GDPR: tutto quello che c'è da sapere in 12 punti
L'informativa, il consenso, gli obblighi (e le sanzioni) per i titolari: cosa dice il nuovo regolamento europeo per il trattamento dei dati personali
Aggiornato il 25/05/2018
Il GDPR (General Data Protection Regulation) è ufficialmente il nuovo riferimento normativo sulla privacy. Dopo 2 anni di "periodo di grazia", dunque, il nuovo Regolamento europeo per il trattamento dei dati personali è diventato a tutti gli effetti vigente.
Da oggi, in pratica, tutte le società e le pubbliche amministrazioni che richiedono i dati personali per offrire servizi e prodotti, devono sottostare alle nuove regole fissate dall'Europa. Ce ne siamo accorti in questi giorni guardando le tante comunicazioni piovute nella nostra casella di posta che hanno provato a spiegarci (in modo a volte piuttosto confusionario) quali saranno d'ora in poi i nuovi diritti e doveri in materia di trattamento dei dati.
In linea di massima si può dire che il ruolo del GDPR sia quello di radunare e armonizzare tutte le precedenti norme (comunitarie e non), compresa la vecchia Direttiva 95/46/EC sulla protezione dei dati e il codice per la protezione dei dati personali e il dlgs.n. 196/2003 (che viene abrogato ma solo per le parti in contrapposizione con il nuovo regolamento).
L'idea è dunque quella di fornire alle autorità locali un nuovo strumento di riferimento che sancisca in modo unico e inoppugnabile le regole per il trattamento dei dati. Ai singoli Paesi è comunque concessa la facoltà di legiferare per adeguarsi al nuovo quadro normativo, cosa che verrà fatta anche in Italia con un decreto legislativo ancora in fase di completamento.
1. GDPR: cosa definisce il nuovo regolamento
Il nuovo regolamento (GDPR 2016/679) interviene su sei punti chiave della disciplina sul trattamento dei dati. E cioé:
- Ambito di applicazione del regolamento
- Categorie di dati soggette alle nuove norme
- Consenso: ovvero come si esplicita l’autorizzazione al trattamento dei dati da parte dell’interessato
- Responsabilità: intesa come insieme di obblighi del titolare del trattamento nei confronti degli interessati (e delle autorità)
- Sicurezza: norme (tecniche e procedurali) per garantire l’inviolabilità dei dati
- Controlli e sanzioni: chi vigila sul corretto trattamento dei dati e quali sono le pene in caso di inadempienze
2. GDPR: quando si applica (e quando no)
Il nuovo regolamento europeo disciplina il trattamento dei dati personali relativi alle persone nell'UE, da parte di persone, società o organizzazioni. Nello specifico, si legge nel documento ufficiale pubblicato sulla Gazzetta dell'UE, si applica al "trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi".
Ovviamente, trattandosi di regolamento europeo, l’atto vale solo per il trattamento dei dati personali di interessati che si trovano all'interno dell'Unione Europea (ma, attenzione, non è necessario che il trattamento avvenga all'interno dei confini europei), oppure quando le attività di trattamento riguardano:
- Offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato;
- Monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
Il GDPR non si applica al trattamento dei dati personali di persone decedute o di persone giuridiche. Non rientrano nel regolamento neppure i dati trattati per motivi strettamente personali o per attività svolte in casa (come nel caso di un individuo che utilizza la propria rubrica privata per invitare gli amici via e-mail a una festa), a condizione che non vi sia alcun legame con attività professionali o commerciali.
3. Quali dati possono essere definiti personali
Il dato personale viene definito come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Per "identificabile" si intende la persona fisica che può essere riconosciuta, direttamente o indirettamente, attraverso attributi come nome, numero di identificazione, dati relativi all'ubicazione, identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In aggiunta al dato personale in senso stretto vanno considerati altre tre specifiche tipologie di dati (anch'essi soggetti al regolamento):
- Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica;
- Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica;
- Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
4. Come va espresso il consenso
Il consenso - si legge nel GDPR - dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Ciò può tradursi in una dichiarazione orale o scritta, anche attraverso mezzi elettronici. In quest'ultimo caso, la richiesta deve essere "chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso": la selezione di apposite casella in un sito web è accettata, non altrettanto il silenzio, l'inattività o la preselezione di caselle.
Il regolamento precisa anche che il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, insomma, il consenso dovrebbe essere prestato per ciascuna di queste.
Un caso a sè riguarda i dati provenienti da minori, soggetti di età inferiore a 16 anni (o, in casi specifici, di 13 anni) che "possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali" e per i quali si parla di specifica protezione. Questa condizione speciale - che sul piano dell'autorizzazione si deve tradurre in un intervento del genitore (a meno che non si tratti di servizi di prevenzione o di consulenza forniti direttamente al minore) - dovrebbe riguardare, in particolare, l'utilizzo dei dati personali a fini di marketing o di creazione di profili di personalità o di utente.
5. Responsabilità
Il titolare del trattamento - si legge ancora nel testo del GDPR - mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, le misure garantiscono che di default non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
Un interessato dovrebbe anche avere il diritto di accedere ai dati personali raccolti che lo riguardano, per essere consapevole del trattamento e verificarne la liceità, e di chiederne la rettifica o la cancellazione. Ciò include il diritto di accedere ai dati relativi alla salute (ad esempio cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati) e l'informativa sulla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento.
Tale diritto - puntualizza l'UE - non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all'interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d'informazioni riguardanti l'interessato, il titolare in questione dovrebbe poter richiedere che l'interessato precisi, prima che siano fornite le informazioni, l'informazione o le attività di trattamento cui la richiesta si riferisce.
E' importante notare che con il nuovo GDPR i titolari non devono solo garantire l'osservanza delle norme, ma anche dimostrare di metterle in pratica. Per questo motivo si introduce il concetto di "accountability", una vera e propria responsabilità sull'attuazione delle misure che prevede fra le altre cose una valutazione d'impatto della protezione dei dati (una valutazione del rischio a tutti gli effetti). Correlato ad essa è il Responsabile della protezione dei dati (DPO - Data Protecion Officer), una nuova figura che ha il compito di accertarsi che il titolare o il responsabile al trattamento dei dati osservino gli obblighi previsti.
6. Cos’è il diritto all’oblio
Il nuovo testo introduce il cosiddetto diritto all’oblio, che consiste nella facoltà da parte dell’interessato di ottenere dal titolare del trattamento la cancellazione delle informazioni personali se:
- I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- L’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
- L’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
- I dati personali sono stati trattati illecitamente;
- I dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- I dati personali sono stati raccolti quando l'interessato era minore e dunque non pienamente consapevole dei rischi derivanti dal trattamento.
7. Cos’è il diritto alla portabilità dei dati
Uno degli aspetti più significativi per gli utenti, e in particolare per gli utenti Internet, riguarda la cosiddetta portabilità dei dati, che definisce il diritto da parte dell’interessato di ricevere i dati personali forniti a un titolare del trattamento in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Tali dati, precisa inoltre il GDPR, potranno essere trasmesi a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti in prima istanza a condizione che il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati.
Fra i diritti dell'interessato c'è anche quello di ottenre il trasferimento dei dati in modo diretto (sempre che le condizioni tecniche lo consentano) ma non quello di avvalersi della portabilità nei casi in cui il trattamento sia necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
8. Registro delle attività
Oltre a dotarsi di un Responsabile della protezione dei dati, il titolare del trattamento, sia esso un’azienda o una pubblica amministrazione, deve e stilare un Registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro, che può essere utilizzato dalle autorità competenti per un’eventuale attività di controllo, deve contenere:
- Il nome e i dati di contatto del titolare del trattamento;
- Le finalità del trattamento;
- Una descrizione delle categorie di interessati e delle categorie di dati personali;
- Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate;
- I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- Una descrizione generale delle misure di sicurezza adottate.
9. Quali misure devono essere utilizzate per garantire la sicurezza dei dati
In base allo specifico caso - ovvero in base alla natura dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche - il titolare e il responsabile del trattamento devono garantire alcune norme basilari di sicurezza. Rientrano fra queste:
- La pseudonimizzazione e la cifratura dei dati personali;
- La capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- La capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
- Una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative.
Nel valutare l'adeguato livello di sicurezza, si legge nel testo del GDPR, occorre tenere conto dei "rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati".
Il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale è ammesso solo nel caso in cui sussistano adeguate condizioni di protezione. Tale conformità viene valutata dalla Commissione Europea sulla base di alcuni elementi fondamentali - come stato di diritto, rispetto dei diritti umani e delle libertà fondamentali, legislazione generale e settoriale - nonché sugli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale e sull'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti.
10. Chi controlla
È compito di ogni Stato membro nominare una o più autorità pubbliche indipendenti preposte all'applicazione del regolamento, definita come autorità di controllo. Nello specifico: “L’autorità di controllo deve essere nominata dal parlamento, dal governo, dal capo di stato oppure da un on organismo indipendente incaricato della nomina a norma del diritto dello Stato membro”. Ogni stato deve provvedere a definire la durata del mandato (che non deve essere inferiore ai quattro anni) e l’eventuale rinnovabilità della carica.
L’UE ha inoltre stabilito che le singole autorità nazionali possano cooperare tra loro ed eventualmente con la Commissione stessa al fine di migliorare il livello di coerenza dell'applicazione, e ha istituito un Comitato Europeo (composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati o dai rispettivi rappresentanti) con funzioni speciali di orientamento e disciplina delle controversie.
11. Cosa succede in caso di perdita dei dati (data breach)
In caso di violazione dei dati personali, il titolare del trattamento deve notificare l'accaduto all'autorità di controllo competente entro 72 ore dal momento in cui ne è venuto a conoscenza.
La notifica dovrebbe includere:
- Una descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- La comunicazione con il nome e i dati di contatto del responsabile della protezione dei dati;
- Una descrizione delle probabili conseguenze della violazione dei dati personali;
- Una spiegazione dele misure adottate (o in via di adozione) da parte del titolare del trattamento per porre rimedio alla violazione o per attenuarne i possibili effetti negativi.
12. Quali sono le sanzioni per chi non adempie
Alle autorità di controllo viene concessa la facoltà di:
- Condurre indagini sotto forma di attività di revisione sulla protezione dei dati;
- Ottenere dal titolare del trattamento o dal responsabile del trattamento l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei propri compiti;
- Imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento, la rettifica e la cancellazione degli stessi.
Le sanzioni sono inflitte in funzione delle singole circostanze e in ogni caso tenendo conto di fattori quali natura, gravità, durata, categorie dati trattati, carattere doloso o colposo della violazione, misura adottate dal titolare o dal responsabile del trattamento. Sul piano pecuniario, le multe non possono superare i 10 milioni di euro, o fino al 2% del volume d'affari globale registrato nell'anno precedente, oppure fino a 20 milioni di euro o fino al 4% del volume d'affari.
Per saperne di più
- GDPR: cosa cambia per utenti, aziende e pubbliche amministrazioni
- GDPR: cosa cambia per gli utenti Apple
- Facebook, gli utenti, i big data: chi ha più colpe nel caso Cambridge Analytica