WHAT: Cos’è il GDPR?
GDPR sta per General Data Protection Regulation ed è il nuovo regolamento europeo per la protezione dei dati personali, che coinvolge le aziende e comporta alcune novità e modifiche strutturali e organizzative nel modo in cui vengono pensati, raccolti e trattati i dati personali.
WHEN: Quando entra in vigore obbligatoriamente il GDPR?
Il 25 maggio 2018
WHERE e WHO: Chi riguarda e qual è l’ambito di applicazione del GDPR?
Il GDPR si applica a tutte le aziende dell’Unione Europea ma anche alle aziende estere che trattano dati di cittadini europei. Se una società extraeuropea tratta dati di cittadini europei non si applicherà più la legge del titolare del trattamento, cioè di chi raccoglie i dati, ma ci sarà l’applicazione del diritto dell’Unione Europea. In altre parole la rivoluzione comporterà che ad esempio Facebook e Google saranno soggette alla normativa europea.
I trattamenti di dati soggetti alla nuova disciplina, in continuità con il passato, riguardano sia processi automatizzati che semi-automatizzati ed anche quelli tradizionali, e dunque totalmente privi di automatismo.
Ogni trattamento, quindi, dalla raccolta alla elaborazione, dalla conservazione alla distruzione di un dato, indipendentemente dalle modalità con il quale venga effettuato, sarà soggetto al GDPR.
Sono interessati dunque:
- le aziende, indipendentemente dalla loro dimensione
- i liberi professionisti
- le pubbliche amministrazioni (comuni, ospedali, scuole, enti...)
- le associazioni
- le cooperative
... ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc. Ovviamente gli adempimenti sono diversi a seconda delle dimensioni della struttura e della tipologia di trattamento dei dati.
WHY e HOW: Perché e come cambia la Privacy e cosa c’è di nuovo nel Regolamento?
La Privacy diventa il presupposto delle attività di trattamento dei dati e non più un obiettivo secondario da rispettare con adempimenti formali. La Privacy non è più un mero requisito legale ma diventa un elemento essenziale del processo di gestione delle informazioni. Questo è il vero perché della riforma.
Cambia il principio alla base della raccolta e del trattamento dei dati: non sono più semplici adempimenti da gestire ma è l’intero processo organizzativo aziendale che deve cambiare: come affermano gli esperti si passa dalla Compliance all’Assessment. Infatti si introducono nuovi principi della protezione della privacy fin dalla sua progettazione (privacy by design) e della protezione di default di dati e sistemi (privacy by default).
Cambiano gli obblighi a carico di chi tratta i dati: mentre prima scattavano sanzioni solo se gli adempimenti non erano stati applicati e se le autorità di controllo lo rilevavano e lo contestavano, ora diventa obbligatorio elaborare un sistema documentale di gestione della privacy, contenente tutti gli atti, regolarmente aggiornati ed elaborati per soddisfare i requisiti di conformità al Regolamento, secondo la logica dell'accountability, cioè della corretta organizzazione e della documentazione e tracciabilità obbligatoria delle attività di trattamento. Chi non si adegua è punibile.
Cambia l’informativa, non più testo burocratico ma redatta in forma intellegibile e trasparente, e soprattutto facilmente accessibile. Il linguaggio per questo dovrà essere semplice e chiaro. Non si dovrà mai dimenticare di informare gli interessati sull'origine dei dati trattati e specificare sempre il tempo di conservazione degli stessi.
Cambia il modo di esercitare i diritti degli interessati ed in particolare quelli di accesso, modifica, integrazione e cancellazione dei propri dati personali. La richiesta nei confronti del titolare è quella di prevedere meccanismi di agevolazione di questo esercizio da parte degli interessati. Soprattutto prevedere anche forme elettroniche per inoltrare le richieste, in particolare se i dati sono trattati con mezzi elettronici. Ad esempio la creazione di un profilo utente che consenta l’accesso ai propri dati attraverso user e password e la possibilità di cancellazione o rettifica, o aggiornamento da parte dell’utente stesso.
Si introduce per le aziende il registro delle attività di trattamento dei dati personali, qualora esso risulti necessario in base al disposto dell'art. 30 del GDPR, ossia nel caso in cui l'impresa o l'organizzazione che effettua il trattamento dei dati abbia più di 250 dipendenti. Tale registro dovrà, del resto, essere redatto anche nel caso in cui l'impresa od organizzazione abbia meno di 250 dipendenti, ma ponga in essere un trattamento dei dati che presenta un potenziale rischio per i diritti e libertà degli interessati.
Viene abolita la notifica al Garante preventiva nel caso di alcune tipologie di trattamenti (ad esempio geolocalizzazione, ricerca genetica, profilazione e altri trattamenti particolarmente invasivi). Tale procedura verrà sostituita da meccanismi e procedure efficaci che si concentrino sulle operazioni di trattamento dati potenzialmente rischiose per i diritti e le libertà degli interessati, per la loro natura, portata o finalità. In questo caso sarà obbligatoria l’effettuazione di una valutazione di impatto nel trattamento dei dati o Privacy Impact Assessment (PIA).
Cambiano anche le sanzioni che diventano più pesanti e personalizzate: fino a €20.000.000 per i privati e le imprese non facenti parte di gruppi e fino al 4% del fatturato complessivo (consolidato) su base mondiale per i Gruppi societari multinazionali.
STRUMENTI, FIGURE E PAROLE CHIAVE DEL GDPR
Privacy Impact Assessment (PIA)
Si tratta di un documento che riporta l’analisi dei rischi e la valutazione di impatto del trattamento dei dati personali. Il titolare della raccolta dei dati dovrà effettuare una valutazione (assessment) dell’impatto del trattamento, in particolare se quest’ultimo, per sua natura, oggetto o finalità, presenti rischi specifici che ledono i diritti e la libertà degli interessati.
Il rischio dovrà essere considerato in base ad una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.
Questo documento prevede 3 fasi:
- 1) Analisi dei rischi (risk analysis)
- 2) Definizione della lista delle criticità (gap list)
- 3) Definizione del programma di intervento (action plan)
Il PIA è un'analisi approfondita dei processi aziendali che mira a gestire i rischi, prevedendoli.
Per quanto riguarda la protezione e la sicurezza dei siti o applicazioni web esistono dei servizi di valutazione del rischio attraverso sistemi di scansione e di penetration test dell’infrastruttura informatica che possono accertare la vulnerabilità o meno di un sito o applicazione su Internet.
Data Protection Officer (DPO)
Oltre ai ruoli di titolare, responsabile e incaricato, a cui ci eravamo abituati, il GDPR prevede la nascita di una nuova figura della privacy aziendale: il Data Protection Officer (DPO). La nomina del DPO sarà obbligatoria per le aziende che
- sono un soggetto pubblico
- trattano rilevanti quantità di dati personali
- trattano sistematicamente dati sensibili o giudiziari
Il DPO, che può essere un consulente esterno all'azienda, deve possedere requisiti di professionalità, indipendenza ed autonomia di spesa, diventando una sorta di auditor interno dei processi di trattamento dei dati personali, nonché il referente che il Garante contatterà in caso debba acquisire informazioni o formulare contestazioni rivolte a chi tratta i dati personali in azienda.
Privacy by Design e by Default
BY DESIGN vuol dire che la tutela dei dati personali deve essere pensata e organizzata fin dalla fase progettuale della raccolta di informazioni. Diventa obbligatorio prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l'intera gestione del ciclo di vita dei dati.
BY DEFAULT vuol dire prevenire raccolte di dati non necessari, per le finalità perseguite, evitando di acquisire informazioni eccedenti rispetto a quelle dichiarate nell'informativa (minimization of data).
Privacy by design e by default si fondono in un unico principio organizzativo da seguire per arrivare ad un corretto trattamento dei dati personali.
Minimization of data
Una volta analizzato il flusso di dati che si vogliono raccogliere in merito all’attività che si vuole effettuare si devono adottare criteri che minimizzino i rischi del trattamento e riducano la quantità di dati trattati.
Data breach notification
È l'obbligo di segnalare all'Autorità le violazioni di dati subite da chi li tratta. Per violazione dei dati personali si intende la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati. Chi tratta dati, in caso di una violazione, dovrà mettere in atto due differenti azioni, pena sanzioni penali:
La notificazione della violazione all’Autorità di controllo entro 72 ore dal fatto
La segnalazione al diretto interessato (senza ritardo ingiustificato)
Software sentinella
Sono software che monitorano e segnalano immediatamente le violazioni dei dati e sono necessari per l'ottenimento di adeguate coperture assicurative che proteggano dai crescenti rischi legati al cosiddetto cyber risk.
Accountability
Significa letteralmente “Responsabilizzazione” e si riferisce al nuovo atteggiamento e ruolo che il GDPR assegna al titolare e al responsabile del trattamento dei dati, che deve mettere in pratica obiettivi di protezione preventiva effettiva, con focus su obblighi e comportamenti che prevengano in modo effettivo il possibile evento di danno, configurandosi sulle specificità dei diversi trattamenti cui si riferiscono.