Negli ultimi anni il processo di digitalizzazione ha subito una incredibile accelerazione e la tendenza è quella di una crescita esponenziale nei prossimi anni.
Diretta conseguenza di un sistema che si avvia a grandi passi verso una completa digitalizzazione è una sempre maggiore tutela dei dati personali.
Il GDPR è fondamentale per comprendere meglio la tutela dei dati personali in chiave nazionale ed europea.
Pertanto, nell’articolo che segue, proveremo a rispondere alle principali domande concernenti proprio il GDPR: che cos’è? A cosa serve? In che modo è necessario, per legge, rispettarne le principali disposizioni?
Iniziamo subito chiarendo cos’è il GDPR.
GDPR: che cos’è?
GDPR è un acronimo che sta per General Data Protection Regulation ed è – in estrema sintesi – una serie di norme e disposizioni sulla protezione dei dati sensibili a cui devono adeguarsi tutte le imprese che operano nella UE, qualunque sia la loro sede e indipendentemente dall’attività che svolgono.
Oltre alla tutela dei dati sensibili, ratio della norma è quella di razionalizzare e omologare l’intero sistema europeo in modo da garantire alle imprese che vi operano condizioni di parità e uniformità.
Di preciso, cosa si intende nell’ambito del GDPR per dati personali?
Il GDPR definisce dati personali: le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica.
Sono, in definitiva, informazioni trasversali che definiscono un soggetto in base a differenti aspetti della sua esistenza e ineriscono le sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica etc.
Il GDPR suddivide i dati in quattro principali macro-categorie, nello specifico:
- dati che permettono l’identificazione diretta, come ad esempio quelli anagrafici
- dati che permettono l’identificazione indiretta, come un numero di codice fiscale, numero di targa etc.
- dati c.d. sensibili, riguardanti la sfera più intima della persona; quei dati che rivelano, ad esempio, l’origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale.
Il Regolamento (UE) 2016/679 – all’articolo 9 – ha incluso in questa categoria anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale.
- dati giudiziari, relativi a eventuali condanne penali e reati.
I dati possono essere anche suddivisi in base alla modalità di rilevazione.
Nello specifico, possono essere:
- Provided: forniti in piena consapevolezza dall’utente (registrazione geolocalizzata, ad esempio)
- Observed: desumibili dalla navigazione dell’utente
- Derived: accorpati in base a una precedente raccolta (profilazione, ad esempio)
- Inferred: dati eterogenei accorpati per fini statistici
Vediamo adesso, in breve, quali sono i soggetti giuridici di riferimento.
GDPR: soggetti giuridici in gioco
IL GDPR individua – articolo 4, paragrafo 1 – nell’ambito dei dati personali tre principali soggetti in relazione al loro rapporto con i dati.
Nello specifico:
- Interessato: è la persona a cui fanno riferimento i dati;
- Titolare: è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento;
- Responsabile: è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo del trattamento dei dati;
Chiariti i principali aspetti formali, entriamo ora nello specifico della normativa prevista dal GDPR.
GDPR: informativa e modalità di applicazione
Per tutte le procedure precedentemente elencate in cui vengono raccolti i dati personali deve essere dato esplicito consenso al trattamento degli stessi.
Il consenso può essere revocato in qualsiasi momento e il fornitore del servizio deve tassativamente specificare la tipologia di dati personali raccolta e lo scopo per cui sono utilizzati.
L’informativa sul trattamento dei dati deve rispondere a caratteristiche inderogabili: concisa e senza ridondanze, trasparente, fruibile per chiunque e facilmente comprensibile. In più, deve contenere tutti i dettagli del trattamento dei dati personali.
Una volta recepita l’informativa il titolare può manifestare – o meno – la volontà di prestare il proprio consenso al trattamento dei dati.
Ai sensi del GDPR il consenso deve essere libero, informato, inequivocabile, specifico (per ogni finalità).
Vediamo adesso nel dettaglio quali sono le condizioni che pone il GDPR all’utilizzo dei dati sensibili e le eventuali sanzioni.
GDPR: accountability e valutazione del rischio
Il GDPR ha introdotto la responsabilizzazione dei titolari del trattamento – l’accountability – che prevede l’adozione di comportamenti proattivi tali da dimostrare in maniera inequivocabile la ricezione di tutte le disposizioni previste per la tutela dei dati sensibili.
Grande attenzione è stata posta sui rischi che un determinato trattamento può comportare e, di conseguenza, è stato posto l’accento su tutte le misure, tecniche e organizzative adeguate ed efficienti, da adottare per scongiurare il loro verificarsi o mitigarne gli effetti.
Per adeguarsi al GDPR non è previsto un regolamento unico, in quanto i comportamenti da adottare dipendono sempre dal tipo di trattamento che il titolare intende effettuare con i dati sensibili.
Sul cosa fare per essere GDPR compliant (perfettamente in regola con le disposizioni) vi è una libertà di auto-valutazione per ogni azienda titolare dei dati.
Chi è dunque identificabile ai sensi del GDPR come titolare dei dati?
Responsabile ai sensi dell’articolo 28 del GDPR è qualsiasi persona giuridica o fisica che tratta i dati personali in nome proprio, o che ne delega il trattamento ad altri soggetti.
Importante a tal riguardo è anche la figura del contitolare espressamente prevista dall’articolo 26: Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.
Per contitolare il GDPR fa dunque riferimento a tutti quei soggetti che definiscono le finalità e i mezzi del trattamento dei dati e che in luogo di un trattamento congiunto devono sottoscrivere un accordo di contitolarità.
Figura equipollente al titolare dei dati è l’amministratore di sistema che non trova definizione nel GDPR ma può essere formalmente desunto dal d.P.R. 318/1999 articolo 1 c.1 lettera c. Si tratta, in pratica, di quella figura professionale con competenze di un tecnico hardware e software che regolarmente accede al sistema informatico che il titolare utilizza per il trattamento dei dati personali.
Responsabile della protezione dei dati nel GDPR
Altra figura identificata con il titolare è il Responsabile della protezione (RDP) la cui nomina è obbligatoriamente prevista quando il trattamento dei dati è considerato particolarmente rischioso e complesso.
È un soggetto dotato di specifiche conoscenze e competenze, e si occupa di assistere il titolare a adeguarsi al GDPR supportandolo nella scelta di idonee ed efficaci misure di sicurezza non indicate – come detto in precedenza – in maniera univoca dalla normativa.
Il GDPR infatti prevede soltanto una serie di adempimenti formali che il titolare deve adottare per essere in regola; le modalità e, dunque, le azioni da porre in essere sono invece determinate dal caso specifico.
Adempimenti formali del GDPR: registro dei trattamenti, data breach e registro violazioni
In ultima analisi analizziamo brevemente gli adempimenti formalmente previsti dal GDPR.
Ai sensi dell’articolo 25 del GDPR l’adeguamento del titolare è strettamente subordinato a due principi:
- privacy by default: secondo cui i dati devono essere manipolati il meno possibile e il trattamento deve risultare il meno invasivo possibile;
- privacy by design: in base al quale il trattamento deve essere definito prima ancora di porre in essere il trattamento stesso.
In ossequio a questi due principi il GDPR ha introdotto – articolo 30 – il registro dei trattamenti che, nello specifico, è un documento che deve contenere tutte le attività di trattamento che pone in essere l’azienda ed è obbligatorio per tutte quelle imprese che operano il trattamento dei dati in modo non occasionale.
Il GDPR chiarisce formalmente quali sono i rischi da evitare e specificatamente le elenca all’articolo 4 definendo il data breach: La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
In termini pratici sono quindi ricompresi furto di materiale hardware, perdita o distruzione di materiale hardware, compromissione dei dati a causa di un incidente.
Rientrano in questo elenco anche gli attacchi informatici: a tal proposito ti invito a leggere il nostro articolo su cybersecurity e i supporti di tutela che offriamo.
In determinati casi la violazione va comunicata all’autorità di controllo o allo stesso interessato al trattamento e questo in base a quanto sancisce l’articolo 33 del GDPR:Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Esplicitamente il GDPR prevede dunque un ulteriore adempimento formale, il cosiddetto registro delle violazioni in cui il titolare è tenuto a riportare le violazioni e le conseguenze, le decisioni prese e le ragioni su cui queste sono basate.
Il registro deve essere fornito al Garante in caso di accertamenti qualora lo richieda.
La materia per la sua natura tecnica è molto complessa.
Per una consulenza in materia di adeguamento al GDPR non esitare a contattarci.
Noi di Team Service ti supportiamo nella gestione di tutti gli adempimenti, fino a portare a termine con successo l’adeguamento al GDPR.
Per maggiori informazioni, puoi scriverci una mail a questo indirizzo: info@team-service.it
