GDPR COSA FARE? E CHE COS’È ESATTAMENTE?
Dopo diversi anni di dibattiti, rettifiche e aggiornamenti, il GDPR è stato approvato dal Parlamento dell’Unione Europea il 14 Aprile 2016, ed è entrato ufficialmente in vigore il 25 maggio 2018.
GDPR COSA FARE? E CHE COS’È ESATTAMENTE?
La sigla GDPR sta per General Data Protection Regulation è il nuovo regolamento sulla Privacy ai sensi del Regolamento (UE) 2016/679.
Si tratta di una serie di regole uniformi che stabiliscono la corretta gestione e la sicurezza dei dati personali. Tutte le aziende pertanto hanno l’obbligo ad adeguarsi, dimostrando di operare in conformità a quanto previsto dalla GDPR.
L’obbligo di conformarsi alle nuove prescrizioni riguarda non solo tutte le Aziende all’interno dello spazio UE, ma anche tutte le Persone Giuridiche (Partite Iva) con sede legale al di fuori della UE, che nella loro attività si trovano a gestire o trattare dati personali di chi risiede nel Territorio Europeo.
La GDPR nasce quindi dall’esigenza necessaria, di dare un regolamento comune nell’UE ed una maggiore protezione della privacy.
GDPR COSA FARE E QUALI SONO I PRINCIPI FONDAMENTALI INTRODOTTI?
GDPR cosa fare: Consenso al Trattamento
Per consenso nella GDPR si intende l’esplicito permesso a utilizzare i propri dati anche solo per il semplice contatto telefonico o via email. Le condizioni per il consenso sono state rafforzate. Il regolamento dice che qualsiasi richiesta di consenso al trattamento deve essere fornita in forma facilmente accessibile, deve essere chiaro e distinguibile da altre questioni e fornito in una forma chiaramente intesa utilizzando un linguaggio chiaro e semplice. Il consenso deve essere anche specifico, cioè non allargato ad altri consensi ma presentare una finalità alla volta.
Sarà necessario il consenso dei genitori per la elaborazione dei dati dei bambini – attualmente il limite di età è di 16 anni.
Il consenso richiede una dichiarazione o un’azione positiva inequivocabile da parte dell’interessato, che deve avere intrapreso un’azione deliberata per acconsentire allo specifico trattamento. Rimane quindi al Titolare o Responsabile del trattamento il compito di ricercare ed utilizzare il mezzo migliore per poter dimostrare di avere raccolto un valido consenso.
Il consenso deve essere revocabile, quindi l’iscritto non solo deve essere in grado di potersi cancellare ma, addirittura, di poter cancellare i propri dati in modo definitivo ricorrendo al diritto all’oblio (la non diffondibilità dei dati) in presenza di motivazioni “forti”. Anche se per motivi di legge, ad esempio amministrativi, sarà possibile continuare a gestire il dato fino all’estinzione dell’obbligo che ne vietava la cancellazione.
GDPR cosa fare: nomina del DPO
Il DPO (Data Protection Officer) è una figura introdotta dal Regolamento GDPR, è colui che si occupa del trattamento dei dati. Si tratta di una figura storicamente già presente in alcune legislazioni europee, è un professionista, nominato dall’azienda, altamente specializzato e aggiornato che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management (valutazione rischio) e analisi dei strumenti utilizzati per la raccolta e la conservazione dei dati.
La sua responsabilità principale è quindi quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione), affinchè questi siano trattati nel pieno rispetto delle normative privacy europee e nazionali.
Il DPO, in Azienda, deve essere obbligatoriamente occupata da colui che abbia le maggiori qualifiche scolastiche (lauree, master, etc.). Rientra nella lista del tema: GDPR Cosa fare.
Il regolamento prevede che questa posizione possa essere ricoperto anche da un soggetto terzo all’azienda, purchè si tratti di persona giuridica. In questo caso l’azienda ha due vantaggi:
- Non è necessario la formazione di qualcuno interno all’azienda sulle tematiche del GDPR.
- La responsabilità in caso di problemi può essere trasferita al soggetto incaricato.
GDPR cosa fare: Quando nominare il DPO?
Il Regolamento disciplina l’istituzione della figura del DPO nei seguenti casi:
- Il trattamento è effettuato da un’Autorità Pubblica o da un Organismo Pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
- Le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure
- le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati sensibili che rivelino l’origine razziale o etnica, l’orientamento politico, convinzioni religiose o filosofiche, dati genetici, dati biometrici che identificano in modo univoco una persona fisica, nonchè dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
GDPR cosa fare: Quali sono i principali compiti del DPO?
L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO:
- Informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati.
- Sorvegliare l’osservanza del presente regolamento, in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
- Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35.
- Cooperare con l’autorità di controllo, e
- Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Nell’eseguire i propri compiti il DPO considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
GDPR cosa fare: evitare le sanzioni
Le Sanzioni previste dal Regolamento Privacy Europeo (UE/2016/679) sono pesanti!
Le sanzioni amministrative pecuniarie riportate nell’elenco che segue, possono essere integrative, oppure completamente sostitutive delle sanzioni correttive indicate nell’elenco successivo e si distinguono in sanzioni di carattere economico e sanzioni correttive.
La decisione sull’applicazione delle sanzioni spetta all’autorità di controllo (in Italia: l’Autorità Garante per la Protezione dei Dati Personali), che, nella valutazione, tiene conto delle circostanze del singolo caso, ossia:
- della natura, gravità e durata della violazione
- del carattere doloso o colposo della violazione
- delle misure adottate per attenuare il danno subito dagli interessati
- delle eventuali precedenti violazioni commesse dal titolare del trattamento
- del grado di cooperazione con l’autorità di controllo
- degli eventuali altri fattori aggravanti
SANZIONI DI CARATTERE ECONOMICO:
- Inosservanza degli obblighi del titolare e del responsabile del trattamento; inosservanza degli obblighi dell’organismo di certificazione; inosservanza degli obblighi dell’organismo di controllo: fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato annuo dell’esercizio precedente.
- Inosservanza dei principi base del trattamento; inosservanza dei diritti degli interessati; inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali; inosservanza di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo: fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo dell’esercizio precedente.
- Inosservanza di un ordine correttivo dell’autorità di controllo: fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
SANZIONI CORRETTIVE:
Le sanzioni correttive sono connesse ai poteri dell’Autorità di controllo. Essi consistono nel:
- Rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare il GDPR.
- Rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del GDPR.
- Ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti.
- Ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del GDPR, anche specificando in che modo ed entro quale termine.
- Ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali.
- Imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.
- Ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali.
- Revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti.
- Infliggere una sanzione amministrativa pecuniaria in aggiunta alle presenti misure (v. sopra).
- Ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
GDPR Cosa fare se si verifica una violazione dei dati? L’organizzazione è tenuta ad autodenunciarsi presso le autorità di controllo entro 72 ore.
Deve fornire documentazione che è stata fatto tutto il necessario in termini di adempimento della normativa per non incorrere nelle sanzioni previste.
IN CONCLUSIONE COSA FARE PER IL GDPR?
Il primo consiglio che vi possiamo dare è quello di rivolgersi ad aziende professionali e competenti sull’argomento, come il CSSM HEALTH PER AZIENDE.
In sintesi, sono 5 i punti chiave che ogni azienda deve affrontare per adeguarsi alla GDPR. Ecco GDPR cosa fare:
- Controllare pienamente l’accesso ai dati, con database strutturati e destrutturati.
- Identificazione chiara dei dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati).
- Governance dei dati: chiarificazione delle policy, identificazione dei processi di gestione, assegnazione delle responsabilità (DPO – Data Protection Officer).
- Strategie di protezione dei dati: anonimizzazione dei record di dati e crittografia.
- Controllo delle procedure applicate, con rapporto interno , verifiche, gestione proattiva del rapporto con gli utenti.
Quelle appena elencate sono le principali, ma ci sono altri aspetti che dipendono dal settore dell’azienda.
E’ fondamentale, tuttavia, un cambio di mentalità, prevedere il concetto di “Privacy by Design”, ossia considerare privacy e sicurezza informatica parte integrante del business della tua Azienda.
Contattaci per ulteriori informazioni e/o per un appuntamento con i nostri professionisti del centro Specialistico San Martino in via Cavallotti 28 a Vergiate (Varese).