Guida al GDPR

Guida al GDPR
18 Mag
2018

Il General Data Protection Regulation (Regolamento generale sulla protezione dei dati personali), ovvero il Regolamento Europeo 2016/679 ha l’obiettivo di rafforzare la protezione dei dati per tutte le persone dando loro il pieno controllo dei propri dati.

Il GDPR è pienamente applicabile a partire dal 25 maggio 2018.

Soggetti coinvolti

  • Utente”: persona i cui dati personali sono trattati da un titolare del trattamento o da un responsabile del trattamento.
  • Titolare del trattamento”: persona fisica o giuridica coinvolta nella determinazione delle finalità e delle modalità del trattamento dei dati personali degli utenti.
  • Responsabile del trattamento”: persona fisica o giuridica coinvolta nel trattamento dei dati personali degli utenti per conto del titolare del trattamento.
  • Responsabile per la Protezione dei Dati”: il Responsabile per la Protezione dei Dati (RPD), o Data Protection Officer (DPO), ha il compito di assistere il titolare del trattamento o il responsabile del trattamento per il controllo della conformità interna al GDPR, e per la supervisione e l’attuazione della strategia di protezione dei dati.

Consenso

Al fine di effettuare un’attività di trattamento dei dati, l’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti.

Le organizzazioni devono essere trasparenti in merito alle finalità della raccolta dei dati e il consenso deve essere “esplicito e libero”. Ciò significa che la modalità di acquisizione del consenso deve essere inequivocabile e prevedere una chiara azione di “opt-in”.

Le privacy policy devono essere redatte in modo leggibile, utilizzando un linguaggio e delle clausole comprensibili, in modo che gli utenti siano pienamente consapevoli di ciò a cui acconsentono e delle conseguenze del loro consenso.

La Privacy Policy deve informare gli utenti circa la tipologia di dati personali raccolti, l’identità e le informazioni di contatto del titolare del trattamento.

La Cookie Policy deve invece descrivere con dettaglio le finalità di installazione dei cookie e indicare tutte le terze parti che ne installano o che potrebbero installarne, con anche un link alla rispettiva Privacy Policy, alla Cookie Policy e agli eventuali moduli di consenso.

La Cookie Law richiede il consenso informato degli utenti prima di installare cookie sui loro dispositivi e di iniziare il tracciamento.

Diritti degli utenti

  • Il diritto a essere informati: le organizzazioni devono fornire agli utenti informazioni sulle attività di trattamento dei dati che svolgono. Tali informazioni possono essere fornite per iscritto, anche per via elettronica, tramite una privacy policy. Devono essere concise, trasparenti, comprensibili, facilmente accessibili, scritte in un linguaggio chiaro e semplice e gratuite.
  • Il diritto di accesso: gli utenti hanno il diritto di accedere ai propri dati personali e alle informazioni relative: alle modalità di trattamento degli stessi, alle finalità del trattamento, al modo in cui i dati sono stati acquisiti e ai soggetti con cui i dati sono stati eventualmente condivisi. Il diritto di accesso è strettamente legato al diritto alla portabilità dei dati.
  • Il diritto alla portabilità dei dati: l’utente ha il diritto di ottenere (in un formato elettronico leggibile) i propri dati personali allo scopo di trasferirli ad altro titolare, senza che l’attuale titolare crei alcun ostacolo.
  • Il diritto di rettifica: gli utenti hanno il diritto di richiedere la rettifica dei loro dati personali se sono imprecisi o incompleti.
  • Il diritto di opporsi: gli utenti hanno il diritto di opporsi a determinate attività di trattamento dei loro dati personali effettuate dal titolare del trattamento.
  • Il diritto alla cancellazione: l’utente ha il diritto di chiederne la cancellazione nonché la cessazione di ogni altra forma di diffusione quando i dati non sono più utili per le finalità per le quali sono stati raccolti, in caso di revoca del consenso da parte dell’utente o quando i dati personali sono stati trattati in modo illecito.
  • Il diritto a limitare il trattamento: l’utente ha il diritto di richiedere la limitazione del trattamento dei suoi dati personali nei casi in cui abbia contestato la loro esattezza, qualora l’utente si sia opposto al trattamento e l’organizzazione stia valutando se vi sia un motivo legittimo che lo escluda, qualora il trattamento sia illecito ma l’utente richieda una limitazione anziché la cancellazione, o qualora i dati non siano più necessari ma l’utente ne abbia bisogno per stabilire, esercitare o difendere una rivendicazione legale.
  • I diritti relativi ai processi decisionali automatizzati e alla profilazione: gli utenti hanno il diritto di non essere sottoposti a processi decisionali che si basano su un trattamento o una profilazione automatizzati e che producono un effetto legale, o un effetto altrettanto significativo.
  • Il diritto esplicito di presentare un reclamo presso un’autorità di controllo qualora ritengano che il trattamento dei loro dati personali sia stato effettuato in violazione delle disposizioni del regolamento.
  • il diritto al risarcimento di eventuali danni derivanti dall’inosservanza delle norme da parte di un’organizzazione, rendendo in tal modo i trasgressori suscettibili di essere citati in giudizio.

Trasferimento di dati all’estero

Il trasferimento di dati all’estero è consentito solo se sono soddisfatte determinate condizioni. In particolare, il Paese in cui i dati vengono trasferiti deve avere un livello “adeguato” di protezione dei dati personali, al pari degli standard dell’Unione Europea.

Il trasferimento dei dati verso gli Stati Uniti è consentito a patto che il responsabile del trattamento aderisca al Privacy Shield. Il Privacy Shield è un quadro giuridico vincolante che è stato istituito per contribuire a proteggere i diritti degli utenti UE consentendo nel contempo alle società statunitensi di trattare i loro dati senza la necessità di raccogliere uno specifico consenso.

Notifica del data breach

Il titolare del trattamento deve informare l’autorità di controllo entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali (data breach). In ogni caso, il titolare del trattamento deve tenere un registro delle violazioni verificatesi per poter dimostrare all’autorità di controllo il rispetto di tali disposizioni.

Registro del Trattamento

Il GDPR pone in capo ai titolari e ai responsabili del trattamento l’obbligo di tenere e mantenere aggiornato un registro delle particolari attività di trattamento dati effettuate.

Il Registro del Trattamento dei dati deve essere tenuto per iscritto. È possibile tenere il registro sia in formato cartaceo che elettronico. Tuttavia, il formato elettronico è considerato una best practice in quanto ne agevola l’aggiornamento.

Il Registro del Trattamento dei dati (uno tenuto dal titolare e uno tenuto dal responsabile) è un documento contenente l’indicazione dei dati trattati, delle finalità del trattamento, dei soggetti che hanno accesso ai dati, di eventuali trasferimenti all’estero di tali dati, dei relativi termini di cancellazione (data retention) e delle misure di sicurezza adottate.

Data Protection Impact Assessment

Il GDPR prevede all’art. 35 che il titolare effettui una valutazione d’impatto sulla protezione dei dati ogni qualvolta si è in presenza di un nuovo trattamento suscettibile di presentare un “rischio elevato per i diritti e le libertà delle persone fisiche”.

Il Data Protection Impact Assessment (DPIA) è un processo utilizzato per aiutare le organizzazioni a rispettare efficacemente il GDPR e deve essere documentato per iscritto.

Conseguenze del mancato adeguamento al GDPR

Le conseguenze legali per il mancato rispetto del GDPR possono consistere in sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione (a seconda di quale sia il maggiore tra questi due valori). Altrettanto rilevanti sono anche gli altri provvedimenti che possono essere attuati nei confronti delle organizzazioni che hanno commesso una violazione. Tali provvedimenti comprendono richiami ufficiali (per violazioni avvenute per la prima volta), verifiche periodiche sulla protezione dei dati e danni da responsabilità.

Area Web
A cura di Camilla Negra