GDPR - Regolamento Europeo sulla privacy

23/05/2018

GDPR - Nuovo regolamento Europeo sulla Privacy

Il 25 maggio 2018 entra in vigore il nuovo regolamento dell'Unione Europa in materia di protezione dei dati personali.

Come azienda attenta a questa tematica, Forma raccomanda di verificare la validità dell'informativa privacy del suo sito web con l'assistenza di un legale, in modo da poter apportare eventuali modifiche e integrazioni al testo. È importante adeguarsi alla nuova normativa per non incorrere in sanzioni da parte del Garante per la Privacy.

Per i nostri clienti: Nel caso in cui il tuo sito internet richieda delle modifiche tecniche per soddisfare i requisiti del regolamento, puoi contattarci oppure, se dovessimo notare noi delle mancanze (ad es. l'assenza del classico banner che avvisa l'utente dell'uso dei cookie alla sua prima visita), provvederemo a contattarti prima di procedere con la modifica.

Indice dei contenuti

Cos’è?

Il General Data Protection Regulation è il nuovo regolamento emanato dal Parlamento europeo per disciplinare il trattamento dei dati personali di tutti i residenti nell’UE, da parte di persone, società, organizzazioni. Leggi anche il documento originale.

A chi si rivolge?

Il regolamento va applicato se l’azienda/ente:

  • tratta dei dati personali riguardanti una delle sue filiali stabilite nell’UE, anche se i dati non vengono trattati in Europa
  • è extra-europea e offre beni/servizi a delle persone nell’UE

Quindi, l’applicazione del regolamento non dipende dalle dimensioni dell’ente, ma dalle sue attività: le attività che sottopongono a rischi elevati i diritti e le libertà delle persone, andranno incontro a norme più severe.

Tuttavia, non tutti gli obblighi descritti dal GDPR si applicano a tutte le PMI. Le aziende con meno di 250 dipendenti non devono tenere un registro delle loro attività di trattamento, a meno che non sia parte integrante dell’azienda o riguardi dati sensibili. Se il trattamento dei dati è la loro principale attività e rappresenta una minaccia per gli utenti interessati, dovranno anche nominare un responsabile della protezione dei dati.

Quali sono le norme chiave?

L’azienda/organizzazione deve rispettare varie norme chiave, come:

  • Liceità, correttezza e trasparenza: I dati devono essere trattati in modo da garantire l’equità nei confronti delle persone interessate.
  • Limitazione delle finalità: I dati possono essere raccolti se (e solo se) vengono utilizzati per scopi ben definiti, e indicando quando vengono raccolti.
  • Minimizzazione dei dati: Si possono raccogliere solo i dati necessari a perseguire tale scopo e, se possibile, devono essere trattati in modo anonimo.
  • Accuratezza: I dati devono sempre essere aggiornati: quindi, l’impresa deve stabilire dei limiti di tempo per verificarli e aggiornarli, o correggerli se necessario.
  • Limiti di tempo per la conservazione: Una volta terminato il tempo necessario agli scopi per i quali sono stati raccolti, idati non possono più essere conservati (quindi possono essere conservati per il più breve tempo possibile).
  • Integrità e riservatezza: L’impresa deve garantire la sicurezza dei dati, predisponendo adeguate misure tecniche e organizzative.

I punti importanti del regolamento:

  • Obbligo di tenere un registro dei trattamenti dei dati per le aziende con oltre 250 dipendenti o in casi particolari
  • Nomina di un DPO (o RPD) obbligatoria nei casi seguenti:
    1. quando il trattamento è effettuato da autorità o organismo pubblico;
    2. quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala”;
    3. quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.
  • I dati devono essere accessibili e cancellabili
  • In caso di Data breach (violazione dei dati) deve essere notificato entro 72 ore il Garante per la Privacy

Quando i dati vengono raccolti, cosa bisogna dire?

Le persone di cui vengono raccolti i dati, devono essere informate chiaramente riguardo:

  • chi è l’azienda/organizzazione, fornendo i dati di contatto (ed eventualmente quelli del responsabile della protezione dei dati)
  • il perché i dati verranno utilizzati, e quindi le finalità della raccolta
  • quali dati personali sono interessati
  • la giustificazione giuridica per il trattamento dei dati
  • per quanto tempo i dati verranno conservati
  • chi altro potrebbe ricevere i dati
  • l’eventuale destinatario extra-europeo
  • il loro diritto di avere una copia dei dati (diritto di accesso ai dati personali) e gli altri diritti fondamentali riguardanti la protezione dati
  • il diritto di presentare un reclamo, per la protezione dei dati personali, presso le autorità
  • il diritto di revocare il consenso al trattamento dei dati, in qualsiasi momento
  • l’esistenza di un processo decisionale automatizzato (se applicabile), la logica e le relative conseguenze

Queste informazioni vanno fornite per iscritto o per via elettronica. Ciò va fatto in modo chiaro, trasparente, comprensibile e gratuitamente.

Quando bisogna informare le persone?

Le tempistiche entro le quali bisogna informare gli interessati, dipendono dalla circostanza:

  • se i dati si sono ottenuti da un’altra azienda, l’interessato va informato entro un mese dalla ricezione;
  • se si comunica con la persona, questa va informata quando i dati vengono utilizzati per la comunicazione;
  • se i dati vengono inviati ad un’altra società, invece, bisogna informare l’interessato quando questi vengono divulgati per la prima volta;
  • contrariamente, non si è tenuti ad informare la persona se si posseggono già i dati.

Quando possono essere trattati i dati?

Un’azienda può trattare i dati personali se:

  • ha il consenso degli interessati;
  • persiste un obbligo contrattuale;
  • deve attuare un obbligo giuridico;
  • il trattamento è necessario per svolgere un compito di interesse pubblico;
  • serve a proteggere gli interessi vitali di una persona;
  • per i legittimi interessi dell’azienda, a meno che non compromettano i diritti e le libertà della persona

Quali dati sono considerati sensibili?

I dati di una persona considerati “sensibili” sono:

  • i dati che ne rivelano l’origine etnica, l’orientamento politico e il credo religioso;
  • l’appartenenza a un sindacato;
  • i dati genetici, trattati solo per identificare un essere umano;
  • i dati riguardanti la salute;
  • i dati che riguardano la vita sessuale o l’orientamento sessuale.

Quando si possono trattare dati sensibili?

Un’azienda può trattare dati sensibili solo se:

  • ha il consenso esplicito della persona interessata
  • la legislazione dell’UE o nazionale o un contratto collettivo richiedono di trattare i dati;
  • sono in gioco gli interessi vitali della persona;
  • è un ente senza scopo di lucro che tratta i dati dei propri membri;
  • i dati personali sono stati manifestati pubblicamente dalla persona stessa;
  • i dati sono necessari per accertare, esercitare o difendere un diritto in sede giudiziaria;
  • i dati vengono trattati per motivi di rilevante interesse pubblico;
  • i dati sono trattati per finalità in ambito medico e sanitario;
  • i dati sono trattati per l’archiviazione e ricerca scientifica o storica o per statistica

Come devono essere trattati i dati dei minori?

Un’azienda può trattare i dati di un minore solo con l’esplicito consenso del genitore/tutore fino ad un’età che varia dai 13 ai 16 anni (a seconda dello stato).

L’azienda deve compiere tutte le manovre necessarie per verificare l’età.

Se l’azienda si rivolge prettamente ai minori, ogni informazione e comunicazione a loro indirizzata deve essere facilmente accessibile, chiara e comprensibile.

Cos’è una violazione di dati e cosa bisogna fare?

Un’azienda effettua una violazione quando i dati di cui è responsabile subiscono un incidente di sicurezza. Se si verifica, l’azienda deve informare le autorità entro 72 ore da quando ne è venuta a conoscenza.

Se la violazione dei dati comporta un rischio elevato per gli interessati, questi devono essere informati.

Come si dimostra di essere conformi al GDPR?

Ogni azienda è responsabile del rispetto di tutti i principi riguardanti la protezione dei dati, e deve dimostrare di esserne conforme.

È possibile aderire ad un codice di condotta predisposto da un’associazione di imprese e approvato da un’autorità competente.

È possibile anche aderire ad un meccanismo di certificazione gestito da un organismo di certificazione accreditato.

Sia il codice di condotta che il meccanismo di certificazione non sono obbligatori.

Amministrazioni Pubbliche

Anche una PA è soggetta al GDPR quando tratta i dati personali di una persona: le amministrazioni nazionali, infatti, sono tenute a fornire supporto agli enti regionali e locali durante la stesura del regolamento.

Nel trattamento dei dati personali, le PA devono rispettare le stesse regole delle PMI descritte sopra.

Se i dati vengono trattati in ambito giuridico, la legge in questione deve già garantire l’osservazione di tali principi.

Un’amministrazione pubblica è tenuta a nominare un responsabile della protezione dei dati. In alternativa, è possibile investire di questo compito un unico responsabile per diverse PA, o designarne uno esterno.

Il responsabile deve assicurarsi di attuare tutte le misure tecniche e organizzative atte alla protezione dei dati. Se il responsabile del trattamento è un’organizzazione esterna, deve esistere un contratto (o un atto giuridico) che assicuri che gli standard del regolamento vengano soddisfatti attuando misure tecniche e organizzative adeguate.

Nel caso in cui i dati vengano divulgati accidentalmente o illegalmente a destinatari non autorizzati (o siano indisponibili o alterati) bisogna comunicare la violazione all’autorità per la protezione dei dati senza ritardo ed entro 72 ore dal momento in cui si è venuti a conoscenza del fatto.

Come gestire i contatti delle persone?

Le persone possono contattare una PA per esercitare i loro diritti (diritti di accesso, rettifica, cancellazione, restrizione, obiezione, diritto di non essere soggetti a decisioni automatizzate).

Le persone hanno il diritto di opporsi al trattamento dei dati per finalità di interesse pubblico, fornendo i motivi della loro situazione. L’amministrazione potrà rifiutare la richiesta, continuando a trattare i dati, se dimostra di avere legittimi motivi per farlo.

Le persone non hanno il diritto alla ricezione dei propri dati, necessari per per svolgere un compito di interesse pubblico o nell’esercizio di pubblici poteri.

La PA dovrà rispondere alla richiesta entro un mese dal ricevimento della stessa.

Se la richiesta non viene accettata, l’interessato va informato dei motivi del rifiuto e del suo diritto di presentare un reclamo all’autorità competente e di proporre un ricorso.

A cosa va incontro una PA che non rispetta le norme?

Può essere emesso un avvertimento nel caso di una possibile violazione, che diventa un ammonimento o divieto temporaneo o definitivo del trattamento nel caso in cui la violazione sia certa.

In alcuni paesi, le PA potrebbero essere soggette a sanzioni amministrative pecuniarie.

Le persone, invece, possono richiedere un risarcimento se hanno subito datti materiali o non da parte di un ente pubblico.

Cosa deve contenere l'informativa sulla privacy?

Queste sono le principali caratteristiche che deve seguire chi deve aggiornare la propria informativa sulla privacy:

  • Indicare il titolare del trattamento (es. l'azienda) e, in caso sia necessario, indicare come contattare il DPO (o RPD)
  • Trasparenza su quali dati vengono trattati e chi li tratta. Indicare quindi i tipi di dati trattati (es. nome, cognome, email), le finalità (es. fini statistici, fini di marketing), i soggetti autorizzati al trattamento (es. i dipendenti interni dell'azienda)
  • Quali servizi vengono utilizzati e quali soggetti terzi hanno accesso a tali dati (es. Google Analytics, MailUp, MailChimp). Si consiglia di linkare l'informativa privacy di tali soggetti terzi per completezza d'informazione
  • Dettagli sulla conservazione dei dati: per quanto tempo i dati vengono conservati e se i dati conservati sono condivisi con altri soggetti o meno
  • I diritti dell'interessato che in linea generica sono: accesso, cancellazione (oblio), limitazione del trattamento, portabilità.

Si rimanda alla lettura della guida del Garante per la privacy

Perchè questi cambiamenti?

Le modifiche all'informativa, per quanto dispendiose, hanno l'intento di garantire maggiore trasparenza nei confronti dell'utente e di uniformare le indicazioni relative a chi ha la responsabilità del trattamento, quali dati vengono raccolti, chi ha l'accesso ai dati e per quale motivo.

Per maggiori informazioni si consiglia la lettura di: