Breve guida al trattamento dei dati secondo il nuovo GDPR

Breve guida al trattamento dei dati secondo il nuovo GDPR

Premessa

Il 25 maggio 2018 entrerà in vigore il Regolamento generale sulla protezione dei dati – comunemente noto come GDPR (acronimo inglese di “General Data Protection Regulation”), relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati. Il regolamento troverà applicazione diretta in tutti i Paesi facenti parte dell’Unione Europea.

Il GDPR eleva ad oggetto di tutela il trattamento dei soli dati personali, al fine di assicurare la protezione dei diritti e delle libertà delle persone fisiche in maniera equivalente in tutti gli Stati membri e la libera circolazione dei dati, disciplinando, conseguentemente, i principi e le condizioni per procedere al legittimo trattamento di tali dati.

Definizione di dato personale e applicazione del regolamento

La definizione di dato personale assunta dal GDPR risulta particolarmente ampia. L’art. 4 del GDPR stabilisce che per dato personale debba intendersi “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

In tale definizione si ricomprende, pertanto, anche la profilazione, ossia qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica e in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica,

Il regolamento si applica già dalla semplice detenzione del dato a prescindere dalla circostanza che il trattamento dei dati sia o meno ivi concretamente effettuato e a prescindere dalla nazionalità o dal luogo di residenza dei soggetti cui si riferiscono i dati personali trattati.

Sono esclusi dall’ambito di applicazione delle disposizioni del regolamento i trattamenti dei dati relativi alle persone giuridiche: è evidente che in tal caso le disposizioni del GDPR troveranno applicazione con riferimento al trattamento dei dati personali del rappresentante legale.

Titolare del trattamento

Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Il titolare del trattamento è tenuto a porre in essere tutte le misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto dei principi dettati dalle norme del GDPR.

Trattamento dei dati

Per trattamento dei dati si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Per GDPR ogni trattamento deve trovare fondamento in un’idonea base giuridica che, oltre al consenso, è individuata nella sussistenza delle seguenti condizioni:

  1. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  2. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del medesimo;
  3. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  4. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  5. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del medesimo o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Consenso dell’interessato

Il GDPR definisce il consenso dell’interessato come una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Il consenso deve quindi essere espresso mediante un a atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale (principio di libertà delle forme). Potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non si potrà pertanto configurare come consenso il silenzio, l’inattività o la preselezione di caselle. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Applicazione del GDPR

La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni sulla privacy non dovrà introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento. Il regolamento produce effetti più importanti per gli operatori le cui attività principali consistono nel trattamento dei dati e/o nel trattamento di dati sensibili, nonché per gli operatori che si occupano del monitoraggio regolare e sistematico delle persone fisiche su larga scala. A tale scopo si ritiene utile ricordare che sono tenuti alla designazione del responsabile della protezione dei dati personali (Data Protection Officer) il titolare e il responsabile del trattamento le cui attività principali consistano in trattamenti che richiedono, per loro natura, ambito di applicazione e/o finalità, il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti, su larga scala, di categorie particolari di dati personali. Si suggerisce in ogni caso di indicare almeno un “Referente GDPR” al quale fare riferimento sia ai fini di eventuali verifiche e controlli sia al fine di consentire un migliore e agevole esercizio dei diritti degli interessati.

In particolare il titolare del trattamento dovrà necessariamente porre in essere le seguenti operazioni: Determinare quali dati personali vengono raccolti e utilizzati (“elaborati” in GDPR-speak) dall’organizzazione.

Mappatura delle categorie di dati raccolti, trattati e conservati

Scoprire dove sono archiviati i dati, compresi i sistemi di terze parti che potrebbero ospitarli e dove, geograficamente, si trovano i server, mappare dove i dati passano dal punto di raccolta in tutta l’organizzazione ed esternamente ai fornitori o ad altre terze parti, determinare per quanto tempo i dati vengono conservati e in quali formati (ciò include la consapevolezza che i dati siano “strutturati” in database o “non strutturati” ossia, ad esempio, sistemi genericamente organizzati, inclusi file cartacei o PDF).

Senza eseguire l’inventario e la mappatura non sarà possibile costruire in modo significativo un programma operativo che soddisfi gli obblighi del GDPR fornendo agli interessati trasparenza e rispettando gli altri diritti di protezione dei dati, sapendo quando e come viene raccolto e registrato il consenso.

 Acquisizione del consenso da parte dell’interessato e casistica di esonero dal relativo obbligo

Ciascun titolare deve distinguere i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Quando per un trattamento è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato effettivamente prestato.

 Trasparenza nella gestione dei trattamenti

Il titolare è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni/comunicazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il titolare è tenuto ad agevolare l’esercizio dei diritti da parte dell’interessato e, in particolare, a fornire un riscontro alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima (prorogabile di due mesi ove necessario, tenuto conto della complessità e del numero delle richieste).

 Informativa all’interessato

Adempimento basilare per qualsiasi titolare, si giova necessariamente di  una buona capacità di analisi (in particolare) dei flussi dei trattamenti. L’informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale e la sua redazione è operazione niente affatto banale: per esempio, il titolare deve esplicitarvi il periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo. Non in ultimo, il linguaggio dell’informativa deve essere semplice e chiaro. Si distinguono le due fattispecie in cui la comunicazione delle informazioni è da correlare alla raccolta dei dati presso l’interessato ovvero presso un soggetto diverso.

 Misure di sicurezza adeguate

Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure debbono essere periodicamente riesaminate e aggiornate. Tenendo conto delle specifiche caratteristiche del trattamento e dei  connessi profili di rischio per i diritti e le libertà delle persone fisiche, all’atto del trattamento ovvero di determinare i mezzi del medesimo il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi di protezione dei dati e da garantire nel trattamento i requisiti del Regolamento e la tutela dei diritti degli interessati. Il titolare del trattamento può altresì attuare misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento. Obbligo che vale per la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità ai dati stessi.

 Obbligo di istruzione da parte del Titolare

Il titolare del trattamento deve previamente istruire tutti coloro che siano autorizzati ad accedere ai dati personali, compreso il responsabile del trattamento.

 Notificazione di una violazione dei dati

Rientra tra gli obblighi del titolare anche la notifica all’autorità di controllo (Garante) senza ingiustificato ritardo – e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza -, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche.

  1. Nomina di un Responsabile della Protezione dei Dati (Data Protection Officer – DPO)

La nomina del DPO è adempimento obbligatorio quando il titolare del trattamento:

  • è autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari.

Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina ‘privacy’. E’ anche l’interlocutore dell’autorità di controllo..

 

Corporate social responsability: i benefici del report di sostenibilità Informativa relativa al trattamento dei dati personali delle persone fisiche 
Your Comment

Leave a Reply Now

Your email address will not be published. Required fields are marked *