GDPR: Facciamo chiarezza!


Print Friendly, PDF & Email

 

  1. IN ESTREMA SINTESI CON IL GDPR

  • Si introducono regole più chiare su informativa e consenso
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali
  • Poste le basi per l’esercizio di nuovi diritti
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
  • Fissate norme rigorose per i casi di violazione dei dati (Data Breach).

 

  1. A CHI SI APPLICA IL GDPR

Art. 2 GDPR: Ambito di applicazione materiale

“Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi…”

Una delle principali caratteristiche del Regolamento è che avrà un impatto su ogni impresa che utilizza dati personali dei cittadini europei, operante sul territorio dell’UE o meno.

Tutte le aziende, PMI ovunque stabilite, dovranno quindi rispettare le nuove regole.

Imprese ed enti avranno più responsabilità ed in caso di inosservanza delle regole rischieranno pesanti sanzioni.

 

Art. 3 GDPR: Ambito di applicazione territoriale

Il Regolamento si applica ad un’impresa quando ha:

  • uno stabilimento nell’Unione se il trattamento riguarda l’attività che viene svolta nello stabilimento. In questo caso non conta la nazionalità dell’interessato del trattamento né importa che vengano offerti servizi o beni nell’Unione;

oppure

  • uno stabilimento fuori dall’Unione, ma svolge un’attività (ad esempio monitoraggio o profilazione) o un’offerta di beni e servizi nell’Unione, destinata a soggetti che si trovano, anche in via temporanea, nell’Unione. Non conta invece la nazionalità di questi ultimi.

NB: È importante considerare che ai sensi del Regolamento lo “stabilimento” è anche la presenza di un rappresentante nell’Unione o lo svolgere alcune attività nell’Unione, come ad es. il “tracciamento dei consumatori”.

 

  1. IL REGISTRO DEL TRATTAMENTO DEI DATI: COSA CONTIENE E QUANDO È NECESSARIO

Il Regolamento Europeo 2016/679 prevede, all’articolo 30, un importante strumento di compliance aziendale, in materia di dati personali: il registro delle attività di trattamento dei dati personali.

Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”

 

  1. COSA DEVE CONTENERE IL REGISTRO DEL TRATTAMENTO DATI

  • Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati.
  • Le finalità del trattamento.
  • La descrizione delle categorie di interessati e delle categorie di dati personali.
  • Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi.
  • Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione.
  • I termini ultimi previsti per la cancellazione delle diverse categorie di dati.
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.

Questo registro rappresenta dunque una delle novità e, al tempo stesso, uno degli adempimenti più importanti concernenti le attività di trattamento.

Così, al titolare del trattamento è imposto l’obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge; quest’obbligo grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.

 

  1. CHI DEVE DOTARSI DI QUESTO STRUMENTO

L’obbligo di redazione e adozione del registro non è generale: infatti il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Inoltre, non bisogna ritenere che l’adozione del registro sia un mero obbligo, infatti la sua redazione potrebbe avere anche scopi ulteriori, diffondere informazione, consapevolezza e condivisione interna.

Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.

 

  1. DATA PROTECTION OFFICER

Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo Regolamento europeo per la protezione dei dati personali.

Il DPO in realtà è l’evoluzione del “privacy officer”, figura prevista dalla direttiva europea 95/46 laddove, all’art. 18, consentiva agli Stati dell’Unione di prevedere semplificazioni o esenzioni nei casi di designazione di un soggetto indipendente che garantisse l’applicazione della normativa.

Il DPO è quindi un consulente esperto, che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali, in tal modo si garantisce che un soggetto qualificato si occupi in maniera esclusiva della materia della protezione dei dati personali, aggiornandosi sui rischi e misure di sicurezza, in considerazione della crescente importanza e complessità del settore.

Il ruolo di DPO può essere affidato ad uno dei dipendenti dell’azienda ma può anche essere esternalizzato ad un fornitore di servizi (libero professionista o azienda) tramite apposito contratto di servizio, nel qual caso dovrà essere nominato anche responsabile del trattamento.

Il DPO è designato (art. 37) dal titolare o dal responsabile del trattamento, in base ad un contratto. La designazione dovrà essere comunicata all’Autorità di controllo nazionale.

Tale designazione è obbligatoria solo in tre casi:

  • Per amministrazioni ed enti pubblici (eccetto le autorità giudiziarie nell’esercizio delle loro funzioni).

Nel regolamento europeo non vi è una definizione di “autorità pubblica”, per cui occorrerà interpretare l’indicazione in base al diritto nazionale. In particolare il Gruppo Articolo 29 ha raccomandato la nomina del DPO anche per gli organismi privati incaricati dello svolgimento di pubbliche funzioni o che comunque esercitano pubblici poteri (es. forniture elettriche, trasporti pubblici).

  • Se l’attività principale svolta dal titolare o dal responsabile del trattamento consiste nel trattamento di dati che per la loro natura, oggetto o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala.

Il Gruppo di lavoro articolo 29 raccomanda di tenere in considerazione vari fattori, come il numero degli interessati (in termini assoluti o in percentuale rispetto alla popolazione di riferimento), il volume dei dati, le diverse tipologie di dati trattati, la durata del trattamento, e la portata geografica del trattamento. Per controllo (o monitoraggio) regolare e sistematico si deve intendere un controllo che avviene in modo continuativo o in un arco temporale ben definito, se ripetuto a intervalli constanti o in modo organizzato e metodico, oppure se realizzato in base ad una pianificazione strategica (es. servizi di telecomunicazione, marketing, geo-localizzazione, fidelizzazione, monitoraggio di dati sulla salute e forma fisica attraverso dispositivi indossabili, re-indirizzamento di email).

  • Se l’attività principale consiste nel trattamento su larga scala di dati sensibili, relativi alla salute, alla vita sessuale, genetici, giudiziari e biometrici. Il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale.

 

A cura di Benedetta Fantauzzi – Gruppo Governance, Risk e Compliance di OmnitechIT

 

Share