Privacy GDPR, ancora sanzioni: ecco cosa sapere per evitarle

Privacy GDPR, privacy impact assessment, adeguamento alla normativa: temi entrati ormai nella quotidianità di imprese e privati, che possono dirsi ormai recepiti. Eppure non mancano ancora notizie riguardo ad aziende che vengono sanzionate dal Garante della privacy per una adozione non corretta delle norme a tutela dei dati. Come tutelarsi, dunque? E cosa sapere per evitare di incorrere in sanzioni?

Privacy GDPR: cosa è e cosa prevede

Con la sigla GDPR si definisce il General Data Protection Regulation, ovvero la normativa europea di riferimento in materia di protezione dei dati personali. Il Regolamento 2016/679 (GDPR Privacy) nasce da esigenze di certezza giuridica, di semplificazione e armonizzazione delle norme riguardante il trasferimento di dati personali. Con trasferimento si intende la cessione di dati personali dall’Unione Europea a paesi esteri. Si tratta di una esigenza che ha acquisito priorità a seguito dello sviluppo di nuovi modelli di economia che si basano su nuove tecnologie.

Esistono tuttora ambiti di autonomia che restano in gestione ai singoli stati membri, che si trovano a dover disciplinare aspetti che non rientrano nella specifica competenza dell’UE. Questo genera a volte contrasti tra le diverse autorità di controllo nazionali, e potrebbe di conseguenza indurre all’incertezza rispetto ad alcune norme da acquisire e adottare.

Il Regolamento europeo Privacy

Il regolamento sulla tutela dei dati personali è stato pubblicato nella Gazzetta Ufficiale europea nel 2016, il 4 maggio, ed è entrato in vigore venti giorni dopo. L’effettiva attuazione del GDPR è avvenuta però due anni più tardi, ovvero a partire dal 25 maggio del 2018. Il regolamento contiene 99 articoli e 173 considerando, a valore interpretativo.

Non necessita di recepimento da parte degli stati membri (non previsto per i regolamenti) e deve essere adottato in tutti gli stati senza margini di modifica e adattamento, fatta eccezione per quelle parti per cui viene espressamente prevista la possibilità di deroga.

Obiettivi del regolamento GDPR

Come viene dichiarato nel considerando 9, il Regolamento ha l’obiettivo di:

• Armonizzare la regolamentazione in materia di protezione dei dati personali in tutti gli stati dell’Unione Europea. Il trattato di Lisbona ha definito infatti la tutela dei dati personali un diritto fondamentale dei cittadini, che va garantito in tutti gli stati membri
• La nascita del Digital Single Market, il Mercato Unico Digitale europeo, partendo dalla tutela dei dati e alimentando fiducia dei cittadini verso l’utilizzo di servizi informatici in una società sempre più digitale
• Rispondere alle esigenze di sicurezza messe in evidenza dall’uso di nuove tecnologie digitali.

La protezione dei dati nel regolamento privacy GDPR

Il dato è considerato di proprietà dell’interessato, pertanto potrà essere trattato solo a seguito del rilascio di un consenso da parte di quest’ultimo, che deve essere messo nelle condizioni di avere pieno controllo del dato. L’aumento della regolarità di acquisizione dei dati ne favorisce la libera circolazione e allo stesso tempo tutela e rafforza i diritti del soggetto interessato. La persona deve sempre poter sapere se i suoi dati verranno usati e come verranno usati, a prevenzione dei rischi connessi con il trattamento delle informazioni.

All’articolo 1 par. 2 della normativa privacy GDPR si legge:

Protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali

L’autodeterminazione informativa è dunque un concetto centrale del Regolamento Privacy e, come già dichiarato in passato presso la Corte Costituzionale della Germania, la norma GDPR definisce un diritto essenziale in una società democratica, e necessaria a garanzia del libero sviluppo della personalità del cittadino.

Punti fondamentali: ecco cosa prevede il GDPR

Per riassumere in sintesi cosa è cambiato con l’introduzione del Regolamento sulla privacy e cosa prevede, bisogna tenere conto dei seguenti aspetti:

• Responsabilizzazione e accountability del titolare: sono concetti che il regolamento introduce
• Vengono definite sanzioni amministrative più alte che vengono applicate in base alle disposizioni violate
• Introduce il concetto di approccio risk based, di privacy by design, di valutazione di impatto e di data breach
• Rende necessaria e in alcuni casi tassativa la nomina di un Responsabile della protezione dei dati
• Definisce regole per la selezione di chi detiene i diversi livelli di responsabilità
• Definisce con maggiore chiarezza quali sono le regole sull’informativa e il consenso
• Amplia l’insieme dei diritti dell’interessato
• Definisce criteri più restrittivi per il trasferimento dei dati all’estero (nei paesi extra UE)

Le norme contenute nel regolamento privacy europeo si applicheranno non solo alle imprese presenti nel territorio UE, ma anche le imprese con sede al di fuori dell’Unione Europea che operano all’interno del mercato UE.

Accountability: responsabilizzazione del titolare e dei responsabili del trattamento dati

Con accountability ci si riferisce al dover rendere conto del proprio operato, ovvero alla responsabilità del titolare e dei responsabili del trattamento dei dati. Tradotto in maniera concreta questo significa che tali soggetti devono adottare comportamenti proattivi in grado di dimostrare la reale adozione delle indicazioni previste dal regolamento europeo sulla privacy. Non è sufficiente una adozione formale che potrebbe limitarsi al mero ottenimento del consenso a trattare il dato. È infatti responsabilità del titolare e dei responsabili del trattamento proteggere la persona e la società dai rischi connaturati con il trattamento dei dati personali.

Il GDPR evidenza la necessità di porre in atto misure a tutela e gananzia dei dati che vengono trattati. Il titolare e i responsabili, attenendosi ai principi definiti dal regolamento, hanno l’onere di gestire le modalità e i limiti del trattamento, con particolare attenzione ai principi di privacy by design e privacy by default.

Il regolamento generale sulla protezione dei dati sposta dunque il focus della normativa dalla tutela della persona interessata, alla responsabilità dei titolari del trattamento dei suoi dati.

L’approccio risk based del GDPR europeo

Rispetto alla normativa precedente, il nuovo regolamento europeo sulla privacy si concentra maggiormente sulla protezione dei dati, che si basa sulla valutazione del rischio. In questo senso si può affermare che il nuovo regolamento privacy adotta un approccio risk based, o basato sulla valutazione del rischio, attraverso cui è possibile determinare la misura di responsabilità del titolare o del responsabile del trattamento (DPO) che può essere interno o esterno (nel caso di privacy in outsourcing).

L’approccio risk based va oltre la conformità alla legge e ha il vantaggio di adattarsi ai vari strumenti e a una più ampia variabilità di esigenze. Tiene infatti conto della probabilità dei rischi e della loro potenziale gravità, oltre che della natura, della portata e delle finalità del trattamento dei dati. È un approccio che semplifica la gestione dei dati, venendo incontro alle esigenze delle aziende. Aziende più piccole avranno obblighi minori rispetto a organizzazioni più grandi.

Quali sono gli oneri del titolare del trattamento dei dati e dell’azienda?

Il titolare del trattamento ha dunque diverse responsabilità in materia di privacy e GDPR, tra cui:

• Conformare il trattamento ai principi previsti dal nuovo privacy GDPR
• Prevedere e valutare il rischio prevedibile (rischio tipico) connesso all’attività dell’impresa. Attivare misure idonee a eliminare o ridurre questo rischio
• Garantire l’accesso alle informazioni riguardanti i dati dei soggetti e le modalità e finalità del trattamento
• Gestire il diritto alla portabilità dei dati ovvero a trasferire i dati tra i vari servizi online
• Garantire il diritto all’oblio, diritto che è stato istituzionalizzato dalla Corte di Giustizia europea come diritto alla cancellazione. Se un utente chiede la cancellazione dei propri dati i responsabili del trattamento dovranno provvedere all’eliminazione
• Informare i soggetti delle gravi violazioni di dati che potrebbero insorgere
• Rispondere alla autorità di vigilanza dello stato in cui si trova la sede aziendale principale (One stop shop, o Sportello unico)
• Rispondere alle violazioni delle norme con sanzioni amministrative che fanno fino al 4% del fatturato globale

Il one stop shop

Lo sportello unico, o one stop shop, è stato introdotto con l’obiettivo di semplificare la gestione dei trattamenti, e di avere un approccio alla materia che può dirsi uniforme. Se un’azienda ha più sedi dislocate in vari paesi, può rivolgersi al Garante Privacy di riferimento all’interno del territorio in cui è localizzata la sede principale. Anche le pubbliche amministrazioni, così come le aziende italiane (oltre la metà) non sono del tutto pronte ad acquisire le norme in materia di data protection. Eppure le sanzioni sono alte. Il caso della multa da 2ml a Clubhouse ne è un esempio, o il caso di Douglas profumerie.

Affinché le aziende possano essere allineate rispetto all’adeguamento al privacy GDPR è necessario

• Dare la possibilità alle aziende di designare un Responsabile del trattamento dati in tempi brevi
• Istituire un registro di attività di trattamento
• Dare priorità alla notifica dei data breach

In caso di data breach

Cosa succede nell’eventualità in cui si configuri un data breach ovvero una violazione dei dati? Il titolare del trattamento ha l’obbligo di dare comunicazione al Garante (nel più breve tempo possibile) delle violazioni che impattano direttamente sui diritti e sulla libertà dei soggetti interessati. Per rispondere a una violazione dei dati è necessario un approccio competente, multidisciplinare e integrato a livello UE. L’European Data Protection Board (EPDB) nel gennaio del 2021 ha adottato la prima versione delle linee guida, le Guidelines 01/2021 on Examples regarding Data Breach, che forniscono informazioni tramite esempi pratici di violazione dei dati, e integrano le precedenti (adottate nel febbraio 2018 dall’ex WP29, oggi EDPB appunto). Inoltre esiste un “Servizio telematico” predisposto dal Garante Privacy, attivo a livello nazionale, e che fornisce uno strumento di autovalutazione utile per notificare una violazione dei dati all’Autorità garante.

CERCHI IL SUPPORTO DI UN TEAM ESPERTO?
PROSSIAMO AIUTARTI.

PROVA IL
Privacy pre-assessement gratuito

Il registro delle attività di trattamento per aziende con oltre 250 dipendenti

Uno dei primi adempimenti da mettere in atto – in ambito privacy GDPR – è l’adozione, per quanto riguarda le aziende italiane, di un Registro dei trattamenti di dati personali, obbligatorio per le aziende con oltre 250 dipendenti. Con meno dipendenti non è necessario, a meno che non sovvengano determinate casistiche: se il trattamento presenta un rischio per i diritti e le libertà dell’interessato, se il trattamento non è occasionale e include categorie particolari di dati (dati relativi a condanne penali e reati). Il Registro dei trattamenti di dati personali ha lo scopo di portare le aziende ad avere un quadro aggiornato rispetto ai trattamenti in essere, un passaggio che si collega direttamente alla valutazione e l’analisi del rischio. Deve essere predisposto in forma scritta ed elettronica, perché dovrà essere esibito in caso di verifica da parte del Garante.

Questo documento contiene le informazioni relative alle operazioni di trattamento svolte dal titolare, ed eventualmente – se presente – dal Responsabile del trattamento dati.

Riguardo le informazioni che devono essere contenute nel registro o di altro supporto per adeguare la tua azienda al nuovo regolamento europeo sulla privacy siamo a tua disposizione.

GDPR e Privacy: con Inforpc gestione completa e semplificata

INFORPC è a disposizione per adeguare le procedure adottate dalla tua azienda alla normativa sulla protezione dei dati personali e fornirti la documentazione privacy necessaria.

Il supporto da parte di un team esperto in materia è fondamentale per mitigare il rischio di violazione della privacy dei soggetti sottoposti ai controlli.

sc