Il GDPR spiegato per punti

Il 25 maggio 2018 è una data storica per l’Ue: a partire da quel giorno in tutti i paesi Ue sarà operativo il GDPR 2018, il nuovo Regolamento europeo in materia di trattamento dei dati personali, 2016/679. Si tratta di un innovativo regolamento che riguarderà tutti coloro che a vario titolo raccolgono e trattano i dati personali e sensibili dei cittadini europei.

L’idea di fondo che ha ispirato l’introduzione della nuova normativa sulla privacy è quella di permettere che i cittadini europei abbiano un controllo molto maggiore sul modo in cui i singoli, le aziende e gli enti pubblici utilizzano le informazioni, e in particolare i dati sensibili, raccolti dagli utenti.

Per dati sensibili si intendono le informazioni che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

Abbiamo sintetizzato il GDPR e i suoi ambiti di applicazione in punti. Qui un articolo che spiega tutto quello che c’è da sapere. 

L’esigenza da cui è nato il GDPR, è quella di armonizzare e semplificare le norme riguardanti il trasferimento dei dati personali dall’Ue verso altre parti del mondo per far fronte alle sfide date dagli sviluppi tecnologici.

Per semplificare possiamo riassume brevemente quali sono i punti centrali del regolamento:

• Regole più e trasparenti su informativa e consenso
• Definizione e garanzia di nuovi diritti dei cittadini
• Criteri più rigorosi per il trasferimento dei dati al di fuori dell’Ue
• Sanzioni rigorose nei casi di violazione dei dati, data breach (divulgazione, distruzione, perdita, o accesso non autorizzato ai dati trattati da aziende o pubbliche amministrazioni)
• Rafforzamento del diritto all’oblio
• Aumento della tutela della privacy dei minori di 16 anni

Cos’è il GDPR

Il cosiddetto GDPR è la più grande revisione delle norme sulla privacy online sin dalla nascita di Internet, che darà ai cittadini europei il diritto di sapere quali dati sono memorizzati su di essi e tutelerà il diritto di vederli cancellati.

Il testo, approvato il 14 aprile 2016 dal Parlamento europeo, pubblicato su Gazzetta Ufficiale europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.

Informativa e consenso

Per tutti i dati sensibili sarà necessario un consenso esplicito dell’interessato. Proprio come nelle normative sulla privacy precedenti, il consenso deve essere libero, specifico, informato e non tacito o presunto, oltre che inequivocabile.

I consensi raccolti prima del 25 maggio saranno considerati validi se conformi a quanto prescritto dal nuovo regolamento, altrimenti dovranno essere di nuovo raccolti.

Il nuovo regolamento europeo esplicita in maniera più puntuale e ampia rispetto alle norme precedenti, tutto ciò che deve essere contenuto sull’informativa sulla privacy. Questi sono gli elementi che non potranno mancare:

• i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer);
• la base giuridica del trattamento;
• l’interesse legittimo;
• se è previsto un trasferimento di dati personali in Paesi terzi e, se sì, con quali mezzi;
• il periodo di conservazione dei dati;
• l’esposizione del diritto di presentare un reclamo all’autorità di controllo;
• l’indicazione della logica dei processi decisionali impiegata e le conseguenze per l’interessato, nei soli casi in cui il trattamento concerna processi decisionali automatizzati come, ad esempio, la profilazione.

L’informativa sulla privacy deve essere consegnata non oltre 1 mese dalla raccolta oppure al momento della comunicazione a terzi o all’interessato dei dati.

L’informativa sulla privacy, oltre a contenere gli elementi che abbiamo già menzionato, deve avere forma concisa, trasparente, intellegibile e accessibile, dotata di linguaggio chiaro e comprensibile. Può avere forma scritta, formato elettronico o orale.

L’interessato che ha fornito i dati sensibili, ha diritto al fatto che gli sia messa a disposizione l’informativa prima che vengano raccolti i dati e se cambiano le finalità del trattamento deve essere informato.

Viene esclusa ogni forma di consenso tacito (il silenzio, cioè, non equivale al consenso) oppure ottenuto proponendo a un interessato una serie di opzioni già selezionate.

Accesso

I diritti di cui gode chi fornisce i propri dati sensibili di ampliano sensibilmente, che in particolare avrà il diritto all’accesso ai dati che ha fornito, gli dovrà essere comunicato il periodo di conservazione dei dati.

Viene inoltre sottolineato e rafforzato il diritto all’oblio, ovvero il diritto di cancellazione dei propri dati.

Tra gli altri diritti previsti dal GDPR, vi è il diritto di limitazione del trattamento, ovvero l’interessato potrà richiedere la cancellazione o la rettifica dei dati nel caso di trattamento illecito e il diritto alla portabilità dei dati, ovvero, la possibilità che il titolare trasferisca i dati portabili ad altro titolare indicato dall’interessato e con il suo consenso.

Titolare del trattamento e responsabile del trattamento

La nuova normativa sulla privacy prevede due figure: il titolare del trattamento e il responsabile del trattamento.

Il titolare è chi decide il motivo e le modalità del trattamento. Il titolare del trattamento è colui che è giuridicamente responsabile nel caso in cui non siano rispettati gli obblighi previsti dal GDPR. Il titolare, con un contratto, designa poi il Responsabile del trattamento, che gestisce il trattamento dei dati.

Il Regolamento europeo introdurrà inoltre la figura dei “sub-responsabili del trattamento” da parte del Responsabile, per determinate attività.

L’idea innovativa introdotta dal GDPR è quella di introdurre un meccanismo di responsabilizzazione dei titolari e dei responsabili del trattamento, per far sì che il Regolamento sia applicato correttamente.

Tra i compiti del titolare vi è inoltre quello di valutare i rischi che possono  minare la libertà e i diritti degli interessati. Il titolare dovrà prevedere i rischi ed essere in grado di fronteggiarli.

Per far sì che i dati siano trattati in modo lecito e trasparente, la normativa richiede che i titolari e i responsabili debbano in primo luogo tenere il registro dei trattamenti (nel caso degli organismi con più di 250 dipendenti). In secondo luogo, adottare misure di sicurezza, notificare le violazioni dei dati personali all’autorità di controllo, entro 72 ore dalla scoperta, e designare un responsabile della protezione dei dati.

Un’altra importantissima novità introdotta dal regolamento europeo prevedere il venir meno dell’autorizzazione nazionale.

Il trasferimento dei dati a paesi terzi, potrà avvenire anche senza l’autorizzazione nazionale del Garante, a differenza di quanto invece vigeva con il precedente Codice della privacy.

Minori

Per quanto riguarda i minori, il consenso sarà considerato valido a partire dai 16 anni, prima di quell’età il consenso deve essere espresso da un genitore o da chi ne fa le veci.

I fornitori di servizi Internet e i social media, dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.

Diritto all’oblio

Con il rafforzamento del diritto all’oblio, gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento: se i dati sono trattati solo sulla base del consenso; se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti; se i dati sono trattati illecitamente; oppure se l’interessato si oppone legittimamente al loro trattamento.

A questo diritto si accompagna l’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile.

Il diritto all’oblio potrà essere limitato solo in alcuni casi specifici: per esempio, per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria; per tutelare un interesse generale (ad esempio, la salute pubblica); oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalità statistiche o scientifiche.

Tutela in caso di violazione dei dati

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati.

Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

Il titolare del trattamento potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti (quando non si tratti, ad esempio, di frode, furto di identità, danno di immagine, ecc.); oppure se dimostrerà di avere adottato misure di sicurezza (come la cifratura) a tutela dei dati violati; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato).

In questo ultimo caso, è comunque richiesta una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare).

L’Autorità di protezione dei dati potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio associato alla violazione.

Trasferimento dati fuori dall’Ue

Resta vietato il trasferimento di dati personali verso Paesi situati al di fuori dell’Unione europea o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela dei dati, rispetto ai quali il Regolamento introduce criteri di valutazione più stringenti.

Come avviene già oggi, in mancanza di un riconoscimento di adeguatezza da parte della Commissione europea, i titolari potranno utilizzare per il trasferimento specifiche garanzie contrattuali, per le quali il Regolamento prevede norme dettagliate e vincolanti.

In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato, oppure qualora ricorrano particolari condizioni (ad esempio, quando il trasferimento è indispensabile per rispettare specifici obblighi contrattuali, per importanti motivi di interesse pubblico, per esercitare o difendere un diritto in sede giudiziaria, ecc.).

Il trasferimento o la comunicazione di dati personali di un cittadino dell’Ue ad autorità giudiziarie o amministrative di Paesi terzi potranno avvenire solo sulla base di accordi internazionali di mutua assistenza giudiziaria o attraverso strumenti analoghi.

Sanzioni

Il nuovo regolamento in materia dei dati personali conferisce ai regolatori il potere di multare le multinazionali fino al 4 per cento del loro fatturato globale o 20 milioni di euro se non rispetteranno  i severi requisiti di protezione dei dati.