top of page

Protezione dati personali: GDPR

Scopri cosa deve fare la tua organizzazione per rispettare le norme UE sulla protezione dei dati personali che entreranno in vigore il prossimo 25/05/2018


A pochi giorni dall'entrata in vigore del Regolamento (UE) 2016/679 (GDPR - General Data Protection Regulation) le aziende europee stentano ad essere compliance (1). Non solo l'85% delle imprese faticherà a rispettare i termini di conformità, ma una società su quattro corre il pericolo di non riuscire ad adeguarsi nemmeno entro la fine dell’anno.

A tutt'oggi inoltre si è in attesa di disposizioni dei singoli stati dell'unione, ed in Italia anche di procedure per le comunicazioni da effettuarsi al Garante privacy.

In questo articolo vengono fornite le seguenti informazioni circa i nuovi adempimenti in materia di privacy (GDPR) cui le aziende/organizzazioni sono obbligate a partire dal 25 maggio 2018:

  • Di cosa si tratta?

  • I dati oggetto della normativa

  • I soggetti interessati

  • Gli adempimenti per le imprese

  • Sanzioni

  • Attività promozionale senza consenso: un caso concreto

  • I nostri servizi in materia di GDPR

  • Fonti di riferimento

per maggiori informazioni contattaci.


Di cosa si tratta?

Il GDPR è un regolamento europeo (2016/6679) che stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati, il tutto con l'obiettivo di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.


I dati oggetto della normativa

La normativa europea per dato personale intende "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)". Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica,

culturale o sociale.

Adempimenti particolari sono inoltre previsti per il trattamento di dati sensibili, capaci di rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo

univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.


Per trattamento la normativa intende "qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione".


I soggetti interessati

Il regolamento si applica a:

  • un’azienda o ente che tratta dati personali nell’ambito delle attività di una delle sue filiali stabilite nell’UE, indipendentemente dal luogo in cui i dati sono trattati;

  • un’azienda stabilita al di fuori dell’UE e che offre beni/servizi (a pagamento o gratuiti) o monitora il comportamento delle persone nell’UE.

Se l'azienda è una piccola o media impresa (PMI) che tratta i dati personali come descritto sopra, dovrà assicurarsi di rispettare il regolamento. Tuttavia, se il trattamento dei dati personali non è una parte essenziale della attività d'impresa e quest’ultima non crea rischi per le persone, alcuni obblighi del GDPR non si applicheranno all'azienda (ad esempio, la nomina di responsabile della protezione dei dati). Va ricordato ad ogni modo che tra le "attività essenziali" rientrano le attività in cui l’elaborazione di dati costituisce una parte fondamentale dell’attività del titolare o del responsabile del trattamento.


Per titolare del trattamento la normativa intende "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri".


Per responsabile del trattamento si intende "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento".

La normativa impone in determinate situazioni la nomina del responsabile


Gli adempimenti per le imprese

Per le aziende/organizzazioni i principali adempimenti richiesti alle aziende/organizzazioni sono, senza alcuna pretesa di esaustività:

  1. l'istituzione e l'aggiornamento di un modello organizzativo privacy (guida ai processi, procedure e modulistica privacy);

  2. l'istituzione del responsabile del trattamento dei dati;

  3. l'istituzione del responsabile per la protezione dei dati e relative comunicazioni al garante per la privacy;

  4. la valutazione d'impatto sulla protezione dei dati;

  5. l'istituzione e l'aggiornamento continuo del registro delle attività di trattamento;

  6. l'istituzione e l'aggiornamento;

  7. la revisione e l'aggiornamento dei testi delle informative privacy e dei relativi consensi;

  8. la revisione dei test degli incarichi, delle nomine e dei data processing agreements;

  9. l'impostazione e redazione delle ulteriori nuove documentazioni rese obbligatorie dalla normativa;

  10. la predisposizione di procedure ad hoc per facilitare l'esercizio dei diritti dell'interessato (con tempi di riscontro dettati dalla norma in capo ad aziende/organizzazioni);

  11. l'obbligo alla formazione.


Adempimenti in caso di violazione dei dati

Una violazione dei dati si verifica quando i dati di cui un' azienda/organizzazione è responsabile subiscono un incidente di sicurezza con conseguente violazione della riservatezza, della disponibilità o dell’integrità.

Se ciò si verifica ed è probabile che la violazione costituisca un rischio per i diritti e le libertà di una persona, l'azienda/organizzazione deve informare l’autorità di vigilanza senza indebito ritardo e al più tardi entro 72 ore dopo aver preso conoscenza della violazione. Se l'azienda/organizzazione è responsabile del trattamento è necessario notificare ogni violazione di dati al titolare del trattamento.

Se la violazione dei dati comporta un rischio elevato per le persone interessate, devono essere tutte informate, a meno che non siano state adottate misure efficaci di protezione tecnica e organizzativa o altre misure che garantiscano che il rischio non si verifichi più.

Come organizzazione, è fondamentale attuare misure tecniche e organizzative adeguate per evitare possibili violazioni dei dati.


L'obbligo di valutazione d'impatto sulla protezione dati

È richiesta una valutazione d’impatto sulla protezione dei dati ogni volta che il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone. È necessaria una valutazione d’impatto almeno nei tre casi seguenti:

  • una valutazione sistematica ed esaustiva degli aspetti personali di una persona, compresa la profilazione;

  • il trattamento di dati sensibili su vasta scala;

  • il monitoraggio sistematico e su vasta scala degli spazi pubblici.

Le autorità nazionali per la protezione dei dati, di concerto con il comitato europeo per la protezione dei dati, possono fornire un elenco dei casi in cui è richiesta una valutazione d’impatto sulla protezione dei dati. La valutazione d’impatto deve essere eseguita prima del trattamento e va considerata come uno strumento vivo, non semplicemente come un esercizio una tantum. Laddove vi siano rischi residui che non possono essere mitigati dalle misure messe in atto, l’autorità di protezione dei dati deve essere consultata prima dell’inizio del trattamento.


Nomina del responsabile della protezione dei dati

Le aziende/organizzazioni, indipendentemente dal fatto che siano titolari del trattamento o responsabile del trattamento, devono nominare un responsabile della protezione dei dati se le attività principali comportano il trattamento di dati sensibili su vasta scala o comportano un monitoraggio su vasta scala, regolare e sistematico delle persone. A tale riguardo, il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale.

Le amministrazioni pubbliche hanno sempre l’obbligo di nominare un responsabile della protezione dei dati (ad eccezione dei tribunali che agiscono nell’esercizio delle loro funzioni giudiziarie).

Il responsabile della protezione dei dati può essere un membro del personale dell'organizzazione o può essere assunto esternamente sulla base di un contatto di servizio. Il responsabile della protezione dei dati può essere una persona o un’organizzazione.

Il responsabile della protezione dei dati assiste il titolare del trattamento o il responsabile del trattamento in tutte le questioni relative alla protezione dei dati personali. In particolare, il responsabile della protezione dei dati deve:

  • informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento, nonché ai loro dipendenti, sui loro obblighi ai sensi della legge sulla protezione dei dati;

  • verificare il rispetto da parte dell’organizzazione di tutta la legislazione in materia di protezione dei dati, anche per quanto riguarda gli audit, le attività di sensibilizzazione e la formazione del personale addetto al trattamento dei dati;

  • fornire consulenza in caso di esecuzione di una valutazione d’impatto sulla protezione dei dati e monitorarne le prestazioni;

  • fungere da punto di contatto per le richieste degli interessati relative al trattamento dei loro dati personali e all’esercizio dei loro diritti;

  • collaborare con le autorità di protezione dei dati e fungere da punto di contatto per le stesse su questioni relative al trattamento.

L’organizzazione deve coinvolgere il responsabile della protezione dei dati in modo tempestivo. Il responsabile della protezione dei dati non deve ricevere istruzioni dal titolare del trattamento né dal responsabile del trattamento per l’esercizio delle sue funzioni. Il responsabile della protezione dei dati riporta direttamente al più alto livello di gestione dell’organizzazione.


Obblighi e strumenti in caso di trasferimento dati

In un mondo globalizzato come quello odierno, si assiste a grandi quantità di trasferimenti transfrontalieri di dati personali, che a volte sono conservati su server in paesi diversi. La protezione offerta dal regolamento generale sulla protezione dei dati viaggia con i dati, il che significa che le norme di protezione dei dati personali continuano ad applicarsi indipendentemente dal luogo in cui arrivano i dati. Ciò vale anche quando i dati vengono trasferiti in un paese che non è uno Stato membro dell'UE (che è quindi un paese terzo).

Il GDPR fornisce diversi strumenti per disciplinare i trasferimenti di dati dall’UE verso un paese terzo:

  • talvolta, una decisione della Commissione europea («decisione di adeguatezza») può sancire che un determinato paese terzo è in grado di offrire un adeguato livello di protezione nel senso che è possibile trasferire dati a un’altra società in quel paese terzo senza che l’esportatore dei dati sia tenuto a fornire ulteriori garanzie o sia soggetto a condizioni supplementari. In altre parole, i trasferimenti verso un paese terzo «adeguato» saranno assimilati a una trasmissione di dati all’interno dell’UE;

  • in mancanza di una decisione di adeguatezza, il trasferimento può aver luogo mediante la fornitura di garanzie adeguate e a condizione che le persone dispongano di diritti esecutivi e mezzi di ricorso efficaci. Tali garanzie adeguate comprendono, tra l’altro, quanto segue:

  • nel caso di un gruppo di imprese o di gruppi di aziende che esercitano un’attività economica congiunta, le aziende possono trasferire dati personali sulla base delle cosiddette norme vincolanti d’impresa;

  • accordi contrattuali con il destinatario dei dati personali, ad esempio utilizzando le clausole contrattuali tipo approvate dalla Commissione europea;

  • l’osservanza di un codice di condotta o di un meccanismo di certificazione, unitamente all’ottenimento da parte del destinatario di impegni vincolanti ed esecutivi ad applicare le opportune garanzie per proteggere i dati trasferiti;

  • infine, se è previsto un trasferimento di dati personali verso un paese terzo che non è soggetto a una decisione di adeguatezza e se mancano garanzie appropriate, può essere effettuato un trasferimento basato su una serie di deroghe per situazioni specifiche, ad esempio quando una persona ha esplicitamente acconsentito al trasferimento proposto dopo aver ricevuto tutte le informazioni necessarie sui rischi associati al trasferimento.


Sanzioni

Il regolamento generale sulla protezione dei dati fornisce diverse alternative alle autorità per la protezione dei dati in caso di inosservanza delle norme sulla protezione dei dati:

  • possibile violazione: potrà essere emesso un avvertimento;

  • violazione: le possibilità comprendono un ammonimento, un divieto temporaneo o definitivo di trattamento e una sanzione pecuniaria fino a 20 milioni di euro, pari al 4 % del fatturato totale annuo mondiale dell’azienda.

Si noti che, in caso di violazione, l’autorità per la protezione dei dati può imporre una sanzione pecuniaria al posto o in aggiunta all’ammonimento e/o al divieto di trattamento.

L’autorità deve garantire che le sanzioni imposte in ogni singolo caso siano effettive, proporzionate e dissuasive. Terrà conto di una serie di fattori quali la natura, la gravità e la durata della violazione, il suo carattere doloso o colposo, qualsiasi azione intrapresa per attenuare il danno subito dagli interessati, il grado di cooperazione dell’organizzazione ecc..


Il risarcimento per danni

Inoltre le persone possono richiedere un risarcimento se una società o un’organizzazione non ha rispettato il regolamento sulla protezione dei dati e se hanno subito danni materiali, quali perdite finanziarie, o danni non materiali, come perdita di reputazione e stress psicologico. Il GDPR garantisce che saranno risarcite, indipendentemente dal numero di organizzazioni coinvolte nel trattamento dei loro dati. Il risarcimento può essere chiesto direttamente all’organizzazione o dinanzi ai tribunali nazionali competenti. L’azione è promossa dinanzi alle autorità giurisdizionali dello Stato membro dell’UE in cui sono stabiliti il titolare del trattamento o il responsabile del trattamento, o in cui vive (ha la residenza abituale) il cittadino che chiede il risarcimento.



Attività promozionale senza consenso: un caso concreto

Sanzione pari a 840.000,00 euro comminata dal garante della Privacy ad una nota società di telecomunicazioni rea di aver fondato una vera e propria campagna promozionale sul recall ad ex clienti.

La società infatti ricontattava un elevato numero di vecchi clienti che le avevano negato il consenso al trattamento dei dati personali per finalità promozionali o non lo avevano mai concesso. Scopo della campagna propagandistica era quello di verificare un eventuale cambiamento di interesse da parte degli ex clienti.

Il Garante della Privacy, con il provvedimento del 22 giugno 2016, confermato dal Tribunale di Milano che ha rigettato il ricorso della società avverso la decisione dell’Autorità, ha accertato che la società svolgeva un illecito trattamento di dati personali, in quanto mancante del consenso degli interessati del trattamento e con l’ordinanza del 18 gennaio 2018 ha ingiunto alla società il pagamento della sanzione.

Si è trattato di un comportamento contrario alla disciplina sulla privacy che gli operatori economici sono tenuti a rispettare, ma non solo.

La società stessa infatti era stata destinataria di un altro provvedimento del Garante nel 2007, in base al quale essa avrebbe dovuto adottare le doverose misure per rendersi compliance rispetto alla normativa sul trattamento dei dati personali da essa effettuato, con specifico riferimento alle operazioni di marketing e pubblicità svolte attraverso chiamate commerciali ai clienti.

La società avrebbe dovuto chiedere il consenso ai clienti alla ricezione delle chiamate promozionali, mantenendo traccia di tale consenso, prima di avviare il trattamento e quindi la campagna promozionale, come richiesto dal Codice Privacy e come fortemente auspicato dal GDPR che richiama gli operatori ad una condotta maggiormente responsabile sul trattamento dei dati.

Secondo il Garante, peraltro la condotta della società sarebbe stata pienamente consapevole e non basata su mera negligenza, infatti essendo essa già stata ammonita dall’Autorità e avendo interloquito con la stessa in diverse occasioni, avrebbe acquisito le linee guida per operare rettamente nel rispetto delle norme, dei provvedimenti e dell’orientamento del Garante della Privacy.


I nostri servizi in materia di GDPR

Supportiamo i clienti per l'adeguamento al cambiamento in ottica GDPR, organizzando o integrandoci con team multidisciplinari (legali, tecnici informatici, ecc.).

Le attività di supporto si estendono a tutto il processo di adeguamento oltre che a singole fasi dello stesso ed in particolare:

  • Valutazione preventiva (due diligence e gap analysis privacy) del sistema di trattamento dei dati personali dell'organizzazione;

  • Consulenza ed assistenza nella definizione del modello di organizzazione privacy (audit dei dati personali e sensibili trattati, dei processi, delle procedure aziendali fisiologiche e patologiche, della documentazione - informative, consensi e nomine -, ecc.);

  • Consulenza ed assistenza nella definizione dell'assetto di governance dell'organizzazione in ordine ai ruoli ed alle responsabilità imposte dal GDPR;

  • Valutazioni di impatto sulla protezioni dei dati (data protection impact assessment);

  • Consulenza ed assistenza finalizzata alle eventuali consultazioni preliminari innanzi al Garante.

Per maggiori informazioni contattaci.


Fonti e link di riferimento

  • Parlamento UE; testo GDPR (Regolamento 2016/679);

  • Commissione UE: norme per la protezione dei dati personali all’interno e all’esterno dell’UE scopri di più;

  • Garante privacy: regolamento europeo pagina informativa, scopri di più.

  • (1) Fonte studio del Digital Transformation Institute di Capgemini del 16 maggio 2018.


Post recenti

Mostra tutti
bottom of page