GDPR: come mettersi in regola

Il diritto alla protezione dei dati personali è stato riconosciuto come diritto fondamentale dell’individuo dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea. Oggi è tutelato in particolare dal famoso GDPR (General Data Protection Regulation), ossia Regolamento UE 2016/679 che è stato adeguato ai sistemi legislativi degli Stati membri.

In Italia il GDPR è oggetto del Decreto legislativo 10 agosto 2018, n. 101. Già diversi anni prima è stato introdotta la prima forma di disciplina in materia privacy, attraverso il D.Lgs 30 giugno 2003, n. 196, meglio noto come Codice in materia di protezione di dati personali.

Le due normative attualmente convivono nel nostro Paese, anche se con l’avvento del GDPR il Codice privacy è stato parzialmente abrogato.

Dal 2018 le imprese italiane sono tenute obbligatoriamente ad adeguarsi al trattamento dei dati personali secondo i principi del Regolamento UE.

In aggiunta alle normative vigenti, va segnalata preliminarmente l’importanza delle Linee Guida del Garante Privacy (autorità di controllo in ambito privacy) che rappresentano una guida pratica e soprattutto aggiornata in materia privacy.

Che cos’è il dato personale e a chi si applica

Si tratta di “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art.8 GDPR), ovvero di informazioni che possono delineare le caratteristiche, le abitudini, lo stile di vita, la situazione economica di un soggetto.

Il GDPR non si applica al trattamento dei dati personali:

  1. effettuato per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione (per es. sicurezza nazionale);
  2. effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
  3. anonimi o anonimizzati;
  4. di persone giuridiche;
  5. di persone decedute

Soggetti coinvolti nel trattamento

L’interessato, rappresenta la persona fisica alla quale si riferiscono i dati personali che vengono trattati;

Il titolare è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il titolare deve mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare la conformità delle attività di trattamento con il GDPR e l’efficacia delle misure (art. 24 del GDPR).

Gli obblighi principali del titolare sono:

  • La tenuta del registro del trattamento (art. 30 del GDPR)
  • L’adozione di misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32 del GDPR)
  • La designazione di un DPO, nei casi previsti dal GDPR e/o dalle leggi nazionali (art. 37 del GDPR)

Il responsabile è la persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, n. 8 del GDPR).

Tra il primo e il secondo sussiste un contratto, proprio per delineare i margini di eventuali responsabilità di ognuno.

Il Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RDP) è il soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative, relativamente all’applicazione del GDPR (art. 37).

Può essere una figura interna o esterna rispetto all’azienda, in possesso di specifiche competenze informatiche e giuridiche ed è previsto obbligatoriamente per determinate categorie di imprese.

Dopo una prima descrizione dei soggetti coinvolti nel processo di adeguamento al GDPR, si procede a chiarire attraverso quali attività ne è garantita la correttezza.

1. Novità in ambito privacy

Le maggiori novità alle quali le imprese devono prestare particolare attenzione riguardano la responsabilizzazione e la progettazione del sistema di trattamento dei dati.

Accountability

Si intende “responsabilizzare il titolare del trattamento dei dati personali” (soprattutto in relazione al tema delle responsabilità per eventuali violazioni).

Secondo questo principio, il titolare del trattamento deve porre in essere delle tecniche adeguate per garantire e dimostrare la conformità del trattamento al GDPR, attraverso l’introduzione di Codici di condotta e il Meccanismo di certificazione.

Progettazione del sistema privacy: Privacy by design e by default (art. 25 del GDPR)

Nel primo caso, si intende prevedere già in fase di progettazione dei sistemi informatici e delle procedure aziendali, la necessità di tutelare i dati sensibili che vengono trattati

Sistema di privacy by default, fa invece riferimento al trattamento effettuato nella misura e per il tempo necessario a raggiungere le specifiche finalità.

2. Il trattamento dei dati personali

Il trattamento dei dati personali deve fondarsi sul rispetto di alcuni principi:

  • Liceità, correttezza e trasparenza: chi raccoglie i dati deve garantire che non vi sia violazione della legge e sia tutto chiaro agli interessati. Per assolvere questo onere, di regola ci si dovrebbe dotare di un’informativa sulla privacy che è un documento che spiega in maniera chiara le finalità di raccolta dei dati;
  • Limitazione delle finalità: la raccolta dei dati è finalizzata ad uno scopo preciso;
  • Minimizzazione dei dati: le organizzazioni possono elaborare solo i dati personali necessari al raggiungimento della finalità;
  • Esattezza dei dati raccolti;
  • Limitazione della conservazione: i dati personali vanno eliminati quando non sono più utili;
  • Integrità e riservatezza, vuol dire che i dati personali sono “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (art. 5 par. 1, lett. F);

3. Imprese e GDPR: come essere compliant?

Le imprese devono attivarsi e dotarsi di diversi strumenti per essere conformi ed evitare che vi siano reclami o ricorsi da parte degli interessati e di conseguenza sanzioni.

Per mettersi in regola è opportuno osservare delle regole.

3.1. Tenere un registro delle attività di trattamento (art. 30 GDPR).

Su questo punto è opportuno fermarsi per chiarire meglio cosa si intende e chi vi è tenuto.

È un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del GDPR) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento. Può avere forma scritta o elettronica.

Le imprese obbligate alla tenuta di un registro di trattamento sono:

  • Imprese o organizzazioni con almeno 250 dipendenti;
  • Qualunque titolare o responsabile (anche per imprese e organizzazioni con meno di 250 dipendenti) che effettui trattamenti:
    1. che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato
    2. non occasionali;
    3. delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR (dati relativi ad etnia, orientamento religioso, dati genetici, dati biomedici, ecc,) , o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

Per “organizzazioni” s’intendono le associazioni, le fondazioni e i comitati.

La tenuta di un registro, seppur non obbligatoria per tutti, è sempre consigliabile, soprattutto per evitare di incorrere nella cd. accountability del titolare o del responsabile, in quanto questo fornisce prova di conformità al GDPR.

Le piccole e medie imprese possono essere compliant attraverso il registro semplificato che risulta meno oneroso.

3.2. Disporre di informative e moduli di consenso.

Con l’informativa sono specificate le finalità del trattamento, la base giuridica e i legittimi interessi perseguiti. Deve essere chiara, completa e trasparente.

I moduli servono appunto per la raccolta del consenso. Esso consiste in una manifestazione di volontà libera e deve essere esplicito e separato. Dovrà essere predisposto un singolo articolo descrittivo per ogni singolo trattamento (fini contrattuali, marketing, sondaggi, offerte personalizzate).

3.3. Nominare alcuni soggetti:

  • Responsabile del trattamento;
  • DPO (art. 37 GDPR elenca i tipi di imprese per le quali è obbligatorio).
  • Individuare le persone autorizzate al trattamento dei dati personali e sottoporle ad una formazione adeguata,

3.4. Adempimenti tecnici:

  • Adeguamento del proprio sito web o e-commerce attraverso l’inserimento di appositi moduli di contatto, privacy policy, cookie policy;
  • Categorizzazione dei dati, come i dati sensibili e le loro finalità;
  • Munirsi di un adeguato sistema informatico che garantisca la cifratura (o crittografia) per garantire l’illeggibilità e la sicurezza dei dati;
  • Valutazione dei rischi privacy, individuando tipologie e quantità di dati coinvolti e definendo i rischi potenziali.

4. Sistema sanzionatorio

Il GDPR prevede rilevanti sanzioni di diversa natura in caso di violazione della normativa.

L’organo competente ad irrogare sanzioni è il Garante per la protezione dei dati personali (art. 15 comma 3 del d.lgs. 101/2018). Egli dovrà valutare la natura, la gravità, la durata della violazione, il carattere doloso o colposo della stessa, le categorie di dati personali interessate dalla violazione, ecc. in modo che le sanzioni siano sempre effettive, proporzionate e dissuasive (art. 83, coma 1, GDPR)

4.1. Ispezioni

Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali (art. 158 Codice privacy).

4.2. Sanzioni amministrative

Violazioni di minore gravità

In questa prima categoria, sono previste sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese (da intendersi come gruppo), fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le violazioni degli obblighi imposti ai seguenti soggetti:

  • il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR);
  • l’organismo di certificazione, Accredia;
  • l’organismo di controllo dei codici di condotta (art. 41 GDPR);

Violazione di maggiore gravità

La seconda categoria riguarda fattispecie più gravi, per le quali sono previste sanzioni pecuniarie  fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e riguardano nello specifico le seguenti violazioni:

  • dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  • dei diritti degli interessati a norma degli articoli da 12 a 22;
  • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
  • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR.

In base all’interpretazione data al GDPR, il Garante potrà in certi casi irrogare anche altri tipi di sanzioni, in aggiunta o in alternativa, dette sanzioni correttive. Ad esempio, in caso di violazione minore o se la sanzione pecuniaria costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto al trasgressore un ammonimento anziché imposta una sanzione pecuniaria (considerando 148 GDPR).

4.3. Sanzioni penali

Il Regolamento UE non prevede direttamente delle norme in materia penale ma consente agli Stati membri di poterne offrire previsione, nei limiti stabiliti dal Regolamento.

Il decreto del 2018 ha abrogato alcune norme relative a violazioni e sanzioni, previste dal precedente Codice sulla privacy del 2003, integrandone delle nuove.

Attualmente le sanzioni penali previste sono:

  • Trattamento illecito di dati (art. 167 codice privacy), pena la reclusione da sei mesi a un anno e sei mesi;
  • Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167 bis codice privacy), pena la reclusione da uno a sei anni;
  • Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167 ter codice privacy), pena la reclusione da uno a quattro anni;
  • Falsità nelle dichiarazioni al garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del garante (art. 168 codice privacy), pena la reclusione da sei mesi a tre anni;
  • Inosservanza di provvedimenti del garante (art. 170 codice privacy), pena la reclusione da tre mesi a due anni.

Le sanzioni dovranno sempre essere proporzionate alla redditività dell’azienda in modo da evitare una cessazione dell’attività.

4.5. Responsabilità civile

La norma cardine è l’art. 82 del GDPR, che disciplina la responsabilità civile nell’ambito del trattamento dei dati personali e sul diritto al risarcimento che ne consegue.

In precedenza, il Codice privacy collegava il trattamento illecito di dati personali alla responsabilità civile per attività pericolosa (art. 2050 c.c.) con relativo risarcimento del danno anche non patrimoniale.

Attualmente, il GDPR all’art. 82 prevede che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Ciò vuol dire che il risarcimento spetta a chiunque subisca un danno per qualsiasi violazione in ambito privacy ( e non solo al trattamento illecito).

La richiesta di risarcimento può essere proposta nei confronti del titolare, ma anche del responsabile del trattamento se risulti inadempiente agli obblighi imposti dal GDPR o abbia agito contrariamente alle istruzioni ricevute dal titolare.

Il titolare (o il responsabile del trattamento) è esonerato dalla responsabilità «se dimostra che l’evento dannoso non gli è in alcun modo imputabile».

L’imputabilità viene interpretata alla luce del principio dell’accountability. Come già accennato, il titolare è tenuto a mettere in atto, previa valutazione della natura, dell’ambito, del contesto e delle finalità del trattamento nonché dei rischi per gli interessati, le misure tecniche e organizzative adeguate. Egli dovrà inoltre essere in grado di dimostrare l’efficacia di dette misure.

Tra le misure tecniche e organizzative adeguate rientrano per esempio: la tenuta di un registro delle attività di trattamento, adesione a codici di condotta approvati, ricorso a responsabili del trattamento.

Sono esonerati da responsabilità solo quando si prova che l’evento dannoso si è verificato per caso fortuito o forza maggiore.

Ad ogni modo, l’interessato che si ritenga leso potrà agire chiedendo il risarcimento del danno a tutti i soggetti coinvolti nel trattamento, potendo a ciò conseguire una responsabilità solidale.

Per tale ragione risulta importante chiarire, al momento della sottoscrizione del contratto con il responsabile, gli obblighi specifici in capo ad ognuno.

Risarcimento del danno

I danni risarcibili possono riguardare:

  • la perdita del controllo dei dati personali;
  • la discriminazione, il furto o l’usurpazione d’identità;
  • perdite finanziarie;
  • decifratura non autorizzata della pseudonimizzazione;
  • pregiudizio alla reputazione;
  • perdita di riservatezza dei dati personali protetti da segreto professionale;
  • qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.

Il rispetto della privacy è divenuto un vero e proprio onere, al quale tutte le imprese sono tenute a conformarsi.

Se desideri ricevere assistenza in materia di Gestione, Pianificazione e Protezione del Patrimonio d’impresa, contatta il team di esperti di ObiettivoProfitto.it compilando semplicemente il Modulo di contatto in questa pagina.

CHIEDI UNA CONSULENZA
Tags articolo:compliance GDPR privacy

CONTATTACI

per richiedere la nostra assistenza







    Ho letto e accetto la Privacy Policy