Privacy, cosa è cambiato con il GDPR, Regolamento europeo sulla protezione dei dati

Anna Maria D’Andrea - Leggi e prassi

Privacy, cosa è cambiato con il GDPR, in vigore dal 25 maggio 2018, e cosa prevede il Regolamento europeo in materia di protezione dei dati personali. Quali sono gli adempimenti e gli obblighi per professionisti e imprese? E quali sono le sanzioni previste per chi non li rispetta? Le riposte in base alle novità introdotte e un punto di vista esperto sul tema.

Privacy, cosa è cambiato con il GDPR, Regolamento europeo sulla protezione dei dati

Privacy, dal 25 maggio 2018 è in vigore il GDPR, il nuovo regolamento sulla privacy che ha introdotto nuovi adempimenti e obblighi per professionisti ed imprese e un un nuovo sistema di sanzioni amministrative e penali generando una sorta di riforma nell’ambito delle regole sul trattamento dei dati.

Le violazioni delle regole del GDPR, infatti, possono costare care a imprese e professionisti: fino a 20 milioni di euro o al 4% del fatturato annuo.

L’acronimo GDPR sta per General Data Protection Regulation, il nuovo regolamento è nato in Europa per introdurre nuove regole in materia di protezione delle persone fisiche in merito al trattamento dei dati personali e alla libera circolazione degli stessi.

Le novità principali riguardano le regole sul trattamento dei dati personali, che non può essere illimitato nel tempo ma funzionale al motivo per il quale sono stati raccolti. Il consenso del consumatore\cliente, che deve essere esplicito e le modalità di utilizzo dei dati dovranno essere spiegate in modo chiaro e semplice.

Ovviamente il concetto di protezione dei dati personali non nasce con il GDPR ma, in un certo senso, è con questo nuovo regolamento che si evolve: si è passati, infatti, da interventi ex post a un approccio che prevede una identificazione preventiva dei rischi sui dati trattati.

Il punto di riferimento sul tema in Italia è l’Autorità Garante per la protezione dei dati personali, autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy.

Di seguito una panoramica sul tema e sulle novità introdotte dal Regolamento generale per la protezione dei dati personali:

GDPR, nuovo regolamento privacy: cosa è cambiato dal 25 maggio 2018

Il GDPR è il regolamento in materia di privacy applicato ed ufficialmente in vigore in tutta Europa dal 25 maggio 2018: le principali novità si traducono in maggiori tutele per i consumatori e di conseguenza in maggiori responsabilità per le imprese.

Il regolamento tutela i dati personali di persone fisiche, che possono essere trattati in forma cartacea o informatizzata: le misure da adottare cambiano in base alla modalità di conservazione.

IL GDPR è stato accolto da molti come uno strumento di rivoluzione culturale sul fronte della privacy. Ma non tutti sono d’accordo su questo punto, Antonio Ciccia Messina, avvocato esperto in materia, durante l’intervista rilasciata a Informazione Fiscale il 12 ottobre, ha evidenziato che dal 2018 ad oggi non c’è stato nessun cambio di rotta radicale sulla protezione dei dati personali:

Il nuovo regolamento, in realtà, modifica e integra alcune regole già previste in Italia dal Codice della privacy del 2003 e prima ancora la legge 675 del 1996.

E, nell’ottica dell’esperto, se anche considerassimo l’avvento del GDPR come una rivoluzione, non avremmo risultati rivoluzionari da evidenziare:

“Prendiamo per buona questa rivoluzione, è cambiato l’atteggiamento da parte delle aziende, degli enti pubblici? La realtà è che la risposta è negativa. Non vi è stata quella montagna di iniziative che ci si sarebbe aspettati da una rivoluzione. Non è successo”.

Il debutto del GDPR non ha portato un totale cambio di paradigma, nonostante le novità introdotte sotto il profilo sanzionatorio: il regolamento privacy prevede che in caso di mancato adempimento degli obblighi previsti le stesse saranno ispirate ai principi di effettività, proporzionalità e dissuasività.

In ogni caso sono previste sanzioni molto pesanti in caso di violazione:

  • 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
  • 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

Privacy, cosa è cambiato con il GDPR: gli adempimenti obbligatori

Il 25 maggio 2018 non è stato semplicemente il giorno della nuova privacy ma anche quello in cui sono partite nuove attività di controllo della Guardia di Finanza sul rispetto delle nuove disposizioni.

Fin da subito le verifiche hanno riguardato gli adempimenti obbligatori e fondamentali per l’adeguamento al GDRP:

  • nomina del DPO, il responsabile della protezione dati;
  • controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);
  • registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.

Alla base dei nuovi controlli vi è la capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO, il responsabile della protezione dati che però non è obbligatoria per le PMI.

Di seguito una panoramica sulla nuova terminologia, con nuovi obblighi e adempimenti, che sono stati introdotti dal GDPR 2018:

  • Informativa, è il documento con il quale il soggetto interessato esprime il consenso all’utilizzo e viene informato sul trattamento, deve essere chiara e di facile comprensione. L’informativa al trattamento dei dati deve spiegare in maniera semplice e con un linguaggio di facile comprensione come saranno utilizzati i dati e per quanto tempo saranno conservati nelle banche dati.
  • Consenso, il via libera al trattamento dei dati personali deve essere preventivo e inequivocabile, così come previsto già in passato. Nuova è la modalità per esprimerlo: non vale mai la regola del chi tace acconsente, il consenso dovrà essere esplicito e mai basato ponendo all’interessato una serie di opzioni già selezionate. Il consumatore può revocare il proprio consenso in ogni momento e l’azienda è obbligata a cancellare tutti i dati raccolti.
  • Portabilità dei dati, il regolamento sulla privacy prevede la possibilità per i consumatori di richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Ad esempio si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati, così come ad esempio, nel caso di cambio di gestore dell’energia.
  • Diritto all’oblio e conservazione limitata, il consumatore può richiedere la cancellazione dei propri dati personali online nei casi in cui i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento. Collegata al diritto all’oblio è un’altra regola prevista dal GDPR: la conservazione dei dati dell’utente\cliente non può essere illimitata ma la durata del trattamento deve essere collegata alla finalità per la quale è stato richiesto il consenso.
  • Violazione dei dati personali, in caso di data breach il titolare del trattamento dei dati è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare deve informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

Un esempio eclatante di data breach è quello che si è verificato sul sito INPS in occasione dell’apertura delle domande di accesso al bonus 600 euro previsto per l’emergenza coronavirus.

Gli utenti, che nella mattinata del 1° aprile hanno potuto navigare sulle pagine del portale INPS perlopiù bloccato, accedendo si sono trovati difronte a una sorpresa: l’identità di altre persone con tutto il pacchetto di dati personali che la piattaforma contiene, dal codice fiscale alla mail.

Privacy, chi è il DPO e quando deve essere nominato

Tra le novità più importanti introdotte dal GDPR vi è, inoltre, il DPO (Data Protection Officer - Responabile della protezione dei dati), una figura definita come l’alleato nella tutela dei dati del cliente.

Si tratta di un ruolo di garanzia e supporto, prevede una posizione di autonomia e indipendenza.

Il DPO è un soggetto terzo, e deve essere una figura di garanzia e rapporto diretto con l’Autorità Garante e con gli interessati.

Le funzioni del DPO, e i casi in cui deve essere nominato, sono contenute all’interno del Regolamento sulla Privacy. L’istituzione di tale figura è necessaria nei seguenti casi:

  • quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • quando le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Il Responsabile della protezione dei dati potrà esser nominato internamente o esternamente all’azienda e dovrà esser dotato di competenze giuridiche, informatiche, di gestione del rischio e analisi dei processi.

Il suo compito sarà quello di gestire il trattamento dei dati raccolti dall’azienda, nel rispetto della normativa sulla privacy.

I soggetti pubblici e privati dovranno comunicare al Garante il nome del DPO qualora designato, proprio questo perché, sulla base dell’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.

Sul sito www.garanteprivacy.it è disponibile una procedura online per la comunicazione del nominativo.

PMI esonerate dall’obbligo di tenuta del registro dei trattamenti

Tra i diversi obblighi previsti dal GDPR a partire dal 25 maggio 2018 c’è anche quello relativo alla tenuta del registro dei trattamenti. Si tratta di un documento all’interno del quale bisognerà indicare le caratteristiche del titolare del trattamento e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere.

L’obbligo di tenuta del registro riguarda tutti i titolari e responsabili del trattamento dei dati personali, ad esclusione delle PMI con meno di 250 dipendenti.

L’obbligo, tuttavia, si estende anche alle piccole e medie imprese qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o se riguardi particolari tipologie di dati.

GDPR - testo nuovo regolamento privacy 2018
Scarica il testo completo del nuovo regolamento UE sulla privacy in vigore dal 25 maggio 2018

Questo sito contribuisce all'audience di Logo Evolution adv Network