Avviso 2/2024 Fondirigenti Generazioni Digitali
Fondirigenti ha lanciato il bando Avviso 2/2024 Generazioni Digitali, che promuove la...
Privacy GDPR, privacy impact assessment, adeguamento alla normativa: temi entrati ormai nella quotidianità di imprese e privati, che possono dirsi ormai recepiti. Eppure non mancano ancora notizie riguardo ad aziende che vengono sanzionate dal Garante della privacy per una adozione non corretta delle norme a tutela dei dati. Come tutelarsi, dunque? E cosa sapere per evitare di incorrere in sanzioni?
Contenuto
ToggleCon la sigla GDPR si definisce il General Data Protection Regulation, ovvero la normativa europea di riferimento in materia di protezione dei dati personali. Il Regolamento 2016/679 (GDPR Privacy) nasce da esigenze di certezza giuridica, di semplificazione e armonizzazione delle norme riguardante il trasferimento di dati personali. Con trasferimento si intende la cessione di dati personali dall’Unione Europea a paesi esteri. Si tratta di una esigenza che ha acquisito priorità a seguito dello sviluppo di nuovi modelli di economia che si basano su nuove tecnologie.
Esistono tuttora ambiti di autonomia che restano in gestione ai singoli stati membri, che si trovano a dover disciplinare aspetti che non rientrano nella specifica competenza dell’UE. Questo genera a volte contrasti tra le diverse autorità di controllo nazionali, e potrebbe di conseguenza indurre all’incertezza rispetto ad alcune norme da acquisire e adottare.
Il regolamento sulla tutela dei dati personali è stato pubblicato nella Gazzetta Ufficiale europea nel 2016, il 4 maggio, ed è entrato in vigore venti giorni dopo. L’effettiva attuazione del GDPR è avvenuta però due anni più tardi, ovvero a partire dal 25 maggio del 2018. Il regolamento contiene 99 articoli e 173 considerando, a valore interpretativo.
Non necessita di recepimento da parte degli stati membri (non previsto per i regolamenti) e deve essere adottato in tutti gli stati senza margini di modifica e adattamento, fatta eccezione per quelle parti per cui viene espressamente prevista la possibilità di deroga.
Come viene dichiarato nel considerando 9, il Regolamento ha l’obiettivo di:
Il dato è considerato di proprietà dell’interessato, pertanto potrà essere trattato solo a seguito del rilascio di un consenso da parte di quest’ultimo, che deve essere messo nelle condizioni di avere pieno controllo del dato. L’aumento della regolarità di acquisizione dei dati ne favorisce la libera circolazione e allo stesso tempo tutela e rafforza i diritti del soggetto interessato. La persona deve sempre poter sapere se i suoi dati verranno usati e come verranno usati, a prevenzione dei rischi connessi con il trattamento delle informazioni.
All’articolo 1 par. 2 della normativa privacy GDPR si legge:
Protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali
L’autodeterminazione informativa è dunque un concetto centrale del Regolamento Privacy e, come già dichiarato in passato presso la Corte Costituzionale della Germania, la norma GDPR definisce un diritto essenziale in una società democratica, e necessaria a garanzia del libero sviluppo della personalità del cittadino.
Per riassumere in sintesi cosa è cambiato con l’introduzione del Regolamento sulla privacy e cosa prevede, bisogna tenere conto dei seguenti aspetti:
Le norme contenute nel regolamento privacy europeo si applicheranno non solo alle imprese presenti nel territorio UE, ma anche le imprese con sede al di fuori dell’Unione Europea che operano all’interno del mercato UE.
Con accountability ci si riferisce al dover rendere conto del proprio operato, ovvero alla responsabilità del titolare e dei responsabili del trattamento dei dati. Tradotto in maniera concreta questo significa che tali soggetti devono adottare comportamenti proattivi in grado di dimostrare la reale adozione delle indicazioni previste dal regolamento europeo sulla privacy. Non è sufficiente una adozione formale che potrebbe limitarsi al mero ottenimento del consenso a trattare il dato. È infatti responsabilità del titolare e dei responsabili del trattamento proteggere la persona e la società dai rischi connaturati con il trattamento dei dati personali.
Il GDPR evidenza la necessità di porre in atto misure a tutela e gananzia dei dati che vengono trattati. Il titolare e i responsabili, attenendosi ai principi definiti dal regolamento, hanno l’onere di gestire le modalità e i limiti del trattamento, con particolare attenzione ai principi di privacy by design e privacy by default.
Il regolamento generale sulla protezione dei dati sposta dunque il focus della normativa dalla tutela della persona interessata, alla responsabilità dei titolari del trattamento dei suoi dati.
Rispetto alla normativa precedente, il nuovo regolamento europeo sulla privacy si concentra maggiormente sulla protezione dei dati, che si basa sulla valutazione del rischio. In questo senso si può affermare che il nuovo regolamento privacy adotta un approccio risk based, o basato sulla valutazione del rischio, attraverso cui è possibile determinare la misura di responsabilità del titolare o del responsabile del trattamento (DPO) che può essere interno o esterno (nel caso di privacy in outsourcing).
L’approccio risk based va oltre la conformità alla legge e ha il vantaggio di adattarsi ai vari strumenti e a una più ampia variabilità di esigenze. Tiene infatti conto della probabilità dei rischi e della loro potenziale gravità, oltre che della natura, della portata e delle finalità del trattamento dei dati. È un approccio che semplifica la gestione dei dati, venendo incontro alle esigenze delle aziende. Aziende più piccole avranno obblighi minori rispetto a organizzazioni più grandi.
Il titolare del trattamento ha dunque diverse responsabilità in materia di privacy e GDPR, tra cui:
Lo sportello unico, o one stop shop, è stato introdotto con l’obiettivo di semplificare la gestione dei trattamenti, e di avere un approccio alla materia che può dirsi uniforme. Se un’azienda ha più sedi dislocate in vari paesi, può rivolgersi al Garante Privacy di riferimento all’interno del territorio in cui è localizzata la sede principale. Anche le pubbliche amministrazioni, così come le aziende italiane (oltre la metà) non sono del tutto pronte ad acquisire le norme in materia di data protection. Eppure le sanzioni sono alte. Il caso della multa da 2ml a Clubhouse ne è un esempio, o il caso di Douglas profumerie.
Affinché le aziende possano essere allineate rispetto all’adeguamento al privacy GDPR è necessario
Cosa succede nell’eventualità in cui si configuri un data breach ovvero una violazione dei dati? Il titolare del trattamento ha l’obbligo di dare comunicazione al Garante (nel più breve tempo possibile) delle violazioni che impattano direttamente sui diritti e sulla libertà dei soggetti interessati. Per rispondere a una violazione dei dati è necessario un approccio competente, multidisciplinare e integrato a livello UE. L’European Data Protection Board (EPDB) nel gennaio del 2021 ha adottato la prima versione delle linee guida, le Guidelines 01/2021 on Examples regarding Data Breach, che forniscono informazioni tramite esempi pratici di violazione dei dati, e integrano le precedenti (adottate nel febbraio 2018 dall’ex WP29, oggi EDPB appunto). Inoltre esiste un “Servizio telematico” predisposto dal Garante Privacy, attivo a livello nazionale, e che fornisce uno strumento di autovalutazione utile per notificare una violazione dei dati all’Autorità garante.
CERCHI IL SUPPORTO DI UN TEAM ESPERTO?
PROSSIAMO AIUTARTI.
PROVA IL
Privacy pre-assessement gratuito
Uno dei primi adempimenti da mettere in atto – in ambito privacy GDPR – è l’adozione, per quanto riguarda le aziende italiane, di un Registro dei trattamenti di dati personali, obbligatorio per le aziende con oltre 250 dipendenti. Con meno dipendenti non è necessario, a meno che non sovvengano determinate casistiche: se il trattamento presenta un rischio per i diritti e le libertà dell’interessato, se il trattamento non è occasionale e include categorie particolari di dati (dati relativi a condanne penali e reati). Il Registro dei trattamenti di dati personali ha lo scopo di portare le aziende ad avere un quadro aggiornato rispetto ai trattamenti in essere, un passaggio che si collega direttamente alla valutazione e l’analisi del rischio. Deve essere predisposto in forma scritta ed elettronica, perché dovrà essere esibito in caso di verifica da parte del Garante.
Questo documento contiene le informazioni relative alle operazioni di trattamento svolte dal titolare, ed eventualmente – se presente – dal Responsabile del trattamento dati.
Riguardo le informazioni che devono essere contenute nel registro o di altro supporto per adeguare la tua azienda al nuovo regolamento europeo sulla privacy siamo a tua disposizione.
INFORPC è a disposizione per adeguare le procedure adottate dalla tua azienda alla normativa sulla protezione dei dati personali e fornirti la documentazione privacy necessaria.
Il supporto da parte di un team esperto in materia è fondamentale per mitigare il rischio di violazione della privacy dei soggetti sottoposti ai controlli.
sc
Fondirigenti ha lanciato il bando Avviso 2/2024 Generazioni Digitali, che promuove la...
Con l’Avviso 1/2024, Fondirigenti mette a disposizione 10 milioni di euro per sostenere...
Scopri le nuove prospettive di finanziamento per la formazione aziendale offerte da...