Il GDPR, General Data Protection Regulation, è il regolamento europeo sulla protezione dei dati personali del maggio 2018.
Nasce da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’UE verso altre parti del mondo.
Si tratta poi di una risposta, necessaria e urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica.
In estrema sintesi col GDPR:
- si introduce il concetto di responsabilizzazione o accountability del titolare;
- si introducono importi più elevati per le sanzioni amministrative pecuniarie;
- si introducono concetti di “privacy by design”. Nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
- regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
- si introduce la previsione, in alcuni casi tassativa, di nomina obbligatoria di un Responsabile della protezione dei dati;
- si introducono regole più chiare su informativa e consenso;
- viene ampliata la categoria dei diritti che spettano all’interessato;
- sono stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’UE.
Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato UE.
Il principio di “responsabilizzazione”
È stata introdotta la responsabilizzazione dei titolari del trattamento, accountability.
Ovvero l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti o evidenziabili, nonché delle misure tecniche e organizzative ritenute adeguate dai titolari per mitigare tali rischi.
Data breach GDPR
Il titolare del trattamento deve comunicare eventuali violazioni dei dati personali al Garante.
Rispondere in modo efficace a un data breach per il GDPR richiede un approccio multidisciplinare e integrato. Oltre una maggiore cooperazione a livello UE.
Per supportare le organizzazioni nella gestione di eventuali violazioni di dati personali, l’EDPB, European Data Protection Board, ha adottato il 14 gennaio 2021 la prima versione delle Linee Guida 01/2021 on Examples regarding Data Breach Notification.
Queste Linee Guida forniscono esempi pratici di data breach e integrano le Linee Guida sulla notifica della violazione dei dati personali adottate a febbraio 2018 dall’ex WP29, ora EDPB.
A livello nazionale il Garante Privacy ha predisposto un “Servizio telematico” dedicato al data breach, fornendo anche un tool di autovalutazione per la notifica all’Autorità di una violazione dei dati personali.
Registro delle attività di trattamento
L’adozione del Registro dei trattamenti di dati personali è obbligatorio per le imprese che contano almeno 250 dipendenti.
Tale previsione non si applica, quindi, alle imprese o organizzazioni con meno di 250 dipendenti. A meno che il trattamento che esse effettuano:
- possa presentare un rischio per i diritti e le libertà dell’interessato;
- non sia occasionale;
- includa il trattamento di categorie particolari di dati;
- includa i dati personali relativi a condanne penali e a reati.
Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico. Da esibire su richiesta del Garante.
Il registro deve avere forma scritta e anche elettronica.
Parliamo, quindi, di un documento contenente le principali informazioni relative alle operazioni di trattamento svolte sia dal Titolare del trattamento. Eventualmente, se nominato, anche dal Responsabile del trattamento.
La figura del DPO
Il DPO, Data Protection Officer, è incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti.
È individuato in funzione:
- delle qualità professionali;
- della conoscenza specialistica della normativa;
- della prassi in materia di protezione dati.
Il Responsabile della protezione dei dati:
- riferisce direttamente al vertice,
- è indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
- gli vengono attribuite risorse umane e finanziarie adeguate alla mission.
È una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR. Ovvero il Titolare del trattamento.
Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”.
È non meno importante, però, che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere”. Specialmente con riferimento a settori delicati come quello della sanità, deve dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare.
È altrettanto importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati, se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.
Privacy e Trasparenza con il GDPR
Tra le molte novità, il GDPR apre una nuova pagina sul tema del rapporto tra privacy e trasparenza. Anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse.
In questo contesto, è importante sottolineare come il regolamento non modifichi direttamente le norme nazionali. Né quelle attualmente applicate alle innumerevoli istituzioni europee.
Si preoccupa, invece, di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e di “tutela efficace della riservatezza” sono considerati entrambi meritevoli di efficace protezione.
GDPR e diritto all’oblio
La vera novità che arriva con il GDPR è sul diritto all’oblio. Ovvero la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici i dati.
Sul tema, l’EDPB ha elaborato le Linee Guida 5/2019 per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del GDPR.
In particolare, le Linee Guida 5/2019 indicano sia i motivi che le eccezioni, che un interessato può invocare per chiedere la deindicizzazione a un fornitore di motore di ricerca.
Il codice di condotta per il trattamento dei dati personali
Tra gli strumenti volti a facilitare l’implementazione dei principi di tutela della privacy, l’art. 40 GDPR consente alle associazioni di categoria, e ad altri organismi rappresentativi di titolari e responsabili del trattamento, di predisporre dei codici di condotta.
Si tratta di strumenti di autodisciplina che, adottati su base volontaria, possono prevedere regole interne di protezione dei dati personali, al fine di creare uniformità all’interno dello specifico settore e di assicurare il rispetto delle norme del GDPR da parte di titolari e responsabili.
Il controllo della conformità con un codice di condotta può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell’autorità di controllo competente ai sensi dell’art. 41 del GDPR.
Nel 2020, il Garante Privacy ha approvato i requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta.
L’accreditamento degli organismi di monitoraggio costituisce condizione necessaria per l’approvazione di un codice di condotta da parte del Garante. Tali requisiti costituiranno un modello di riferimento per quelle associazioni che intendono sottoporre i loro codici di condotta all’approvazione del Garante privacy.
Perché il GDPR è un investimento necessario per il futuro di aziende e PA
Le imprese e le PA devono considerare l’attuazione del GDPR non come un costo ma come un investimento. Necessario a sostenere il proprio futuro nel mercato e istituzionale. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e intelligenza artificiale.
Speriamo che con questo articolo ti sia più chiaro che cos’è il GDPR e le sue peculiarità.
Eventualmente scrivici nei commenti, o nella community di Investhero, dove potrai trovare altri imprenditori che magari, come te, hanno dovuto affrontare la questione GDPR per le loro aziende.
Add a Comment