Dopo la prima introduzione su cosa è il GDPR e a quali dati si applica,  approfondiamo oggi la nostra analisi del nuovo REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), comunemente chiamato General Data Protection Regulation o con l’acronimo GDPR, e ci focalizziamo in particolare su quello che è l’aspetto relativo agli obblighi, alla sicurezza, alle responsabilità, ai diritti e alle sanzioni.
Primi di iniziare vi ricordiamo che chi scrive non è un avvocato ma fa parte del Team che si occupa di consulenze GDPR all’interno di Viralbeat, al vostro servizio per offrire soluzioni mirate e personalizzate in materia.

Quali Responsabilità e principi bisogna rispettare nel GPDR?

Quello delle responsabilità è uno degli aspetti più importanti del GDPR, fermo restando la valutazione in relazione all’esercizio di attività pericolose, le giuste misure per la protezione dei dati personali devone essere provate dal titolare del trattamento.  Il punto principale è uno:  i dati personali sono di proprietà della persona fisica e hanno valore come parte integrante di essa.

I principi sono il cardine del GDPR ed indicano abbastanza chiaramente come e chi può trattare i dati personali. Tutto questo si fonda su tre concetti: liceità, correttezza, trasparenza.

Questo significa che i dati devono essere trattati in modo lecito. Diversi sono i casi che definiscono questa liceità, ed almeno uno di questi deve verificarsi:

• che sia espresso il consenso da parte dell’interessato al trattamento dei propri dati personali per una o più specifiche finalità, diventa così esplicito il volere della persona affinché i propri dati siano gestiti da chi ottiene il permesso;
• bisogna che vi sia un motivo affinché il trattamento dei dati sia necessario all’esecuzione di un contratto di cui l’interessato abbia dato consenso, vi sia quindi un reale motivo affinché i dati siano trattati e questi dati trattati siano realmente necessari affinché la parti in essere possano avere un rapporto;
• vi sia necessità del trattamento dei dati per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
• sorga la necessità di salvaguardare la vita dell’interessato o di un’altra persona;
• si debba svolgere un compito di interesse pubblico o comunque che sia connesso all’esecuzione di un esercizio pubblico svolto dal titolare del trattamento dei dati;
• esista la necessità ai fini del perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Fondamentalmente quello che si sta dicendo è che ci deve essere reale necessità per il trattamento dei dati, o almeno il consenso della persona fisica i cui dati sono trattati. Il GDPR in sé conferma quindi che ogni trattamento deve trovare fondamento in un’idonea base giuridica, inoltre da notare che per i dati sensibili il consenso deve essere esplicito,  mentre in generale non è necessario un consenso scritto, ma deve essere esplicito.

Come detto quindi il consenso per la raccolta dati deve essere esplicito (nella forma cosiddetta opt-in), e la sua richiesta deve essere fatta in modo che sia comprensibile e separatamente da altre dichiarazioni.  Come si vedrà anche più avanti il titolare del trattamento dovrà, in caso di dubbio, essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali, così anche se non si è obbligati viene fortemente consigliato che vi sia una forma scritta o comunque memorizzata di tale consenso. Inoltre è obbligatorio che chi ha prestato il consenso abbia modo, e detenga quindi il diritto, di revocare il proprio consenso in qualsiasi momento e con la stessa facilità con la quale tale consenso è stato dato.

Per ciò che riguarda la responsabilità di chi tratta i dati, vedremo altrove le figure atte a tale funzione, il concetto si sposta sul termine inglese Accountability, dando così ad esse l’obbligo di fare di tutto per evitare qualsiasi danno che possa derivare da un trattamento non corretto dei dati personali.

Come possono essere trattati i dati secondo il GDPR?

Una delle cose che meglio chiarisce il GDPR è come possono, ma sopratutto debbano, essere trattati i dati personali.  Oltre alla liceità, correttezza e trasparenza nominati nel paragrafo precedente, è chiaro che i dati personali possono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità, l’unico trattamento successivo che non rende incompatibile il trattamento è quello ai fini di ricerca scientifica, statistica, o di pubblico interesse.
Succede così che non si possono più raccogliere dati a caso, nè più del dovuto. Vi è una minimizzazione dei dati: essi devono essere adeguati, pertinenti e limitati a quanto necessario in relazione al fine.
Di fondamentale importanza è anche l’esattezza dei dati e la possibilità del loro aggiornamento, ciò significa che i dati personali in possesso da una azienda devono essere corrispondenti alla realtà ed in caso così non fosse la persona fisica deve poter chiedere ed ottenere l’aggiornamento o la rimozione. In termini di esattezza bisogna, quindi, che vi siano delle misure per cancellare o rettificare i dati inesatti in modo veloce e completo, facendo sì che si passi dal diritto all’oblio al diritto alla cancellazione. Oltre a ciò è anche obbligatorio dare la portabilità dei dati, cioè fornire strumenti che siano  in grado di far ottenere agli utenti i dati in possesso dal titolare del trattamento.
Per ciò che riguarda le tempistiche, la conservazione dei dati può avvenire in modo che l’identificazione possa avvenire entro un arco di tempo che non superi le finalità per le quali i dati stessi sono trattati.
Infine, molto importante è la sicurezza dei dati personali, infatti esse devono essere trattati in modo che siano protetti da trattamenti illeciti o dalla loro perdita, seppur accidentale, vi deve essere quindi integrità e riservatezza.

Quali obblighi e quali diritti sono previsti dal GPDR?

Gli obblighi maggiori previsti dal GDPR, oltre a quelli di trattamento e di sicurezza riportati sopra, sono per lo più derivanti da informative ed informazioni da dare all’interessato del trattamento. Più di prima vi è l’obbligo di informare gli utenti sui contatti di chi gestisce i dati, di chi è preposto alla loro protezione, di quali dati sono raccolti e del tempo di mantenimento di tali dati.
Si passa così alla possibilità di contestare, con tanto di decisioni automatizzate,  il possesso altrui di dati, in particolar modo si rientra totalmente in possesso di quello che è il dato atto ad identificare una persona fisica, compreso l’atto della profilazione.

Si entra così, in maniera quasi naturale in quella che viene definita Privacy by Design and by Default, cioè in tutte quelle caratteristiche che fanno si che il corretto trattamento, ma sopratutto la protezione dei dati, faccia parte di un processo aziendale in tutte le sue fasi, dallo sviluppo all’attuazione. Tutto questo si configura in modo predefinito ad un livello alto, garantendo così, almeno idealmente, un livello di privacy mai visto prima.

Si arriva alla parte relativa alla sicurezza, che fa si che quella dei dati raccolti deve obbligatoriamente essere garantita dal titolare e dal responsabile del trattamento, il tutto sia tramite misure tecniche che tramite misure organizzative, facendo si che il livello della sicurezza stessa sia adeguato al rischio. Inoltre, sorge l’obbligo in caso di data breach, ovvero di violazione dei dati, di rendere ciò noto alle autorità nazionali e di comunicarle entro 72 ore  del momento in cui se ne viene a conoscenza.

Entrano ora in gioco nuove figure, oltre al titolare del trattamento dei dati e al responsabile del trattamento dei dati, su tutti quella del DPO, il Data Protection Officer, che nella versione italiana diventa il Responsabile della protezione dei dati o RPD, ovvero quel soggetto che secondo il GDPR è  designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento (UE) 2016/679. Da notare che il DPO non è necessario in tutte le tipologie di aziende, ma sicuramente è consigliato che esista una figura equivalente anche dove non obbligatorio. Può essere nominato DPO solo una persona che sia esterna all’azienda, che abbia le competenze a ricoprire tale ruolo e che sia quasi in contrasto con il management aziendale, dove per contrasto si intende  un approccio continuo alla verifica e alla corretta interpretazione del GDPR.

Quali sanzioni si rischiano se non si rispetta il GPDR?

Nota dolente per le aziende, ma probabilmente sprono utile affinché esse diano il giusto risalto alla privacy e al trattamento dei dati personali, è quello relativo alle sanzioni. Il GPDR prevede sanzioni a diversi livelli, nel più semplice dei casi si parla di una semplice ammonizione, quando avviene una prima mancata osservanza che sia non intenzionale.  Vi è un secondo livello di controlli, quello degli accertamenti periodici e regolari. Infine, la sanzione pecuniaria prevede una multa fino a 10 milioni di euro, o fino al 2% del volume d’affari globale registrato nell’anno precedente in un caso, o fino a 20 milioni di euro o fino al 4% del volume d’affari in un altro caso. Sicuramente non si sta parlando di cifre poco consistenti e l’attenzione dovrebbe essere alta.

Finisce così questa prima panoramica sul GPDR, ma avremo modo di approfondire quanto prima le soluzioni tecniche e pratiche per essere in regola, oltre che andare più nel dettagli di alcune delle parti del regolamento. Intanto, vi ricordo sempre nel caso abbiate bisogno di maggiori informazioni o di una consulenza personalizzata di non esitare a contattarci.