consulenzalegaleitalia.it GDPR: una guida rapida
gdpr
Avv. Beatrice Bellato

Il GDPR – indice:

Dallo scorso 25 maggio 2018 è diventato immediatamente applicabile in tutti gli Stati membri il Regolamento UE 2016/679, meglio noto come General Data Protection Regulation e, ancor di più, con l’acronimo GDPR. Un documento che impatta pesantemente sul trattamento e sulla libera circolazione dei dati personali, e che tanta preoccupazione ha generato negli addetti al settore, e non solo.

Ma perché si è arrivati al GDPR? Quali sono le novità introdotte da questo Regolamento? Come comportarsi? E cosa si rischia in caso di violazione?

Come si è arrivati al GDPR

Come oramai noto, si giunge al GDPR per poter soddisfare una necessità di maggiore semplicità e armonia delle norme sul trattamento e sul trasferimento di dati personali all’interno dell’Unione Europea, e dal territorio comunitario ad altre parti del mondo.

Si tratta, in tal senso, di un’evoluzione della vecchia normativa che, pur valida, non risultava più in grado di fronteggiare le sfide poste in essere dalle nuove tecnologie e dai nuovi modelli economici. E che, ben inteso, aveva altresì creato delle divergenze non marginali tra le regole di gestione dei vari Paesi membri, tanto da rendere opportuno un provvedimento che, in estrema sintesi:

  • introducesse regole più chiare sull’informativa e sul consenso;
  • prevedesse limiti concreti al trattamento dei dati;
  • ponesse le basi per esercitare nuovi diritti, o esercitare più congruamente i precedenti;
  • stabilisse regole certe per il trasferimento dei dati al di fuori dell’Unione Europea;
  • fissasse delle norme per le violazioni dei dati.

Il GDPR in Italia

Il nostro Paese non ha ancora esercitato la delega: per riuscirci dovrà agire entro il 22 agosto 2018, tempo limite per il varo di un decreto legislativo di adeguamento della normativa italiana al GDPR. Fino ad allora si troverà applicazione il regolamento europeo.

Il Data Protection Officer (DPO)

Una delle principali novità introdotte dal GDPR è la previsione della figura del Data Protection Officer (DPO), o Responsabile della protezione dei dati. Si tratta di una figura che ha l’incarico di assicurare la corretta gestione dei dati personali nelle imprese e negli enti. Dovrà essere individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e delle prassi sulla protezione dei dati personali.

Quella del DPO è una figura fondamentale nel nuovo ambito di gestione dei dati. È una figura indipendente, che avrà la possibilità di vedersi attribuite risorse umane e finanziarie adeguate al suo incarico, e che riferirà direttamente al vertice dell’organizzazione. Ad ogni modo, il suo ruolo non deve essere confuso con quello del titolare del trattamento, che continuerà a rappresentare il centro di tutto il sistema di gestione dei dati personali.

Violazione dei dati GDPR

Una parte fondamentale del nuovo Regolamento è legato alla previsione del data breach: il titolare del trattamento dei dati ha infatti l’obbligo di comunicare eventuali violazioni dei dati personali al Garante. Il GDPR prevede che la violazione debba essere comunicata entro 72 ore dal momento in cui si è venuti a conoscenza della violazione, a meno che la violazione dei dati personali non presenti un rischio per i diritti e le libertà delle persone fisiche.

La notifica dovrà:

  • descrivere la natura della violazione dei dati personali e l’individuazione del numero di interessati (anche approssimativo);
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati;
  • descrivere le conseguenze probabili delle violazioni;
  • descrivere le misure che si sono adottate, o la proposta dell’adozione delle misure da parte del titolare del trattamento per poter porre rimedio alla violazione dei dati personali.

Registro dei trattamenti dei dati personali

Nel complesso e intricato mosaico delle novità del GDPR, il primo adempimento in capo alle imprese italiane sarà presumibilmente rappresentato dall’adozione del Registro dei trattamenti dei dati personali, prevista dall’art. 30 del Regolamento.

Il Registro, la cui tenuta è a carico del titolare e, ove nominato, del Responsabile del trattamento, deve contenere alcune informazioni come:

  • il nome e i dati di contatto del titolare del trattamento e, ove nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);
  • le finalità del trattamento dei dati personali;
  • una descrizione delle categorie di interessati e delle categorie dei dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali;
  • se applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Si tenga comunque conto che sono esentate dall’obbligo di tenuta del registro tutte quelle imprese / organizzazioni con meno di 250 dipendenti, salvo il caso in cui il trattamento possa rappresentare un rischio per i diritti e per le libertà degli interessati, non sia occasionale o includa il trattamento di categorie particolari i dati (come quelli sensibili o giudiziari).

Sanzioni GDPR

Il GDPR ha sicuramente rafforzato le sanzioni in caso di violazione delle regole sul trattamento de idati personali.

In particolare, per quanto concerne le sanzioni amministrative pecuniarie, queste possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale dell’impresa / organizzazione.

Per quanto concerne alcune ipotesi da cui scaturiscono tali sanzioni, si pensi – a titolo di esempio non esaustivo – a casi di:

  • violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione;
  • trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;
  • mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente;
  • violazione dell’obbligo di nomina del DPO;
  • mancata applicazione di misure di sicurezza.

È inoltre possibile che le sanzioni amministrative di natura pecuniaria salgano fino a 20 milioni di euro, o fino al 4% del fatturato mondiale dell’impresa, in casi più gravi, come:

  • inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente;
  • trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.

Vi è poi la possibilità di previsione di sanzioni di natura penale, nel caso in cui si accerti l’esistenza del carattere doloso della condotta. Si pensi, sempre per esempio, a:

  • trattamenti illeciti autorizzati esplicitamente dal senior management, ovvero ignorando i pareri formulati dal DPO;
  • modifica di dati personali, avente la finalità di fornire un’impressione “fuorviante” circa il conseguimento degli obiettivi individuati;
  • vendita di dati, in mancanza di verifica e/o ignorando la scelta liberamente esercitata dagli interessati.

I poteri del Garante nel GDPR

Il GDPR si sofferma infine anche sui poteri dell’autorità garante. È preveisto che la stessa debba svolgere un controllo costante sull’operato e sulle attività poste in essere dal titolare o dal responsabile del trattamento. Il controllo deve essere, per sua natura, generale e perpetuo, ininterrotto, ed è disciplinato dall’art. 57 del Regolamento, che indica decine di compiti da svolgere.

Si tratta di attività che non ribadiamo in maniera integrale in queste pagine. Queste vanno dal più generale “sorveglia e assicura l’applicazione del regolamento” all’ancor più ampio “svolge qualsiasi altro compito legato alla protezione dei dati personali”. Si tratta di compiti che prevedono attività molto diversificate, e che vengono svolti mediante l’esercizio di poteri di indagine, correttivi, autorizzativi e consultivi, citati non a caso in tale ordine di “profondità”.

In primo luogo, infatti, l’autorità può esercitare i suoi poteri di indagine domandando al titolare ogni informazione di cui necessita. In tale fase di indagine l’autorità di controllo potrà anche notificare le presunte violazioni del Regolamento al titolare, o al responsabile del trattamento. Ulteriormente, l’authority avrà anche il dovere di imporre al titolare del trattamento il soddisfacimento delle richieste dell’interessato di esercitare i diritti ad esso spettante e, in caso di violazione, ordinare che queste vengano comunicate all’interessato.

Tra i poteri corretti vi è poi quello di stabilire limitazioni (temporanee o definitive) al trattamento (si può giungere anche all’intervento estremo di vietarlo), o ancora di ordinare rettifiche e cancellazioni di dati. Il riferimento ai poteri autorizzativi e consultivi è invece quello alle funzioni connesse con le competenze e con i poteri indicati, dalla consulenza al titolare del trattamento alla definizione delle autorizzazioni cui è subordinata l’attività di trattamento dei dati.

Avv. Bellato – diritto dell’informatica, internet e social network

Quanto utile è stato questo articolo?

Esprimi il tuo voto

Voto medio 5 / 5. Conteggio voti 1

Nessuna valutazione ad ora: valuta per primo