Informazioni generali e Sanzioni

Il GDPR è il nuovo Regolamento europeo sulla protezione dei dati personali, direttamente applicabile dal 25 maggio 2018, dopo l’entrata in vigore il 25 maggio 2016. Nasce per semplificare e uniformare la normativa in materia di Privacy in tutta Europa e garantire il diritto alla riservatezza e alla protezione dei dati personali ovvero:

• i dati sensibili: rivelano informazioni su razza, orientamento religioso, politico, sessuale, stato di salute, status economico e sociale;
• i dati identificativi: dati anagrafici, indirizzo di residenza, e immagini che consentono l’identificazione diretta di un soggetto. Tra questi il nuovo GDPR tutela anche gli identificativi online, tra cui indirizzo e-mail, cookies, indirizzi IP, dati sulla geolocalizzazione.

Il nuovo Regolamento Privacy si applica alle persone fisiche e giuridiche (liberi professionisti e aziende) che trattano dati personali di cittadini europei, all’interno o fuori dal territorio dell’Unione Europea, online o offline. Il GDPR tutela la privacy dei dati sia che siano trattati direttamente dall’azienda o dal libero professionista, sia che essi siano raccolti indirettamente, per mezzo di data processor (Facebook o Google Analytics).

Il GDPR ha introdotto importanti novità in materia di trattamento dei dati personali:

• figure specifiche responsabili dell’osservanza del trattamento dati;
• il consenso esplicito al trattamento dei dati (consensi diversificati in base a diverse finalità);
• i diritti dell’interessato del trattamento dati;
• sanzioni per inadempienza del Regolamento;

Il Regolamento pone particolare attenzione alla responsabilizzazione del titolare e al rispetto dei diritti e le libertà dell’interessato in relazione al Privacy Impact Assessment, ovvero l’analisi dell’origine, della natura e della gravità del rischio per la tutela del diritto alla protezione del dato.

Per le aziende che non provvedono agli adempimenti Privacy, il Regolamento ha previsto esclusivamente sanzioni amministrative pecuniarie; tuttavia, i singoli Stati possono decidere di adottare sanzioni penali (da sei mesi a tre anni) per il datore di lavoro inadempiente.

Le sanzioni variano in base a diversi fattori quali: natura, durata e gravità della violazione, il carattere doloso, le misure adottate dal titolare per attenuare i danni, eventuali precedenti violazioni. In relazione alla tipologia di violazione, sono state distinte sanzioni di due entità:

• sanzioni amministrative pecuniarie fino a 10.000.000 di euro o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (es. nel caso non vengano poste in essere adeguate misure di sicurezza dei dati);
• sanzioni amministrative pecuniarie fino a 20.000.000 di euro o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (es. in caso di violazione dei principi di base del trattamento, comprese le condizioni relative al consenso).

Inoltre le autorità hanno la facoltà di limitare o sospendere (temporaneamente o definitivamente) un trattamento, con la conseguenza dell’impossibilità di erogare il servizio.

Con il termine data breach si intende la violazione (intenzionale o meno) della sicurezza per la privacy di dati sensibili che comporti copia, furto, modifica, consultazione o perdita accidentale degli stessi.

Secondo le disposizioni del GDPR, in caso di data breach, il titolare del trattamento dati deve dare comunicazione della violazione alle autorità di controllo entro 72 ore dal momento in cui è venuto a conoscenza dell’accaduto. Se titolare e responsabile ritengono che i rischi siano alti, devono provvedere nel minor tempo possibile a informare gli utenti della violazione.

Al contrario, non è necessario effettuare la comunicazione se la violazione dei dati non comporta un rischio per i diritti e la libertà dell’interessato.

Tutte le violazioni (anche se non gravi) devono essere opportunamente riportate nel registro per il trattamento dati, in cui occorre riportare anche le conseguenze e i provvedimenti adottati. Il mancato rispetto degli adempimenti sul data breach può comportare sanzioni amministrative fino a 10 milioni di euro oppure il 2% del fatturato mondiale dell’azienda, relativo all’esercizio precedente.

Il GDPR ha semplificato e uniformato la normativa Privacy in Europa, definendo nuovi obblighi a tutela del diritto alla riservatezza e alla protezione dei dati personali. Di seguito si riportano i principali obblighi per rispondere ai nuovi adempimenti Privacy.

1. Data Protection Impact assessment nei processi attuali: quali dati si trattano? In quale fase si raccolgono? Dove si custodiscono? Quali sono i punti di maggiore vulnerabilità e criticità nel trattamento dati?
2. Gap Analysis per evidenziare lo scostamento tra le attuali procedure per la tutela della Privacy e gli adempimenti richiesti in conformità al GDPR;
3. Richiesta del consenso: libero, esplicito, specifico e non ambiguo
4. Redazione/aggiornamento dell’Informativa Privacy: semplice, trasparente e comprensibile, che riporti chiaramente quali dati saranno conservati e con quale finalità
5. Redazione di altra documentazione che riporti regole di accesso agli archivi, nomine delle figure designate per la Privacy, misure di sicurezza interne
6. Formazione del personale coinvolto nei processi di raccolta e gestione dati sui rischi legati al trattamento e sugli obblighi GDPR
7. Nomina del Data Protection Officer (DPO), quando è obbligatoriamente prevista

Il Data Protection Officer (DPO) è un professionista che ha conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati. Deve essere designato dal titolare del trattamento dei dati se le attività principali dell’azienda:

• richiedono monitoraggio regolare (continuo, ricorrente o ripetuto, es: Google Analytics) e sistematico (predeterminato, organizzato o metodico) degli interessati su larga scala;
• consistono nel trattamento, su larga scala, di dati sensibili o relativi a condanne penali e reati.

“Su larga scala” va inteso in termini di vasto numero di soggetti interessati, volume dei dati oggetto di trattamento; durata e portata geografica dell’attività di trattamento.

L’informativa privacy è un documento che rende consapevole l’interessato delle finalità e del periodo del trattamento dei dati che sta per fornire.

Il documento può essere cartaceo, un testo online o orale (l’ultima modalità può avvenire purché l’interessato sia d’accordo e la sua identità venga comprovata con altri mezzi). L’informativa deve essere visionata e approvata dall’utente prima del rilascio dei dati. Dopo l’entrata in vigore del nuovo Regolamento Privacy (diversamente da quanto accadeva prima), l’informativa privacy deve essere necessariamente concisa, trasparente e facilmente accessibile, scritta con un linguaggio chiaro e semplice e senza l’utilizzo di linguaggio legale.

Nel corpo dell’informativa privacy è necessario esplicitare:

• quali dati vengono raccolti;
• chi li sta raccogliendo;
• come li stanno raccogliendo;
• motivi e finalità della raccolta dati;
• con quali soggetti verranno condivisi i dati;
• per quanto tempo saranno collezionati i dati. La normativa stabilisce che i dati dovrebbero essere adeguati, pertinenti e limitati al minimo tempo necessario per le finalità del loro trattamento;
• modalità di cancellazione.

Il consenso al trattamento dati è l’atto con cui il Data Subject (proprietario dei dati) acconsente che questi vengano usati secondo finalità e periodo di tempo esplicitati all’interno dell’informativa privacy.

Secondo il Nuovo Regolamento GDPR il consenso deve avere queste caratteristiche:

• inequivocabile: se si trattano dati non sensibili, non è necessario che sia esplicito, può essere anche implicito ma mai tacito. Per esempio se un utente naviga in un sito web, gli verrà chiesto di accettare che quel sito raccolga cookies sul visitatore. Il visitatore chiudendo il banner, scorrendo la pagina o cliccando qualunque suo elemento, acconsente all’uso dei cookie (es. di consenso implicito). Se si tratta invece di dati sensibili il consenso deve essere sempre esplicito;
• libero: l’interessato deve poter acconsentire liberamente al trattamento dei dati, senza che il negato consenso comporti conseguenze negative. Nello specifico “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”, art. 7 del GDPR;
• specifico: le richieste di consenso devono essere differenziate per ogni obiettivo del trattamento dei dati. Se un cliente fornisce il proprio indirizzo e-mail per ricevere la conferma sull’ordine che ha effettuato e l’azienda vuole utilizzare la stessa email per inviargli offerte promozionali, sarà necessario che l’azienda distingua i due consensi;
• informato: l’interessato deve essere informato su quali dei dati forniti saranno trattati e per quale periodo; deve inoltre essere a conoscenza delle conseguenze del proprio consenso;
• verificabile: l’azienda deve sempre dimostrare che l’interessato ha fornito il consenso al trattamento di un determinato dato per un determinato fine;
• revocabile: l’interessato deve poter, in qualsiasi momento, revocare il consenso al trattamento dei dati personali.

I dati personali sono informazioni attraverso cui una persona fisica può essere identificata o identificabile; possono rivelare dettagli su abitudini, orientamenti, stile di vita, situazione economica ecc..

Nell’ambito del diritto alla riservatezza e alla protezione dei dati personali garantiti dal GDPR, sono particolarmente significativi:

• i dati sensibili: rivelano informazioni su razza, orientamento religioso, politico, sessuale, stato di salute, status economico e sociale;
• i dati identificativi: dati anagrafici, indirizzo di residenza e immagini che consentono l’identificazione diretta di un soggetto. Tra questi il nuovo GDPR tutela anche gli identificativi online, tra cui indirizzo e-mail, cookie, indirizzi IP, dati sulla geolocalizzazione.

Tutti coloro che raccolgono, trattano o profilano dati personali (sensibili o identificativi) di cittadini europei devono adeguarsi ai nuovi adempimenti Privacy.

Il Garante per la protezione dei dati personali o Garante della Privacy è un’autorità amministrativa indipendente istituita dalla legge sulla privacy n°675/1996, in seguito sostituita dal D.Lgs. 196/2003, con lo scopo di assicurare e tutelare il trattamento dei dati personali e di garantire il rispetto della dignità della persona. Tale organo è composto da quattro membri eletti dal Parlamento che possono rimanere in carica per un massimo di 7 anni.

L’articolo 154 del D.Lgs. 196/2003 individua tra i diversi compiti del Garante quelli di:

• controllare che i trattamenti dei dati personali siano effettuati nel rispetto delle norme di legge;
• ricevere ed esaminare ricorsi, reclami e segnalazioni;
• vietare i trattamenti illeciti o non corretti e, se necessario, disporne il blocco;
• promuovere la conoscenza della disciplina in materia di trattamento dei dati personali;
• erogare eventuali sanzioni amministrative e penali.

Nei casi in cui ci sia una violazione della privacy o una violazione dei diritti della persona, prima contattare il Garante, è necessario presentare istanza al responsabile o al titolare del trattamento dei nostri dati. L’interessato, trascorsi 30 giorni dall’invio, può rivolgersi al Garante se non ha ottenuto risposta o essa non è soddisfacente.

L’istanza può essere presentata direttamente al Garante senza prima rivolgersi al titolare solo quando il passare del termine sopra indicato provocherebbe un pregiudizio imminente e irreparabile, che deve essere provato.

Il Garante può essere contattato presentando una segnalazione, un reclamo, un ricorso.

• La segnalazione: gratuita e senza particolari formalità. È necessario fornire tutti gli elementi utili per una eventuale intervento.
• Il reclamo: può essere presentato solo utilizzando il modello e le istruzioni del Garante. È obbligatorio il pagamento dei diritti di segreteria.
• Il ricorso: ha effetti giuridici e deve contenere tutti gli elementi indicati nell’art. 147 del Codice della Privacy con firma autenticata. È obbligatorio il pagamento dei diritti di segreteria e il Garante può decidere di porre a carico di chi perde le spese del procedimento.

Il nuovo Regolamento GDPR ha disposto valutazioni di impatto autonome da parte del titolare del trattamento dei dati. Oggi l’intervento del Garante della Privacy avviene, quindi, principalmente ex post, successivamente alle valutazioni del titolare del trattamento.

L’art. 36 del GDPR prevede tuttavia la consultazione preventiva del Garante da parte del titolare del trattamento, qualora la valutazione d’impatto sulla protezione dei dati “indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”. Il Garante, entro otto settimane dal ricevimento della richiesta di consultazione (termine prorogabile di ulteriori sei settimane), fornisce un parere scritto al titolare del trattamento e, se previsto, al responsabile del trattamento.