Facciamo il punto su: GDPR

Dream Up - 09 Mag 2018

Il Regolamento generale sulla protezione dei dati personali

Se non sei un legale di professione, adeguare il tuo sito web alle nuove leggi internazionali sulla privacy può risultare ostico e difficoltoso. Noi di Dream up forniamo consulenza professionale completa, permettendoti di adeguare il tuo sito alle recenti modifiche introdotto dalla GDPR (General Data Protection Regulation).

Iniziamo col dire che il nuovo GDPR (pubblicato sulla Gazzetta Ufficiale dell’Unione Europea) entrerà in vigore il 25 maggio 2018 in tutti i Paesi membri dell’UE e imporrà obblighi stringenti sul trattamento e la gestione dei dati dei cittadini europei. Nasce da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo. Il nuovo regolamento rappresenta un traguardo per le normative sul trattamento dati e servirà a rafforzare i diritti esistenti e a dare agli individui più poteri di controllo sui propri dati personali.

In estrema sintesi col GDPR:

  • Si introducono regole più chiare su informativa e consenso;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Poste le basi per l’esercizio di nuovi diritti;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • Fissate norme rigorose per i casi di violazione dei dati (data breach).

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli utenti.
Vengono introdotte 3 figure nel nuovo testo del regolamento europeo:

  • Con il termine “utente” si intende una persona i cui dati personali sono trattati da un titolare del trattamento o da un responsabile del trattamento
  • Con il termine “titolare del trattamento” si intende una qualsiasi persona fisica o giuridica coinvolta nella determinazione delle finalità e delle modalità del trattamento dei dati personali degli utenti
  • Con il termine “responsabile del trattamento” si intende una qualsiasi persona fisica o giuridica coinvolta nel trattamento dei dati personali degli utenti per conto del titolare del trattamento

Le Basi giuridiche del trattamento

Ai sensi del GDPR, i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento:

  • L’utente ha prestato il proprio consenso per una o più specifiche finalità
  • Il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto
  • Il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto
  • Il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi
  • Il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento
  • Il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.

Consenso

Al fine di effettuare un’attività di trattamento dei dati, l’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti.
In generale, al fine di ottenere il consenso al trattamento dei dati, l’organizzazione non può utilizzare termini eccessivamente complicati o indecifrabili. Ciò include il linguaggio giuridico, nonché l’uso di un gergo tecnico superfluo.
Per queste ragioni, le privacy policy devono essere redatte in modo, utilizzando un linguaggio e delle clausole comprensibili, in modo che gli utenti siano pienamente consapevoli di ciò a cui acconsentono e delle conseguenze del loro consenso.
Le organizzazioni devono essere trasparenti in merito alle finalità della raccolta dei dati e il consenso deve essere “esplicito e libero”.

Ciò significa che la modalità di acquisizione del consenso deve essere inequivocabile e prevedere una chiara azione di “opt-in” (il regolamento vieta espressamente il ricorso a checkbox preselezionate o ad altre metodologie alternative di “opt-out”).
Il regolamento sancisce inoltre un diritto specifico alla revoca del consenso, che deve essere tanto facile quanto lo è il suo conferimento.

Poiché il consenso ai sensi del GDPR è una questione di primaria importanza, è obbligatorio registrare in modo puntuale i consensi ottenuti affinché l’organizzazione sia in grado di dimostrare che l’utente abbia effettivamente prestato il consenso. 

L’onere della prova del consenso ricade infatti sul titolare del trattamento, per cui è essenziale conservare queste informazioni in modo estremamente accurato.

Le prove del consenso devono includere, in particolare, le seguenti informazioni:

  • quando e come il consenso del singolo utente è stato acquisito;
  • un riferimento esatto a ciò che è stato detto all’utente in fase di raccolta del consenso, insieme ad un riferimento alle condizioni in essere nel momento in cui il consenso stesso è stato acquisito. 

La notifica del data breach

Il titolare del trattamento deve informare l’autorità di controllo entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali (data breach). Se il trattamento è effettuato da un responsabile per conto del titolare, il responsabile dovrà darne comunicazione a quest’ultimo immediatamente dopo esserne venuto conoscenza. Anche gli utenti devono essere informati della violazione (entro lo stesso termine) a meno che i dati violati non siano stati protetti mediante cifratura (e quindi resi illeggibili per l’intruso) o, in generale, a meno che sia improbabile che la violazione comporti un rischio elevato per i diritti e le libertà delle persone. In ogni caso, il titolare del trattamento deve tenere un registro delle violazioni verificatesi per poter dimostrare all’autorità di controllo il rispetto di tali disposizioni.

Il Responsabile per la Protezione dei Dati (RPD o DPO)

Il Responsabile per la Protezione dei Dati (RPD), o Data Protection Officer (DPO), è un soggetto con una conoscenza approfondita della legislazione in materia di protezione dei dati, il cui ruolo comprende l’assistenza al titolare del trattamento o al responsabile del trattamento per il controllo della conformità interna al GDPR, e per la supervisione e l’attuazione della strategia di protezione dei dati.
Il DPO dovrebbe inoltre essere competente nella gestione dei processi informatici, nella sicurezza dei dati e in altre questioni critiche relative al trattamento di dati personali e sensibili.

La nomina del DPO è obbligatoria nei seguenti casi:

  • quando il trattamento è effettuato da autorità o organismo pubblico;
  • quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala”;
  • quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.

La nomina di un DPO non si basa pertanto solo sul numero effettivo di dipendenti, ma anche sulla natura dell’attività di trattamento dei dati. Se la tua organizzazione non rientra nelle suindicate categorie, la nomina del DPO non è obbligatoria.

Il Registro del Trattamento

Il GDPR pone in capo ai titolari ed ai responsabili del trattamento l’obbligo di tenere e mantenere aggiornato un registro delle particolari attività di trattamento dati effettuate.
In genere, questo requisito si applica solo alle organizzazioni con più di 250 dipendenti. Tuttavia, il requisito si applica comunque alle organizzazioni con meno di 250 dipendenti se le loro attività di trattamento:

  • non sono occasionali, o;
  • includono il trattamento di dati sensibili o di categorie speciali di dati, o;
  • possono risultare in un rischio elevato per i diritti e le libertà degli interessati.

Il Registro del Trattamento deve essere tenuto per iscritto. È possibile tenere il registro sia in formato cartaceo che elettronico. Tuttavia, il formato elettronico è considerato una best practice in quanto ne agevola l’aggiornamento.

Il registro tenuto dal titolare del trattamento deve includere:

  • il nome e le informazioni di contatto del titolare del trattamento e, se designati, dei responsabili del trattamento e del DPO;
  • le finalità del trattamento;
  • una descrizione delle diverse tipologie di utenti e di dati trattati;
  • le categorie dei soggetti terzi che accedono ai dati, specificando l’eventuale Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti (in caso di trasferimento di dati verso un Paese extra UE);
  • l’eventuale trasferimento di dati personali verso un Paese extra UE, identificando il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, inclusa una documentazione relativa alle misure di sicurezza adottate (se applicabile);
  • i termini previsti per la cancellazione delle varie categorie di dati (ove possibile);
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (ove possibile).

Il registro tenuto dal responsabile del trattamento deve includere:

  • il nome e le informazioni di contatto del titolare del trattamento e degli ulteriori responsabili del trattamento che agiscono per suo conto e, se del caso, del DPO;
  • le categorie di trattamenti effettuati per conto di ciascun titolare;
  • l’eventuale trasferimento di dati personali verso un Paese extra UE, identificando il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, inclusa una documentazione relativa alle misure di sicurezza adottate (se applicabile);
  • i termini previsti per la cancellazione delle varie categorie di dati (ove possibile);
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (ove possibile).

Per quanto riguarda la tenuta dei registri, può essere utile effettuare audit regolari sui dati in possesso dell’organizzazione. Questa pratica è consigliata non solo al fine di soddisfare prontamente gli obblighi di registrazione, ma anche per facilitare la revisione e l’ottimizzazione delle procedure di elaborazione dei dati.

Le responsabilità e le sanzioni per le aziende

Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro.

L’art. 83  specifica che le sanzioni devono essere applicate in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi come il carattere doloso o colposo della violazione, le misure adottate.

In termini molto generali, sebbene le sanzioni previste nel regolamento siano di importi molti elevati fino al 20 milioni di euro o il 4% del fattura mondiale annuale.

In pratica come predisporre una privacy policy adeguata per il sito

La privacy policy deve indicare il modo in cui il tuo sito web raccoglie, elabora, memorizza, condivide e protegge i dati degli utenti, insieme con un’indicazione relativa alle finalità del trattamento ed ai diritti degli utenti a tale riguardo.

Adeguarsi con la Cookie Law

Poiché l’uso dei cookie comporta sia l’elaborazione dei dati dell’utente che l’installazione di tecnologie di tracciamento, è un fattore di notevole importanza nell’ambito della protezione dei dati personali degli utenti. Per questo motivo, se operi nel territorio dell’Unione Europea o ti rivolgi ad utenti europei, devi rispettare la Cookie Law.

Siamo in grado di fornire soluzioni ad hoc per la gestione e personalizzazione degli adeguamenti alla Cookie Law, contattaci per avere informazioni!