Vuoi conoscere le ultime novità in materia di privacy e trattamento dati personali? Scarica questa guida, per approfondire in modo dettagliato i principali aspetti legati all'entrata in vigore del GDPR.
L'Inbound Marketing, la strada per il tuo successo online.
Il gdpr e le nuove norme sulla privacy
1. Le nuove regole della Privacy .
Regolamento UE sulla protezione dei dati .
2. Nuova Privacy al via: le opportunità
e le sfide.
Il 04 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale
dell’Unione Europea il Regolamento UE 2016/679 (più
comunemente conosciuto con l’acronimo GDPR), relativo alla
protezione delle persone fisiche con riferimento al trattamento dei
dati personali, nonché alla libera circolazione di tali dati. Questo
provvedimento abroga la Direttiva 95/46/Ce.
La tutela dei dati personali è riconosciuta diritto fondamentale dei
cittadini e dei residenti nel territorio dell’Unione Europea. Da
questo principio, è nata l’esigenza di adottare un regolamento avente
la medesima efficacia in tutto il territorio UE.
3. Nuova Privacy al via: le opportunità
e le sfide.
A partire dal 25 maggio 2018, il nuovo Regolamento 2016/679 si
applica al trattamento di dati personali di persone fisiche
effettuato da un titolare del trattamento stabilito nel territorio
dell’UE o da un titolare non stabilito nel territorio dell’Unione Europea
laddove il trattamento riguardi dati di persone residenti nell’UE e, in
particolare, l’offerta e la fornitura di beni e servizi a tali soggetti
nonché il monitoraggio dei loro comportamenti nell’UE.
Pertanto, qualsiasi entità, organizzazione e/o azienda che operi
nell’Unione Europea è soggetta al GDPR, a prescindere dal luogo
in cui ha la sede principale.
4. Il contenuto innovativo del GDPR.
Il Regolamento contiene alcune disposizioni innovative che
disciplinano argomenti quali le cosiddette privacy by design e
privacy by default, il diritto all’oblio, il dritto alla portabilità dei
dati, il diritto di accesso, di opposizione e di limitazione dei
trattamenti, il diritto ad una tutela rafforzata nel caso di
trattamenti automatizzati con effetto decisionale senza
intervento umano, la nuova figura del DPO (Data Protection
Officer), la disciplina del registro delle attività di trattamento, la
disciplina relativa ai servizi della società dell’informazione (in
particolare i social media) e i minori, un nuovo sistema sanzionatorio.
5. Il quadro sanzionatorio del GDPR.
Tra le novità introdotte dal GDPR, il quadro sanzionatorio rappresenta,
per molti, quella di maggior impatto. Lo è, in particolare, poiché
prevede che le sanzioni amministrative pecuniarie possono
raggiungere i 20 milioni di euro o, se superiore, il 45% del
fatturato mondiale.
Con riferimento alle sanzioni di carattere penale, è previsto che gli
Stati membri possano prevederle ove le ritengano utili come ulteriore
strumento di rafforzamento.
6. La definizione di dato personale.
La definizione è fornita dall’articolo 4: “Qualsiasi informazione
riguardante una persona fisica identificata o identificabile (interessato) .
Si considera identificabile la persona fisica che può essere identificata,
direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione, dati relativi
all’ubicazione, un identificativo online o ad uno o più elementi
caratteristici della sua identità fisica, genetica, psichica, economica,
culturale o sociale.”
7.
8. La definizione di dato personale.
Particolare rilevanza e attenzione è riservata nel Regolamento ai dati
sensibili (origine razziale o etnica, le opinioni politiche, le
convinzioni religiose, politiche o filosofiche, l’appartenenza
sindacale, vita sessuale) e fra questi in particolare ai:
dati genetici: dati personali relativi alle caratteristiche genetiche
ereditarie o acquisite di una persona fisica che forniscono
informazioni univoche sulla fisiologia o sulla salute della persona
fisica, e che risultano in particolare dall’analisi di un campione
biologico del soggetto.
9. La definizione di dato personale.
dati biometrici: dati personali ottenuti da un trattamento tecnico
specifico relativi alle caratteristiche fisiche, fisiologiche o
comportamentali di una persona fisica che ne consentono o
confermano l’identificazione univoca, quali l’immagine facciale o i
dati dattiloscopici.
dati relativi alla salute: dati personali attinenti alla salute fisica o
mentale, compresa la prestazione di servizi di assistenza sanitaria, che
rivelano informazioni relative allo stato di salute.
10. L’ambito di applicazione dei dati
personali.
Per quanto concerne l’ambito di applicazione, il regolamento prevede
due diversi criteri:
materiale: riguarda la tipologia del trattamento dei dati ai quali si
riferisce il regolamento ovvero: il presente regolamento si applica al
trattamento interamente o parzialmente automatizzato dei dati
personali e al trattamento automatizzato di dati personali contenuti in
un archivio o destinati a figurarvi.
ARCHIVIO: qualsiasi insieme strutturato di dati personali accessibili
secondo criteri determinati, indipendentemente dal fatto che tale
insieme sia centralizzato, decentralizzato oppure ripartito in modo
funzionale o geografico.
11. L’ambito di applicazione dei dati
personali.
Restano esclusi dall’ambito di applicazione del GDPR:
i trattamenti dati che si riferiscono ad attività che non rientrano
nell’ambito di applicazione del Diritto dell’Unione Europea.
il trattamento dati effettuato da una persona fisica per attività di
carattere personale o domestico.
Il trattamento dati effettuato dalle autorità competenti ai fini di
prevenzione, indagine, accertamento o perseguimento di reati o
esecuzioni di sanzioni penali.
12. L’ambito di applicazione dei dati
personali.
territoriale: il GDPR si applica al trattamento dei dati personali
di interessati che si trovano nell’UE, effettuato da un titolare del
trattamento o da un responsabile del trattamento che non è stabilito
nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati
nell’Unione, indipendentemente dall’obbligatorietà di un
pagamento dell’interessato;
a) il monitoraggio del loro comportamento nella misura in cui tale
comportamento ha luogo all’interno dell’Unione.
b) Il regolamento si applica anche al trattamento dei dati personali
effettuato da un titolare del trattamento che non è stabilito
nell’Unione, ma in un luogo soggetto al diritto di uno Stato
membro in virtù del diritto internazionale pubblico.
14. Il Titolare del Trattamento dati.
Il titolare del trattamento è la persona fisica o giuridica, l’autorità
pubblica, il servizio o altro organismo che, singolarmente o insieme
ad altri, determina le finalità e i mezzi del trattamento di dati
personali.
Ha l’obbligo di:
mettere in atto misure tecniche e organizzative adeguate per
garantire che siano trattati, per impostazione predefinita, solo i dati
personali necessari per ogni specifica finalità del trattamento
adottare politiche interne conformi al Regolamento
essere in grado di dimostrare che il trattamento è conforme al
Regolamento (principio dell’accountability)
essere in grado di dimostrare di avere adottato misure
(organizzative e tecniche) adeguate ed efficaci per la protezione
dei dati personali.
15. Il Titolare del Trattamento dati.
Il titolare del trattamento decide autonomamente in ordine alle
modalità del trattamento dei dati.
È possibile anche la contitolarità del trattamento: ciò avviene allorché
due o più titolari del trattamento determinano congiuntamente le
finalità e i mezzi del trattamento.
In questo caso, determinano in modo trasparente, mediante un
accordo interno, le rispettive responsabilità in merito all’osservanza
degli obblighi derivanti dal presente Regolamento, con particolare
riguardo all’esercizio dei diritti dell’interessato. L’accordo deve
disciplinare in maniera esaustiva i rispettivi ruoli e i rapporti dei
contitolari con gli interessati. Il contenuto essenziale dell’accordo è
messo a disposizione dell’interessato.
16. Il Responsabile del Trattamento
dati.
Il responsabile del trattamento è la persona fisica o giuridica,
l’autorità pubblica, il servizio o altro organismo che tratta dati
personali per conto del titolare del trattamento.
Il responsabile è designato dal titolare con un contratto o con altro
atto giuridico idoneo a vincolare detta figura nei confronti del titolare.
Il suddetto contratto deve necessariamente disciplinare:
• la durata, natura e finalità del trattamento
• le categorie dei dati oggetto del trattamento
• le categorie di interessati
• gli obblighi e diritti del titolare
• le misure tecniche e organizzative adeguate a consentire il rispetto
17. Il Responsabile del Trattamento
dati.
Nel rispetto degli stessi obblighi contrattuali che legano titolare e
responsabile, è consentita la nomina di sub-responsabili del
trattamento da parte di un responsabile per specifiche attività di
trattamento.
Il responsabile risponde dell’inadempimento dell’eventuale sub-
responsabile; esso è esonerato dalla responsabilità solo se dimostra
che l’evento dannoso non gli è in alcun modo imputabile.
18. L’Incaricato del Trattamento dati.
Sono le persone fisiche che effettuano le operazioni di
trattamento dei dati personali e operano sotto la diretta autorità
del titolare (o del responsabile se è stato nominato) secondo precise
istruzioni.
Per poter svolgere queste operazioni in maniera lecita, è necessario
che il personale chiamato a trattare i dati venga opportunamente
designato per iscritto, individuando puntualmente l’ambito di
trattamento consentito.
19. Il Data Protection Officer (DPO).
Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento
per assolvere a funzioni di supporto e controllo, consultive, formative e
informative relativamente all’applicazione del Regolamento medesimo.
Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al
Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per
le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del
Regolamento).
Ha il compito di analizzare, valutare e disciplinare la gestione del trattamento
e della salvaguardia dei dati personali all’interno di un’azienda, secondo le
direttive imposte dalle normative vigenti: potrà essere un soggetto interno
(dipendente o collaboratore) o esterno (società di consulenza) e dovrà possedere
competenze sia in aree giuridiche che informatiche e una ampia conoscenza della
normativa.
20. Quando è obbligatoria la sua
nomina?
La designazione del DPO è obbligatoria se:
il trattamento è effettuato da un’autorità pubblica o un organismo
pubblico (escluse le autorità giurisdizionali nell’esercizio delle loro
funzioni),
ovvero le attività principali del Titolare e del Responsabile del
trattamento consistono in trattamenti che, per loro natura, ambito di
applicazione e/o finalità, richiedono il monitoraggio regolare e
sistematico degli interessi su larga scala, o
le attività principali del Titolare e del Responsabile del trattamento
consistono in trattamenti su larga scala di categorie particolari di dati
personali (ex “dati sensibili”: idonei a rivelare l’origine razziale o etnica,
le opinioni politiche, le convinzioni religiose o filosofiche, o
l’appartenenza sindacale, nonché i dati genetici, biometrici e i dati
giudiziari).
21. Quando è obbligatoria la sua
nomina?
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo
esemplificativo e non esaustivo:
istituti di credito;
imprese assicurative;
sistemi di informazione creditizia;
società finanziarie;
società di informazioni commerciali;
società di revisione contabile;
società di recupero crediti;
istituti di vigilanza; partiti e movimenti politici;
sindacati; caf e patronati; società operanti nel settore delle
“utilities” (telecomunicazioni, distribuzione di energia elettrica o gas).
23. I principi fondamentali applicabili
al trattamento dei dati personali.
Secondo il dettato normativo, i dati personali devono essere:
trattati in modo lecito, corretto e trasparente nei confronti
dell’interessato (liceità, correttezza e trasparenza).
raccolti per finalità determinate, esplicite e legittime e
successivamente trattati in modo che non sia incompatibile con tali
finalità.
adeguati, pertinenti e limitati a quanto necessario rispetto alle
finalità per le quali sono trattati (minimizzazione dei dati).
esatti e se necessario aggiornati: devono essere adottate tutte le
misure ragionevoli per cancellare o rettificare tempestivamente i dati
inesatti rispetto alle finalità per le quali sono stati trattati.
24. I principi fondamentali applicabili
al trattamento dei dati personali.
conservati in una forma che consenta l’identificazione degli
interessati per un arco di tempo non superiore al conseguimento
delle finalità per le quali sono trattati.
I dati personali possono essere conservati per periodi più lunghi, a
condizione che siano trattati esclusivamente ai fini di archiviazione nel
pubblico interesse, di ricerca scientifica o storica o ai fini statistici.
trattati in maniera da garantire un’adeguata sicurezza dei dati
personali, compresa la protezione, mediante misure tecniche o
organizzative adeguate, da trattamenti non autorizzati o illeciti e della
perdita, della distruzione o dal danno accidentali.
25. La Liceità del Trattamento.
L’articolo 6 del Regolamento prevede che il trattamento dei dati
deve considerarsi lecito qualora ricorrano almeno una delle
seguenti condizioni:
l’interessato ha espresso il consenso al trattamento dei propri
dati personali, per una o più specifiche finalità;
il trattamento è necessario all’esecuzione di un contratto di cui
l’interessato è parte o all’esecuzione di misure precontrattuali adottate
su richiesta dello stesso;
il trattamento è necessario per adempiere ad un obbligo legale
al quale è soggetto il titolare del trattamento;
il trattamento è necessario per la salvaguardia degli interessi
vitali dell’interessato o di un’altra persona fisica.
26. La Liceità del Trattamento.
il trattamento è necessario per l’esecuzione di un compito di
interesse pubblico o connesso all’esercizio di pubblici poteri di cui è
investito il titolare del trattamento.
il trattamento è necessario per il perseguimento del legittimo
interesse del titolare del trattamento o di terzi, a condizione che
non prevalgano gli interessi o i diritti e le libertà fondamentali
dell’interessato che richiedano la protezione dei dati personali, in
particolare se l’interessato è minore.
Consenso dell’interessato: nell’ipotesi in cui sia richiesto il consenso
dell’interessato, si crea un vincolo contrattuale tra il titolare del
trattamento e l’interessato stesso, il quale autorizza espressamente
il titolare a procedere con il trattamento in parola.
27. La Correttezza del Trattamento.
La correttezza deve riguardare ogni fase del trattamento, da quella
d’informazione dell’interessato, a quella di raccolta, trattamento e
conservazione dei dati.
I dati devono essere esatti e, se necessario, devono essere aggiornati
attraverso l’adozione delle misure ragionevoli per cancellare o
rettificare i dati inesatti rispetto alle finalità per le quali sono trattati.
Per questo, è necessario che gli stessi siano conservati in una forma
che consenta l’identificazione degli interessati.
28. La definizione di Trattamento.
Il trattamento è definito come qualsiasi operazione o insieme di
operazioni, compiute con o senza l’ausilio di processi automatizzati e
applicate a dati personali o insieme di dati personali, come la raccolta,
la registrazione, l’organizzazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra
forma di messa a disposizione, il raffronto o l’interconnessione, la
limitazione, la cancellazione o la distruzione.
Il trattamento deve avvenire in maniera lecita, corretta e
trasparente.
29. Il consenso al trattamento dei dati.
Prima di esprimere il proprio consenso, l’interessato deve essere
compiutamente informato delle modalità e finalità di trattamento dei
dati.
Il consenso deve essere espresso in modo:
libero;
inequivoco;
specifico ( deve riferirsi a un preciso trattamento e non può essere
generico ed estendibile a vari possibili trattamenti) con esclusione
quindi di forme di consenso tacito o mediante opzioni già
preselezionate.
30. Il consenso al trattamento dei dati.
Il consenso al trattamento dati deve essere liberamente espresso e
documentato per iscritto (se è stato espresso a voce, si può tenere
traccia da chi, dove e quando sia stato ottenuto il consenso).
E’ anche necessario differenziare il consenso richiesto in base allo
specifico trattamento che si vuole effettuare, eventualmente
spiegando alla persona interessata quali benefici può avere offrendo il
suo assenso al trattamento dei dati.
31. Il consenso al trattamento dei dati.
Il consenso al trattamento dati deve essere liberamente espresso e
documentato per iscritto (se è stato espresso a voce, si può tenere
traccia da chi, dove e quando sia stato ottenuto il consenso).
E’ anche necessario differenziare il consenso richiesto in base allo
specifico trattamento che si vuole effettuare, eventualmente
spiegando alla persona interessata quali benefici può avere offrendo il
suo assenso al trattamento dei dati.
32. L’informativa Privacy.
Un’impresa che tratti dati personali deve spiegare agli interessati
con un’informativa completa e chiara, le caratteristiche essenziali
dei trattamenti effettuati: dove sono stati presi i dati, le finalità e le
modalità del trattamento, se i dati debbano o possano essere forniti, i
soggetti o le eventuali categorie ai quali i dati personali possono
essere comunicati o che possano venirne a conoscenza, nonché il
nome di almeno un responsabile del trattamento, qualora designato.
L’informativa deve essere fornita entro un termine ragionevole
che non può superare un mese dalla raccolta, oppure al momento
della comunicazione in modo conciso, trasparente, sintetica e
comprensibile.
33. Diritti della persona interessata.
I diritti riconosciuti all’interessato sono di diversa natura e, pertanto,
possono essere riassunti come segue:
diritto alla trasparenza;
diritto all’informativa;
diritto di accesso ai propri dati;
diritto di rettifica;
diritto all’oblio;
limitazione del trattamento;
diritto alla portabilità dei dati;
diritto di opposizione al trattamento.
34. Diritto alla trasparenza.
L’interessato ha il diritto di:
conoscere e comprendere le finalità per le quali vengono trattati i
propri dati personali;
monitorare i propri dati in modo costante, richiedendo informazioni
a chi li detiene in qualsiasi momento.
decidere in ogni momento che cosa fare dei propri dati personali.
35. Diritto di accesso ai propri dati.
L’interessato può richiedere in ogni momento al titolare del
trattamento se sia in atto un trattamento dei suoi dati personali e, in
caso positivo, ha il diritto di ottenere informazioni che riguardano vari
aspetti, tra cui:
le finalità del trattamento;
le categorie di dati che sono oggetto di trattamento;
i destinatari o le categorie di destinatari a cui i dati personali sono
stati o saranno comunicati;
il periodo di conservazione dei dati personali;
il diritto di chiedere la rettifica o la limitazione del trattamento dei
dati personali che lo riguardano o di opporsi al loro trattamento;
il diritto di proporre reclamo a un’autorità di controllo.
36. Il diritto all’oblio.
Il diritto alla cancellazione prevede la possibilità per l’interessato di
chiedere ed ottenere la cancellazione dei propri dati personali in
ipotesi specifiche che vengono elencate dallo stesso GDPR, in
particolare se ricorre almeno uno di questi motivi:
i dati personali non sono più necessari alle finalità per le quali
sono stati raccolti o altrimenti trattati.
l’interessato revoca il consenso su cui si basa il trattamento e non
sussista altro fondamento giuridico per il trattamento di quegli
stessi dati.
37. Il diritto alla portabilità.
Il diritto alla portabilità riconosce all’interessato la possibilità di
chiedere al titolare che tratti i suoi dati di restituire gli stessi (la
norma indica testualmente: di riceverli in un formato strutturato, di
uso comune e intellegibile da dispositivo automatico) e la possibilità
di trasmettere gli stessi ad altro titolare del trattamento.
In sostanza si prevede la possibilità per l’interessato di interrompere
il trattamento dei propri dati da parte di un titolare e di trasferire
gli stessi ad altro soggetto che diventerà, nella pratica, il nuovo
titolare.
38. La violazione dei diritti.
Cosa succede qualora l’interessato ritenga di essere vittima di un
trattamento illecito di dati personali?
Il Regolamento prevede per l’interessato il diritto di rivolgersi al
Garante della Privacy mediante:
Reclamo: è un atto formale circostanziato, diretto all’Autorità al
fine di segnalare una violazione della disciplina.
Segnalazione: è una richiesta d’intervento al Garante che non
necessita di particolari formalità ed è diretta a sollecitare un controllo
da parte dell’Autorità stessa.
Ricorso: se l’interessato vuol far valere i diritti di cui all’art. 7 del
GDPR ( condizioni per il consenso)