GDPR: Obblighi, adempimenti e cautele di spettanza del titolare del trattamento. Guida e tabella riassuntiva

in Giuricivile, 2018, 5 (ISSN 2532-201X)

A partire dal 25 maggio 2018 sarà direttamente applicabile in tutti gli stati membri il Regolamento generale sulla protezione dei dati – UE 2016/679, meglio noto come General Data Protection Regulation (GDPR).

Il suddetto regolamento sancisce le modalità per la protezione dei dati personali delle persone fisiche e la condivisione delle relative informazioni. Prevede, dunque, adempimenti per aziende e professionisti (alcuni dei quali già presenti nel Codice della privacy) e sanzioni per i titolari di dati altrui in caso di mancata protezione degli stessi (al riguardo e a titolo esemplificativo si menziona il Data Breach, l’esposizione non autorizzata delle informazioni).

In questo articolo si cercherà di sintetizzare le novità introdotte dal GDPR, chiarendo i punti focali del Regolamento e le finalità da esso perseguite. In calce alla guida, è inoltre disponibile una tabella riassuntiva degli obblighi, degli adempimenti e delle cautele di spettanza del titolare del trattamento alla luce del GDPR.

Accountability: cos’è e perchè se ne parla

Il sistema delle misure di sicurezza introdotto dal GDPR è stato rivisitato sull’idea di “accountability” ossia una strategia operativa che pone l’accento sulla “sostanza” dell’adempimento e sulla sua verificabilità esterna.

In linea generale, l’accountability è uno strumento di meccanismi pratici che implica aspetti quali l’affidabilità e la competenza aziendale nella gestione dei dati personali.

È stata elaborata per favorire il flusso di dati personali a livello internazionale, affiancando ad un profilo meramente giuridico una dimensione amministrativa ed etica che promuove un decisionismo responsabile improntato sul principio di trasparenza ossia la capacità di accedere ai propri dati e verificare quale sia stata la sorte designata dal titolare del trattamento.

Il principio dell’accountability è sancito dall’art. 24 del suddetto regolamento che tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto attraverso misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento.

Tali misure sono riesaminate e aggiornate quando occorre e includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

Privacy by Design e Privacy by Default

Altri pilastri del GDPR sono la Privacy by Design e la Privacy by Default.

Con la prima ci si riferisce alla necessità di prevedere già in fase di progettazione dei sistemi informatici e applicativi, sistemi che tengano sotto controllo i rischi che il trattamento può comportare per la tutela degli interessati.

La seconda si ha tutte le volte in cui un soggetto cede i propri dati ad un terzo e, quindi, v’è una procedura interna che preveda e disciplini le modalità di acquisizione, trattamento, protezione e modalità di diffusione.

Il Data Protection Officer (DPO): una nuova figura professionale

Tra i nuovi adempimenti è prevista una nuova figura professionale ossia il Data Protection Officer (DPO).

Le Pubbliche Amministrazioni e le Aziende, infatti, a far data dal 25 Maggio dovranno prevedere il Data Protection Officer ossia il Responsabile della Protezione dati che ha compiti diversi dal responsabile del trattamento.

Si tratta di un supervisore indipendente che dovrà supportare il titolare e il responsabile nel garantire che l’organizzazione sia conforme al GDPR. In altre parole, ha una funzione organizzativa assimilabile per molti versi al ruolo dell’Organismo di Vigilanza in base al d.lgs. 231/2001 (legge sulla responsabilità amministrativa degli enti), con compiti molto complessi, ulteriori e molto diversi rispetto al responsabile del trattamento dei dati, che vanno dalla comunicazione e sensibilizzazione al monitoraggio e alla verifica di conformità e dell’adeguatezza delle analisi dei rischi e delle misure di sicurezza.

Non ultimo, il DPO sarà anche il punto di contatto con l’Autorità Garante per la protezione dei dati personali.

Il DPO dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica.

I compiti e gli adempimenti del DPO

Le attività del DPO potranno comprendere anche le attività già previste per il ruolo di responsabile della privacy. Tra i compiti del DPO troviamo:

  • Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
  • Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane (in materia di protezione dei dati) ed in materia di verifiche derivanti da quanto sopra;
  • Assicurare che la “documentazione” di cui ai precedenti punti (l’equivalente del nostro DPS) sia redatta ed efficacemente aggiornata. Vengono riconosciuti importanti principi come l’accountability, ovvero un obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un’ottica proattiva, per esempio il considerando n. 74 asserisce che “il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure”, inoltre, è previsto che “Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità” (considerando n. 82 e art. 30). In questo contesto viene quindi previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza (c.d. D.P.S.) previsto fino al 2012 nel Codice della Privacy (disposizioni abrogate all’art. 34 lett. g e punto 19 dell’Allegato B del Codice della Privacy);
  • Monitorare che accessi illeciti ai dati siano notificati (ricordiamo che le violazioni di dati personali o data breach devono essere notificate dal controller, senza ritardo, alle autorità competenti ), nel rispetto della norma, all’autorità Garante. Il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l’obbligo di comunicazione nei casi in cui a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati. In riferimento agli incidenti informatici, la procedura di garanzia degli interessati (contraenti) coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) non sarà più solo limitata ai soli fornitori di servizi di comunicazioni elettroniche, ma avrà una portata estesa che potrà riguardare sia i diversi operatori dalla sanità che tutti gli operatori di internet e altri;
  • Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment ovvero l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali) nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;
  • Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
  • Agire come punto di contatto per le questioni, eccepite dal Garante, correlate ai trattamenti svolti in azienda.

Il titolare del trattamento, invece, si occupa, della determinazione delle finalità e dei mezzi del trattamento dei dati personali e può nominare un responsabile del trattamento (col compito di trattare per suo conto le informazioni) ed un Autorizzato (che agisca sotto la loro autorità).

A chi è rivolto il GDPR

Alla normativa in questione si devono adeguare tutte le imprese, le organizzazioni e le P.A. presenti negli Stati membri dell’UE, ma anche società extra UE che offrono servizi o prodotti a persone fisiche nel territorio dell’UE o che monitorano il comportamento di soggetti all’interno dell’Unione.

Il GDPR prevede sanzioni amministrative e penali a seconda della violazione e della strategia messa in atto dall’azienda per minimizzare il rischio di perdita dei dati.

Gli obblighi del GDPR

Per quanto concerne gli obblighi da rispettare sono i seguenti:

  • Crittografare i messaggi di posta elettronica che contengono informazioni personali dei soggetti;
  • Aggiornare periodicamente i dati e cancellarli soltanto in seguito a specifica richiesta dell’interessato;
  • Dimostrare per quali scopi vengono utilizzati i dati e non usarli per scopi differenti;
  • Formare i collaboratori così che siano in grado di tutelare i dati;
  • Crittografare le informazioni personali e confidenziali registrate su supporti per lamemorizzazione e quindi nessuna informazione riservata deve essere presente in chiaro su una pen drive;
  • Crittografare i dati personali e confidenziali contenuti nei computer portatili in maniera tale che non siano accessibili in caso di furto;
  • Crittografare i dati personali e confidenziali in fase si trasferimento nel Cloud;
  • Monitorare e analizzare costantemente l’infrastruttura interna per verificare la presenza di eventuali vulnerabilità da correggere;
  • Eseguire il backupsul Cloud dei dati (il solo backup su hard disk esterni non è sufficiente, in quanto i dati potrebbero essere trafugati e quindi dovrebbero essere sempre conservati in un luogo inaccessibile a mani altrui).

In sostanza,

  • i Commercialisti dovranno proteggere i dati dei clienti;
  • i Consulenti del lavoro dovranno tutelare i rapporti di lavoro;
  • le PMI gestire i dati valutando i costi;
  • le Multinazionali gestire i dati in ambito internazionale.

Regolamento UE 2016/679: Tabella riassuntiva di obblighi, adempimenti e cautele del titolare

Cautele per il trasferimento dei dati in Paesi terzi

CAPO V – artt. 44 – 49

Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale deve essere effettuato nel rispetto di specifiche condizioni affinché non sia pregiudicato il livello di protezione delle persone fisiche garantito dal Regolamento.

I principi applicabili al trattamento dei dati personali

CAPO II – art. 5

I dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime. I dati devono essere, invece, adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un’adeguata sicurezza.

Acquisizione del consenso da parte dell’interessato e casistica di esonero dal relativo obbligo

CAPO II – artt. 6 e 7

Ciascun titolare deve distinguere i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Quando per un trattamento è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato effettivamente prestato.

Il consenso dei minori a fronte di servizi ICT

CAPO II – art. 8

Nei casi in cui è richiesto il consenso, il trattamento di dati relativo all’offerta diretta di servizi della società dell’informazione ai minori è lecito se il minore che ha prestato il consenso ha compiuto 16 anni. In caso di minori di 16 anni, deve essere acquisito il consenso di colui/coloro che ha/hanno la responsabilità genitoriale del minore e il titolare deve adoperarsi in ogni modo ragionevole, in considerazione delle tecnologie disponibili, per verificare la detta circostanza.

Trattamento di particolari categorie di dati

CAPO II – art. 9

E’ formalizzato il divieto generale del trattamento dei dati corrispondenti a quelli attualmente definiti “sensibili”, oltre che dei dati genetici e biometrici. Dopodiché sono disposte specifiche eccezioni al divieto, come quelle relative alle ipotesi in cui: l’interessato ha prestato il consenso; i dati sono trattati per eseguire un contratto di lavoro e per le connesse esigenze di  sicurezza/protezione sociale; i dati sono trattati a fini di tutela di un interesse vitale dell’interessato; i dati personali sono stati resi pubblici dall’interessato, e così via.

Trattamento di dati relativi a condanne penali e reati

CAPO II – art. 10

Il trattamento dei dati personali sostanzialmente corrispondenti a quelli oggi definiti ‘giudiziari’ deve avvenire, alternativamente, sotto il controllo della autorità pubblica ovvero previa autorizzazione proveniente da norme dell’Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Trasparenza nella gestione dei trattamenti

CAPO III – art. 12

Il titolare è obbligato ad adottare misure appropriate per fornire all’interessato tutte le informazioni/comunicazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il titolare è tenuto ad agevolare l’esercizio dei diritti da parte dell’interessato e, in particolare, a fornire un riscontro alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima (prorogabile di due mesi ove necessario, tenuto conto della complessità e del numero delle richieste).

Informativa all’interessato

CAPO III – artt. 13 e 14

Adempimento basilare per qualsiasi titolare, si giova necessariamente di  una buona capacità di analisi (in particolare) dei flussi dei trattamenti. L’informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale e la sua redazione è operazione niente affatto banale: per esempio, il titolare deve esplicitarvi il periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo. Non in ultimo, il linguaggio dell’informativa deve essere semplice e chiaro. Si distinguono le due fattispecie in cui la comunicazione delle informazioni è da correlare alla raccolta dei dati presso l’interessato ovvero presso un soggetto diverso.

Il rispetto dei diritti dell’interessato

CAPO III ARTT. 15, 16, 17, 18, 20, 21

Il Regolamento formalizza un ampio catalogo di diritti che spettano all’interessato. Si tratta del diritto di accesso, del diritto di rettifica, del diritto alla cancellazione (più noto come diritto all’oblio), diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione al trattamento, con gli eventuali connessi obblighi di notifica/comunicazione gravanti sul titolare.

Il particolare caso dei processi decisionali automatizzati

CAPO III – art. 22

E’ riconosciuto il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona. Tra le operazioni contemplate dalla norma troviamo la profilazione così come definita dall’art. 4.1, n. 4). Il relativo divieto non si applica ove la decisione si basi sul consenso esplicito dell’interessato, sia necessaria per l’esecuzione di un contratto con l’interessato, ovvero sia autorizzata dal diritto dell’Unione o del singolo Stato membro.

Misure di sicurezza adeguate

CORPO IV art. 24 e 32

Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento. Cio tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le predette misure devono essere periodicamente riesaminate e aggiornate.

Privacy by design (fin dalla progettazione)

CORPO IV – art. 25.1

All’atto del trattamento e della determinazione dei mezzi dello stesso, il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi di protezione dei dati e da garantire nel trattamento i requisiti del Regolamento e la tutela dei diritti degli interessati. Nel fare ciò deve tener conto conto delle specifiche caratteristiche del trattamento e dei  connessi profili di rischio per i diritti e le libertà delle persone fisiche

Privacy by default (per impostazione predefinita)

CORPO IV – art. 25.2

Il titolare del trattamento attua misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento. Obbligo che vale per la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità ai dati stessi.

Contitolarità del trattamento

CORPO IV – art. 26

Nel caso in cui due o più titolari operano come contitolari del trattamento (determinando congiuntamente finalità e mezzi del medesimo), concordano in modo trasparente, mediante un contratto, la ripartizione delle responsabilità del trattamento, con particolare riguardo all’esercizio dei diritti degli interessati e ai connessi obblighi informativi. Il contenuto essenziale dell’accordo deve essere messo a disposizione degli interessati.

Nomina del Rappresentante del titolare

CORPO IV – art. 27

Laddove si applichi l’art. 3.2 (trattamento di dati personali relativi ad interessati che si trovano nell’Unione da parte di titolare/responsabile non stabilito nell’UE), il titolare/responsabile designa per iscritto un proprio rappresentante nell’Unione. Il rappresentante è l’indefettibile interlocutore della competente autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.

Nomina del Responsabile del trattamento

CORPO IV – art. 28

Il titolare può nominare un responsabile che effettui il trattamento per suo conto. Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate. Il Regolamento stabilisce un numero cospicuo di requisiti minimi di contenuto del contratto tra titolare e responsabile del trattamento.

Obbligo di istruzione da parte del Titolare

CORPO IV – art. 29

Il titolare del trattamento deve previamente istruire tutti coloro che siano autorizzati ad accedere ai dati personali, compreso il responsabile del trattamento.

Adozione del Registro delle attività di trattamento

CORPO IV – art. 30

Il titolare del trattamento con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, deve obbligatoriamente effettuare un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari. Cuore del documento è una mappa dettagliata di tutti i trattamenti effettuati dall’organizzazione del titolare.

Obbligo di cooperazione con l’autorità di controllo

CORPO IV – art. 31

Il titolare è tenuto a cooperare con l’autorità di controllo, quando quella gliene faccia richiesta.

Notificazione di una violazione dei dati

CORPO IV – art. 33

Rientra tra gli obblighi del titolare anche la notifica all’autorità di controllo (Garante) senza ingiustificato ritardo – e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza -, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche.

Comunicazione di una violazione dei dati all’interessato

CORPO IV – art. 34

Quando la violazione della sicurezza dei dati presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all’interessato senza ingiustificato ritardo. La norma fissa i requisiti di contenuto della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro. Altresì la norma individua i casi in cui la detta comunicazione non è richiesta (per semplicità, quando il titolare ha adottato misure tali da scongiurare il rischio o quando la comunicazione richiederebbe sforzi sproporzionati.

Redazione della Valutazione d’impatto sulla protezione dati e consultazione dell’autorità di controllo

CORPO IV – artt. 35 e 36

Si tratta di un ulteriore adempimento che grava sul titolare che debba iniziare un trattamento molto rischioso per i diritti e le libertà delle persone fisiche. Ciò si può verificare, in particolare, quando sia implicato l’uso di nuove tecnologie, ovvero in considerazione di altre caratteristiche (natura, oggetto, contesto, finalità) del trattamento. Quando la valutazione di impatto indichi che il trattamento presenta un rischio elevato, prima di procedere al trattamento il titolare è tenuto a consultare l’autorità di controllo.

Nomina di un Responsabile della Protezione dei Dati (Data ProtectionOfficer – DPO)

CORPO IV – artt. 37 e 39

Il DPO dev’essere nominato obbligatoriamente nell’ipotesi in cui il titolare del trattamento: a)  è  autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina privacy ed è anche interlocutore dell’autorità di controllo.

Adesione a codici di condotta/sistemi di certificazione

CORPO IV – artt. 40, 41 e 42

Sono adempimenti volontari del titolare mediante i quali si possono implementare misure di sicurezza dei trattamenti e si può dimostrare la conformità delle attività di trattamento ai requisiti stabiliti dal Regolamento.

Obbligo di risarcimento del danno

CAPO VII

Il titolare è tenuto a risarcire il danno materiale o immateriale cagionato da una violazione del Regolamento eccetto nel caso in cui dimostri la non imputabilità per l’evento lesivo.

SCRIVI IL TUO COMMENTO

Scrivi il tuo commento!
Per favore, inserisci qui il tuo nome

12 − 10 =

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.