetti giuridici sull’interessato).

Bisogna ribadire comunque che, con il GDPR, vengono rinforzati alcuni diritti per gli interessati (es. diritto alla cancellazione e diritto all’oblio) e viene introdotto il nuovo diritto alla “portabilità del dato” (per trasferire i propri dati da un Titolare ad un altro).

Infine ricordiamo l’inasprimento delle sanzioni (fino al 4% del fatturato mondiale totale annuo), con aggravanti e attenuanti.

Sitografia:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Glossario/Acronimi:

Data Breach Violazioni di dati personali
Destinatario persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi
DPA Data Protection Authority
DPO Data Protection Officer
GDPR General Data Protection Regulation
Interessato persona fisica a cui si riferiscono i dati personali (data subject).
PIA Privacy Impact Assessment
Privacy by default il titolare deve mettere in atto misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento [il modo di operare prescritto dal regolamento dovrà diventare la modalità automatica].
Privacy by design il titolare, sia al momento di determinare i mezzi di trattamento sia all’atto del trattamento stesso, deve adottare misure tecniche ed organizzative (es. pseudonimizzazione, minimizzazione dei dati) adeguate a soddisfare i requisiti di legge e a tutelare i diritti degli interessati, tenendo conto della tecnologia disponibile, dei costi di attuazione, della tipologia del trattamento e dei relativi rischi
Pseudonimizzazione misura di mitigazione dei rischi nel trattamento dei dati. “Ciò significa attribuendo agli identificatori (nomi, data di nascita, ecc.) una nuova designazione, di preferenza tramite cifratura, in modo che il destinatario delle informazioni non possa identificare la persona interessata” [21]
Responsabile Persona fisica/giuridica, ente o organismo che tratta i dati per conto del titolare
SEE Spazio Economico Europeo
Titolare Persona fisica/giuridica, ente o organismo che determina le finalità e i mezzi del trattamento

 

Sitografia:

https://www.agendadigitale.eu/sicurezza/privacy/il-marketing-con-gdpr-ed-eprivacy-che-cambia-per-la-profilazione/  (consultato 24 settembre 2018)

[1] General Data Protection Regulation

[2] Oggi la privacy deve essere intesa come parte integrante della deontologia del professionista.
Il Regolamento indica, nella sua complessità, il corretto percorso per rendere attuale e concreto questo nuovo modo di pensare la tutela dei dati personali, la deontologia, ed il rapporto con il cliente.

[3] Reg. UE 679/2016

[4] Il regolamento ha abrogato la direttiva europea UE 95/46/CE (recepita in Italia con il codice Privacy), introducendo diverse novità.

[5] Codice in materia di protezione dei dai personali (d.lgs. 196/2003)

[6] Persona fisica a cui si riferiscono i dati personali (data subject)

[7] Persona fisica/giuridica, ente o organismo che determina le finalità e i mezzi del trattamento.

[8] il titolare, sia al momento di determinare i mezzi di trattamento sia all’atto del trattamento stesso, deve adottare misure tecniche ed organizzative (es. pseudonimizzazione, minimizzazione dei dati) adeguate a soddisfare i requisiti di legge e a tutelare i diritti degli interessati, tenendo conto della tecnologia disponibile, dei costi di attuazione, della tipologia del trattamento e dei relativi rischi.

[9] il titolare deve mettere in atto misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento [il modo di operare prescritto dal regolamento dovrà diventare la modalità automatica].

[10] Obblighi che riguardano tutti le tipologie di titolari e di dati personali. Va effettuata la comunicazione quando sia probabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà degli individui (solo persone fisiche).  È onere dimostrare al Garante privacy che il rischio per l’interessato non è probabile.

[11] Persona fisica/giuridica, ente o organismo che tratta i dati per conto del titolare. Per il GDPR vengono definite le caratteristiche del suo atto di designazione (i trattamenti devono essere disciplinati da un contratto o da un altro atto giuridico vincolante contenente una serie di elementi: finalità, natura e durata del trattamento, tipo dati personali e categorie di interessati, obblighi descritti con istruzioni ivi incluse quelle relative agli obblighi di sicurezza). Il responsabile può ricorrere ad un altro responsabile (subfornitore) e procedere direttamente alla relativa nomina sub-responsabile – previa autorizzazione scritta (specifica o generale) del Titolare.

[12] Ogni attività marketing ha uno specifico gruppo ideale di persone cui è rivolto, che vuole colpire, convincere e portare all’acquisto (o comunque all’azione desiderata). Target è il nome tecnico che si riferisce a un segmento di pubblico e, di conseguenza, il processo di targeting è proprio quello che aiuta ad individuare il bersaglio corretto.

[13] Spazio Economico Europeo

[14] Privacy Impact Assessment (per dati personali che possono presentare un rischio elevato per I diritti e le libertà degli individui nel caso di utilizzo di nuove tecnologia, considerando natura, oggetto, contest, finalità del trattamento). Il PIA è richiesto in caso di sistematica e globale valutazione di aspetti personali, basata su trattamenti automatizzati, compresa la profilazione, su cui si fondono decisioni che producono effetti giuridici o incidono sugli individui; oppure per trattamento su larga scala di categorie particolari di dati (come quelli biometrici o relativi a condanne penali) oppure sorveglianza sistematica su larga scala di zone accessibili al pubblico, in particolare se effettuata mediante dispositivi optoelettronici. E’ previsto, comunque, che il garante per la protezione dei dati personali rediga e renda pubblico un elenco delle tipologia di trattamenti soggetti al requisito della “Valutazione di impatto Privacy”. La PIA contiene almeno una descrizione sistematica dei trattamenti e della loro proporzionalità rispetto alle finalità e una valutazione dei rischi per gli interessati e le misure previste per affrontarli. Ai fini della valutazione il Titolare deve consultare il Data Protection Officer e ove opportuno raccogliere il parere degli interessati. Il titolare, inoltre, deve eseguire un riesame della PIA quando insorgono “variazioni del rischio” e deve consultare l’Autorità quando la PIA indichi che il trattamento presenterebbe un rischio elevato e non può attenuare tale rischio mediante misure opportune, per esempio con tecnologie disponibili e con costi di attuazione.

[15] Approccio risk based: è prevista una “gradazione” degli adempimenti in funzione del grado di rischio per gli interessati dei trattamenti di dati svolti dal Titolare (ad esempio relativamente alle disposizioni su misure di sicurezza, sui data breach e su PIA).

[16] Strumento fondamentale per un quadro aggiornato dei trattamenti all’interno dell’azienda, indispensabile per ogni valutazione e analisi del rischio e per dimostrare la conformità alle norme in caso di supervisione dell’Autorità. Il registro può essere anche elettronico e contenere le seguenti informazioni. il nome ed i dati di contatto del Titolare e del DPO, le finalità del trattamento, una descrizione delle categorie degli interessati e delle categorie dei dati personali, le categorie di destinatari a cui i dati personali sono o saranno comunicati, compresi i destinatari di paesi terzi o organizzazioni internazionali, gli eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati, una descrizione generale delle misure di sicurezza tecniche e organizzative. Anche il Responsabile deve tenere un registro dei trattamenti, indicando tra l’altro le categorie dei trattamenti effettuati per conto di ogni titolare e i relativi riferimenti.

[17] Valutando: stato dell’arte; costi di attuazione (non era previsto dal Codice Privacy); rischio (probabilità e gravità per i diritti degli interessati). Il GDPR fa anche riferimento a misure non esplicitate nella normativa attuale (es. pseudonimizzazione e cifratura dei dati, resilienza dei sistemi, regolare verifica dell’efficacia delle misure adottate), nonché utilizzo di codici di condotta e meccanismi di certificazione come elementi per dimostrare la compliance. Si dovrà tener conto dell’eventuale distruzione, perdita o modifica dei dati personali trasmessi, conservati o comunque trattati, della loro divulgazione non autorizzata, dell’accesso, in modo accidentale o illegale. Restano valide le misure di sicurezza prescritte dal garante per casi specifici, a meno di diverse indicazioni da parte dell’autorità.

[18] solo con una gestione centralizzata e precisa dei processi sarà possibile mettere in atto efficaci rimedi in caso di data breach o ispezioni, evitando così le sostanziali e temute sanzioni previste dal GDPR.

[19] Prevede la sostituzione di Informazioni identificative con codici in modo tale che i dati non siano più attribuibili ad una persona specifica, senza l’utilizzo di informazioni aggiuntive (conservate separatamente e soggette a misure tecniche e organizzative per garantire che i dati non siano attribuiti a una persona identificabile o identificata. Può ridurre i rischi per gli per gli interessati e può aiutare e i Responsabili del trattamento a rispettare i loro obblighi di protezione dati. Può favorire la sostenibilità di progetti di analisi dei dati per finalità aggregate e statistiche. Si tratta di un elemento da considerare nella valutazione di compatibilità del trattamento dei dati per finalità diverse da quelle per cui erano state inizialmente raccolti (p.e. Big Data Analitics).

[20] Data Protection Authority

[21] https://www.garanteprivacy.it/documents/10160/10704/1411979

1 Comment

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *