Tecnologia
May 25 2018
Aggiornato il 25/05/2018
Il GDPR (General Data Protection Regulation) è ufficialmente il nuovo riferimento normativo sulla privacy. Dopo 2 anni di "periodo di grazia", dunque, il nuovo Regolamento europeo per il trattamento dei dati personali è diventato a tutti gli effetti vigente.
Da oggi, in pratica, tutte le società e le pubbliche amministrazioni che richiedono i dati personali per offrire servizi e prodotti, devono sottostare alle nuove regole fissate dall'Europa. Ce ne siamo accorti in questi giorni guardando le tante comunicazioni piovute nella nostra casella di posta che hanno provato a spiegarci (in modo a volte piuttosto confusionario) quali saranno d'ora in poi i nuovi diritti e doveri in materia di trattamento dei dati.
In linea di massima si può dire che il ruolo del GDPR sia quello di radunare e armonizzare tutte le precedenti norme (comunitarie e non), compresa la vecchia Direttiva 95/46/EC sulla protezione dei dati e il codice per la protezione dei dati personali e il dlgs.n. 196/2003 (che viene abrogato ma solo per le parti in contrapposizione con il nuovo regolamento).
L'idea è dunque quella di fornire alle autorità locali un nuovo strumento di riferimento che sancisca in modo unico e inoppugnabile le regole per il trattamento dei dati. Ai singoli Paesi è comunque concessa la facoltà di legiferare per adeguarsi al nuovo quadro normativo, cosa che verrà fatta anche in Italia con un decreto legislativo ancora in fase di completamento.
Il nuovo regolamento (GDPR 2016/679) interviene su sei punti chiave della disciplina sul trattamento dei dati. E cioé:
Il nuovo regolamento europeo disciplina il trattamento dei dati personali relativi alle persone nell'UE, da parte di persone, società o organizzazioni. Nello specifico, si legge nel documento ufficiale pubblicato sulla Gazzetta dell'UE, si applica al "trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi".
Ovviamente, trattandosi di regolamento europeo, l’atto vale solo per il trattamento dei dati personali di interessati che si trovano all'interno dell'Unione Europea (ma, attenzione, non è necessario che il trattamento avvenga all'interno dei confini europei), oppure quando le attività di trattamento riguardano:
Il GDPR non si applica al trattamento dei dati personali di persone decedute o di persone giuridiche. Non rientrano nel regolamento neppure i dati trattati per motivi strettamente personali o per attività svolte in casa (come nel caso di un individuo che utilizza la propria rubrica privata per invitare gli amici via e-mail a una festa), a condizione che non vi sia alcun legame con attività professionali o commerciali.
Il dato personale viene definito come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Per "identificabile" si intende la persona fisica che può essere riconosciuta, direttamente o indirettamente, attraverso attributi come nome, numero di identificazione, dati relativi all'ubicazione, identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In aggiunta al dato personale in senso stretto vanno considerati altre tre specifiche tipologie di dati (anch'essi soggetti al regolamento):
Il consenso - si legge nel GDPR - dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Ciò può tradursi in una dichiarazione orale o scritta, anche attraverso mezzi elettronici. In quest'ultimo caso, la richiesta deve essere "chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso": la selezione di apposite casella in un sito web è accettata, non altrettanto il silenzio, l'inattività o la preselezione di caselle.
Il regolamento precisa anche che il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, insomma, il consenso dovrebbe essere prestato per ciascuna di queste.
Un caso a sè riguarda i dati provenienti da minori, soggetti di età inferiore a 16 anni (o, in casi specifici, di 13 anni) che "possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali" e per i quali si parla di specifica protezione. Questa condizione speciale - che sul piano dell'autorizzazione si deve tradurre in un intervento del genitore (a meno che non si tratti di servizi di prevenzione o di consulenza forniti direttamente al minore) - dovrebbe riguardare, in particolare, l'utilizzo dei dati personali a fini di marketing o di creazione di profili di personalità o di utente.
Il titolare del trattamento - si legge ancora nel testo del GDPR - mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, le misure garantiscono che di default non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
Un interessato dovrebbe anche avere il diritto di accedere ai dati personali raccolti che lo riguardano, per essere consapevole del trattamento e verificarne la liceità, e di chiederne la rettifica o la cancellazione. Ciò include il diritto di accedere ai dati relativi alla salute (ad esempio cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati) e l'informativa sulla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento.
Tale diritto - puntualizza l'UE - non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all'interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d'informazioni riguardanti l'interessato, il titolare in questione dovrebbe poter richiedere che l'interessato precisi, prima che siano fornite le informazioni, l'informazione o le attività di trattamento cui la richiesta si riferisce.
E' importante notare che con il nuovo GDPR i titolari non devono solo garantire l'osservanza delle norme, ma anche dimostrare di metterle in pratica. Per questo motivo si introduce il concetto di "accountability", una vera e propria responsabilità sull'attuazione delle misure che prevede fra le altre cose una valutazione d'impatto della protezione dei dati (una valutazione del rischio a tutti gli effetti). Correlato ad essa è il Responsabile della protezione dei dati (DPO - Data Protecion Officer), una nuova figura che ha il compito di accertarsi che il titolare o il responsabile al trattamento dei dati osservino gli obblighi previsti.
Il nuovo testo introduce il cosiddetto diritto all’oblio, che consiste nella facoltà da parte dell’interessato di ottenere dal titolare del trattamento la cancellazione delle informazioni personali se:
Uno degli aspetti più significativi per gli utenti, e in particolare per gli utenti Internet, riguarda la cosiddetta portabilità dei dati, che definisce il diritto da parte dell’interessato di ricevere i dati personali forniti a un titolare del trattamento in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Tali dati, precisa inoltre il GDPR, potranno essere trasmesi a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti in prima istanza a condizione che il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati.
Fra i diritti dell'interessato c'è anche quello di ottenre il trasferimento dei dati in modo diretto (sempre che le condizioni tecniche lo consentano) ma non quello di avvalersi della portabilità nei casi in cui il trattamento sia necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Oltre a dotarsi di un Responsabile della protezione dei dati, il titolare del trattamento, sia esso un’azienda o una pubblica amministrazione, deve e stilare un Registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro, che può essere utilizzato dalle autorità competenti per un’eventuale attività di controllo, deve contenere:
In base allo specifico caso - ovvero in base alla natura dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche - il titolare e il responsabile del trattamento devono garantire alcune norme basilari di sicurezza. Rientrano fra queste:
Nel valutare l'adeguato livello di sicurezza, si legge nel testo del GDPR, occorre tenere conto dei "rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati".
Il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale è ammesso solo nel caso in cui sussistano adeguate condizioni di protezione. Tale conformità viene valutata dalla Commissione Europea sulla base di alcuni elementi fondamentali - come stato di diritto, rispetto dei diritti umani e delle libertà fondamentali, legislazione generale e settoriale - nonché sugli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale e sull'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti.
È compito di ogni Stato membro nominare una o più autorità pubbliche indipendenti preposte all'applicazione del regolamento, definita come autorità di controllo. Nello specifico: “L’autorità di controllo deve essere nominata dal parlamento, dal governo, dal capo di stato oppure da un on organismo indipendente incaricato della nomina a norma del diritto dello Stato membro”. Ogni stato deve provvedere a definire la durata del mandato (che non deve essere inferiore ai quattro anni) e l’eventuale rinnovabilità della carica.
L’UE ha inoltre stabilito che le singole autorità nazionali possano cooperare tra loro ed eventualmente con la Commissione stessa al fine di migliorare il livello di coerenza dell'applicazione, e ha istituito un Comitato Europeo (composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati o dai rispettivi rappresentanti) con funzioni speciali di orientamento e disciplina delle controversie.
In caso di violazione dei dati personali, il titolare del trattamento deve notificare l'accaduto all'autorità di controllo competente entro 72 ore dal momento in cui ne è venuto a conoscenza.
La notifica dovrebbe includere:
Alle autorità di controllo viene concessa la facoltà di:
Le sanzioni sono inflitte in funzione delle singole circostanze e in ogni caso tenendo conto di fattori quali natura, gravità, durata, categorie dati trattati, carattere doloso o colposo della violazione, misura adottate dal titolare o dal responsabile del trattamento. Sul piano pecuniario, le multe non possono superare i 10 milioni di euro, o fino al 2% del volume d'affari globale registrato nell'anno precedente, oppure fino a 20 milioni di euro o fino al 4% del volume d'affari.