GDPR: cos’è e a cosa serve

Il Regolamento Generale sulla Protezione dei Dati, noto come GDPR, è una normativa emanata dall’Unione Europea e attuata il 25 maggio 2018. Questo regolamento mira principalmente a salvaguardare i dati personali e la privacy dei cittadini dell’UE, unificando le leggi sulla protezione dei dati nei vari Stati membri e conferendo agli individui un maggiore controllo sui propri dati personali. Oltre a ciò, il GDPR agevola il contesto normativo per le aziende che operano a livello internazionale. In questa guida scopriremo tutto quello che c’è da sapere sul GDPR e come applicarlo correttamente nelle diverse organizzazioni.

Regolamento GDPR: ambito di applicazione

Il regolamento GDPR si applica nelle seguenti circostanze:

• Organizzazioni con sede nell’UE: Quando il trattamento dei dati personali è eseguito da un’organizzazione situata nell’UE, indipendentemente dal luogo in cui i dati sono conservati. Ciò include qualsiasi entità operante all’interno dei confini dell’Unione Europea, assicurando che i dati personali dei cittadini siano protetti secondo gli standard stabiliti dal GDPR.
• Individui nell’UE: Quando il trattamento dei dati personali riguarda individui presenti nell’UE, anche se l’organizzazione che gestisce i dati non ha sede nell’UE. Questo implica che qualsiasi azienda, ovunque situata, deve rispettare le normative del GDPR se gestisce dati di residenti nell’UE.
• Offerta di beni o servizi: Quando i dati personali sono trattati in relazione all’offerta di beni o servizi a cittadini dell’UE o al monitoraggio del loro comportamento all’interno dell’UE. Questo comprende attività come l’e-commerce, il marketing online o qualsiasi altro servizio rivolto ai residenti dell’UE, garantendo che i loro dati siano utilizzati in modo trasparente e sicuro.

Questi criteri assicurano che il GDPR abbia una portata ampia e globale, proteggendo i dati personali degli individui nell’UE, indipendentemente da dove risiedano le organizzazioni che trattano tali dati.

Quando non si applica il GDPR

Il regolamento GDPR non si applica invece nelle seguenti situazioni:

• Attività personali o domestiche: Quando il trattamento dei dati è eseguito da un individuo per scopi strettamente personali o domestici, come la gestione delle finanze familiari o la conservazione di un album fotografico privato. In questi casi, l’uso dei dati rimane confinato alla sfera privata e non rientra nell’ambito del GDPR.
• Dati anonimi: Quando i dati trattati sono resi completamente anonimi, in modo che l’individuo non possa essere identificato né direttamente né indirettamente. Questo garantisce la piena tutela della privacy, poiché i dati anonimi non ricadono sotto le normative del GDPR.
• Organizzazioni fuori dall’UE: Quando le organizzazioni hanno sede al di fuori dell’UE e non trattano dati relativi a individui presenti nell’UE. Questo esclude ogni forma di raccolta, elaborazione o conservazione di informazioni personali riguardanti cittadini europei, liberando tali organizzazioni dagli obblighi imposti dal GDPR.

Queste esenzioni assicurano che il GDPR si concentri sulla protezione dei dati personali laddove sia più rilevante, senza imporre regolamenti inutili in contesti dove non sono necessari.

Le basi giuridiche della Legge Privacy

Le basi giuridiche per il trattamento dei dati personali secondo il GDPR comprendono:

• Consenso dell’interessato: il trattamento dei dati è permesso solo se l’individuo ha dato il suo consenso in maniera libera, chiara e informata. Questo garantisce che la persona sia consapevole e d’accordo con l’uso dei propri dati.
• Esecuzione di un contratto: il trattamento è legittimo quando è essenziale per l’esecuzione di un contratto a cui l’individuo è parte o per realizzare misure precontrattuali richieste dall’individuo stesso. Ciò assicura che i dati siano usati per rispettare gli impegni contrattuali.
• Adempimento di obblighi legali: i dati possono essere trattati quando è necessario per conformarsi a un obbligo legale a cui il responsabile del trattamento è soggetto. Questo permette l’uso dei dati per rispettare leggi e regolamenti.
• Protezione di interessi vitali: il trattamento è consentito se è indispensabile per proteggere gli interessi vitali dell’individuo o di un’altra persona fisica, come in situazioni di emergenza medica.
• Funzione pubblica o interesse pubblico: i dati possono essere trattati quando è necessario per eseguire un compito di interesse pubblico o nell’esercizio di un’autorità ufficiale conferita al responsabile del trattamento. Questo include l’uso dei dati per scopi governativi e di servizio pubblico.
• Interessi legittimi: il trattamento è legittimo se è necessario per tutelare i legittimi interessi del responsabile del trattamento o di terzi, a meno che tali interessi non siano superati dai diritti e dalle libertà fondamentali dell’individuo. Questo equilibrio permette l’uso ragionevole e giustificato dei dati.

Queste basi giuridiche assicurano che il trattamento dei dati personali avvenga in modo legittimo, trasparente e rispettoso dei diritti degli individui.

Il concetto di consenso e il registro dei consensi

Il consenso deve essere:

• Libero: privo di qualsiasi forma di coercizione o pressione.
• Specifico: relativo a ogni singola finalità del trattamento dei dati.
• Informato: basato su una comprensione completa delle informazioni fornite.
• Inequivocabile: esplicitamente espresso in maniera chiara e indiscutibile.

Un esempio di best practice per la raccolta del consenso è utilizzare un modulo di consenso dettagliato con caselle di controllo non preselezionate per ogni tipo di trattamento dei dati.

Le organizzazioni devono inoltre tenere traccia dei consensi raccolti, registrando chi ha dato il consenso, quando, come e per quali finalità, creando un Registro dei consensi. In questo caso è opportuno implementare un sistema automatizzato per la gestione e l’archiviazione dei consensi, includendo timestamp e dettagli sul trattamento autorizzato.

I diritti degli utenti secondo il GDPR

Gli utenti hanno diritti specifici secondo il regolamento GDPR, che includono:

• Diritto di accesso: gli utenti possono richiedere di vedere quali dati personali vengono trattati e ottenere una copia di questi dati. Questo garantisce trasparenza e permette di verificare la legittimità del trattamento.
• Diritto di rettifica: gli utenti hanno il diritto di correggere i propri dati personali se sono inesatti o incompleti, assicurando che le informazioni siano sempre aggiornate e accurate.
• Diritto alla cancellazione (diritto all’oblio): gli utenti possono richiedere la cancellazione dei propri dati personali in determinate circostanze, come quando i dati non sono più necessari per gli scopi per cui sono stati raccolti. Questo diritto contribuisce a proteggere la privacy degli utenti.
• Diritto di limitazione del trattamento: gli utenti possono chiedere di limitare il trattamento dei propri dati personali in determinate situazioni, come quando contestano l’accuratezza dei dati. La limitazione permette di conservare i dati senza utilizzarli fino alla risoluzione della questione.
• Diritto alla portabilità dei dati: gli utenti possono ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico e trasmetterli a un altro titolare del trattamento. Questo facilita la migrazione dei dati tra diversi servizi.
• Diritto di opposizione: gli utenti possono opporsi al trattamento dei propri dati personali per motivi legati alla loro situazione particolare, come il trattamento per finalità di marketing diretto. Questo offre un maggiore controllo sugli usi dei propri dati.
• Diritto di non essere sottoposto a decisioni automatizzate: gli utenti hanno il diritto di non essere soggetti a decisioni basate unicamente su trattamenti automatizzati che producono effetti giuridici o simili, come la profilazione. Questo protegge dagli impatti negativi delle decisioni automatizzate senza intervento umano.

GDPR in Italia: il ruolo del Garante della Privacy

Il Garante della Privacy è un’autorità indipendente incaricata di monitorare l’applicazione del regolamento GDPR. Questo ente fornisce consulenza su questioni inerenti la protezione dei dati e collabora a livello internazionale con altre autorità per assicurare un’armonizzazione globale delle normative. Il Garante ha inoltre il potere di condurre indagini su possibili violazioni, emettere sanzioni e suggerire modifiche alle pratiche di gestione dei dati delle aziende.

Per agevolare la conformità delle imprese al GDPR, il Garante della Privacy pubblica regolarmente linee guida che descrivono i passaggi necessari da seguire. Tra questi vi sono:

• Valutazioni d’Impatto sulla Privacy (DPIA): procedure per analizzare i rischi legati al trattamento dei dati e definire misure per mitigarli.
• Notifica delle violazioni: indicazioni per segnalare le violazioni di dati personali entro 72 ore dalla loro scoperta (data breach).
• Diritti degli individui: istruzioni su come garantire il rispetto dei diritti degli individui, come il diritto all’oblio e il diritto alla portabilità dei dati.

Attenendosi a queste linee guida, le organizzazioni possono significativamente diminuire il rischio di sanzioni e garantire una maggiore protezione dei dati personali dei loro utenti.

Il trattamento dei dati all’estero

Il trasferimento di dati personali al di fuori dell’UE è permesso solo se il paese destinatario garantisce un livello adeguato di protezione dei dati. Questo può essere assicurato tramite vari meccanismi:

• Clausole contrattuali standard: queste clausole stabiliscono obblighi rigorosi per il trattamento dei dati, garantendo che i dati personali ricevano la stessa protezione anche quando vengono trasferiti a paesi terzi.
• Privacy Shield: un accordo specifico tra l’UE e gli Stati Uniti che facilita il trasferimento sicuro delle informazioni, assicurando che le aziende americane aderiscano a standard di protezione dei dati equivalenti a quelli europei.

Questi strumenti sono fondamentali per garantire che i dati personali rimangano protetti anche oltre i confini europei, mantenendo un alto livello di sicurezza e rispetto della privacy.

Data breach: la notifica delle violazioni

Secondo il regolamento GDPR, le organizzazioni sono tenute a notificare all’autorità di controllo competente eventuali violazioni dei dati personali entro 72 ore dal momento in cui ne vengono a conoscenza, se la violazione comporta un rischio per i diritti e le libertà delle persone. Questa notifica deve includere:

• Informazioni dettagliate sulla natura della violazione: descrizione chiara e completa dell’incidente.
• Categorie e numero approssimativo di interessati: stima del numero di persone coinvolte e delle categorie di dati compromessi.
• Possibili conseguenze della violazione: valutazione dei potenziali impatti negativi sugli interessati.
• Misure adottate o proposte: azioni intraprese per rimediare alla violazione e mitigare gli effetti negativi.

Il Responsabile per la Protezione dei Dati (DPO)

Il Responsabile per la Protezione dei Dati (DPO) è una figura obbligatoria per le organizzazioni che trattano dati personali su larga scala, come aziende, enti pubblici e grandi organizzazioni. Il DPO ha il compito di garantire la conformità al regolamento GDPR, supervisionando tutte le operazioni di trattamento dei dati e assicurando il rispetto delle normative vigenti. Questo ruolo comprende diverse responsabilità chiave:

• Valutazione delle attività di trattamento dei dati: analisi e verifica delle procedure di gestione dei dati per garantirne la conformità.
• Conduzione di audit periodici: esecuzione di controlli regolari per monitorare e migliorare le pratiche di trattamento dei dati.
• Sensibilizzazione del personale: promozione della consapevolezza e della formazione interna sull’importanza della protezione dei dati personali.

Inoltre, il DPO funge da punto di contatto principale per le autorità di controllo, come il Garante per la Protezione dei Dati Personali, e per gli interessati, offrendo consulenza e supporto su tutte le questioni relative alla privacy e alla protezione dei dati. Il DPO deve anche collaborare strettamente con altre funzioni aziendali, come il dipartimento legale e quello IT, per garantire che le misure di sicurezza siano adeguate e aggiornate.

Il registro del trattamento

Il Registro del Trattamento è un documento obbligatorio che deve contenere tutte le attività di trattamento dei dati effettuate dall’organizzazione. Questo registro deve includere informazioni dettagliate su diversi aspetti critici:

• Categorie di dati trattati: descrizione dei vari tipi di dati personali che l’organizzazione gestisce.
• Finalità del trattamento: chiarificazione degli scopi per cui i dati vengono raccolti e utilizzati.
• Destinatari dei dati: identificazione delle persone, enti o organizzazioni con cui i dati vengono condivisi.
• Misure di sicurezza adottate: dettagli sulle protezioni implementate per salvaguardare i dati personali, come le tecniche di crittografia e i protocolli di accesso.

Inoltre, il registro deve essere aggiornato regolarmente per riflettere qualsiasi cambiamento nelle attività di trattamento e reso disponibile alle autorità di controllo su richiesta, garantendo così la trasparenza e la conformità alle normative sulla protezione dei dati.

Il mantenimento accurato del Registro del Trattamento non solo dimostra l’aderenza dell’organizzazione alle normative del GDPR, ma facilita anche la gestione interna dei dati e la pronta risposta alle richieste di verifica da parte delle autorità competenti.

Le sanzioni previste dal GDPR

Il regolamento GDPR prevede sanzioni significative per le organizzazioni che non rispettano le normative sulla protezione dei dati. Queste sanzioni possono essere di natura amministrativa e pecuniaria e variano in base alla gravità della violazione. Ecco alcune delle principali tipologie di sanzioni previste:

• Ammende amministrative: le ammende possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’organizzazione, a seconda di quale sia superiore. Queste sanzioni si applicano per violazioni meno gravi, come la mancata notifica di una violazione dei dati, l’insufficienza delle misure di sicurezza o la mancata designazione di un DPO quando necessario.
• Ammende pecuniarie: per le violazioni più gravi, come la mancata adesione ai principi fondamentali del trattamento dei dati, la non conformità ai diritti degli interessati, o il trasferimento illecito di dati personali verso paesi terzi, le ammende possono raggiungere fino a 20 milioni di euro o il 4% del fatturato annuo globale dell’organizzazione, a seconda di quale sia superiore.
• Sanzioni correttive: oltre alle multe pecuniarie, le autorità di controllo possono imporre sanzioni correttive. Queste possono includere ordini di cessazione del trattamento dei dati, richieste di rettifica o cancellazione dei dati, e imposizione di limitazioni temporanee o definitive sul trattamento dei dati.

Credits: Jirsak / Getty Images