07/06/2018
Introduzione al nuovo Regolamento sulla protezione dei dati personali (GDPR) entrato in vigore il 25 maggio 2018.
Sono state analizzate tutte le novità introdotte e le conseguenti responsabilità che esse comportano per le aziende che fanno quotidianamente raccolta dati.
"GDPR: cos'è e come funziona" by Francesco Puglisi
1. GDPR: cos’è e come funziona
La normativa, le responsabilità e le novità introdotte.
2. Copyright 2011 - 2018, ThinkOpen S.r.l.
Introduzione alla GDPR
2
La GDPR (General Data Protection Regulation) è il nuovo
regolamento sulla protezione dei dati personali (Reg UE
2016/679) entrato in vigore il 25 Maggio 2018.
Contemporaneamente all’introduzione della GDPR è stata
abrogata la Direttiva 95/46 EU che ha dato origine al nostro
Dlgs 196/2003 e ad altre corrispondenti normative privacy
europee.
➔ L’obiettivo del nuovo Regolamento è garantire a tutti i
cittadini dell’UE il rispetto dei “diritti e delle libertà
fondamentali delle persone fisiche”. Non si parla più di
privacy, ma di diritto alla protezione dei dati personali.
➔ Il Regolamento ha uguali effetti in tutti gli stati dell’UE,
unifica i trattamenti dei dati personali e impone nuovi
obblighi di conformità.
3. Copyright 2011 - 2018, ThinkOpen S.r.l.
Adeguamento
3
➔ Per garantire la compliance al nuovo Regolamento Europeo GDPR, le aziende dovranno definire,
gestire, documentare e attuare alcuni processi che si snodano in modo trasversale
nell’intera organizzazione.
➔ Le sanzioni amministrative sono pesanti, possono arrivare fino 20 milioni di euro o al 4% del
fatturato mondiale annuo.
4. Copyright 2011 - 2018, ThinkOpen S.r.l.
Responsabilità
➔ Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità ma
è compito dello stesso titolare: si tratta di una delle principali espressioni del principio di “responsabilizzazione”
introdotto dal nuovo pacchetto protezione dati («accountability»)
➔ Titolare: è la persona, fisica o giuridica, che – singolarmente o insieme ad altri - determina finalità e mezzi del trattamento
e adotta misure tecniche e organizzative per garantire e dimostrare che il trattamento sia effettuato in conformità al
Regolamento; è sempre il Titolare, qualora ve ne sia la necessità, a definire le politiche da adottare in materia di protezione
dei dati personali.
➔ Il Responsabile della protezione dei dati personali (RDP/DPO) è la persona fisica o giuridica che, a seguito di una
designazione formale, effettua il trattamento di dati personali per conto del Titolare
➔ Registro dei Trattamenti e Registro delle Attività dei Trattamenti
➔ PIA (Protection Impact Assessment), valutazione di impatto preventiva relativa ai trattamenti dei dati, finalizzata alla
mitigazione dei rischi (c.d. risk analysis)
➔ Privacy by Design, adozione di metodologia di protezione dei dati sin dalla fase di progettazione
➔ Privacy by Default, adozione di metodologia di tutela delle informazioni più restrittiva possibile
➔ Data Breach Notification, comunicazione all’Autorità Garante nel caso di accessi non autorizzati
5. Copyright 2011 - 2018, ThinkOpen S.r.l.
Informative
L’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati.
Il titolare deve:
➔ specificare la propria identità, le finalità del trattamento, i diritti degli interessati
(compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento
e la sua identità, e quali sono i destinatari dei dati;
➔ specificare sempre i dati di contatto del RPD-DPO (Responsabile della protezione dei
dati - Data Protection Officer);
➔ specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale
periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
L’informativa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente
accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere
informative idonee.
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico.
6. Copyright 2011 - 2018, ThinkOpen S.r.l.
Consensi
Il consenso, come rafforzamento del
consenso esplicito al trattamento dei dati,
deve essere:
➔ In tutti i casi, libero, specifico,
informato e inequivocabile e non è
ammesso il consenso tacito o
presunto (no a caselle pre-spuntate su
un modulo);
➔ Manifestato attraverso “dichiarazione
o azione positiva inequivocabile”.
7. Copyright 2011 - 2018, ThinkOpen S.r.l.
Diritti, Retention e Reportizzazione
7
NUOVI DIRITTI DELL’INTERESSATO
In particolare, l’interessato ha diritto di
OBLIO
richiedere la cancellazione dei propri dati
LIMITAZIONE
freeze di alcuni dati personali a seguito di
una causa legale in corso – i dati non
possono essere utilizzati se non per
esigenze di servizio
ACCESSO
richiedere i propri dati personali che
l’azienda detiene
PORTABILITÀ
trasmettere tali dati ad un altro titolare
senza impedimenti
OPPOSIZIONE (OPT-OUT)
bloccare tutte le comunicazioni
commerciali
LIMITAZIONE DEI TEMPI
DI CONSERVAZIONE
DEI DATI PERSONALI
a seconda della finalità di trattamento
VALIDITÀ DEI CONSENSI MKTG
cancellazione dei consensi per l’invio di
comunicazioni commerciali
DATA RETENTION MKTG
anonimizzazione/cancellazione
irreversibile dei dati
DATA RETENTION PROFILAZIONE
anonimizzazione/cancellazione
irreversibile dei dati
DATA RETENTION DATI CONTRATTUALI,
FISCALI, ANAGRAFICI
conservazione post cessazione del
rapporto contrattuale per un periodo utile
ai fini di legge, poi si procedere con la
cancellazione completa da tutti i sistemi
CENTRALIZZAZIONE E
REPORTIZZAZIONE DEI DATI
Un archivio centralizzato sullo storico
dell’esercizio dei diritti.
VISUALIZZAZIONE
Visualizzazione rapida dei dati e dei
consensi forniti
STORICO DELLE VARIAZIONI SUI DATI
visualizzazione e reportizzazione dello
storico delle variazioni effettuate
(dati anagrafici e consensi)
REPORTIZZAZIONE
Ricerca e reportizzazione in tempi rapidi
di tutti i dati ed i consensi forniti
8. Copyright 2011 - 2018, ThinkOpen S.r.l.
Analisi e Gestione del Rischio
Analisi e valutazione dei rischi per la privacy e le potenziali implicazioni di tali rischi:
➔ mappare le possibili situazioni di rischio dal punto di vista del tipo di violazione, delle risorse e
delle unità organizzative coinvolte, della probabilità dell’evento e della gravità delle
conseguenze;
➔ adottare in modo preventivo misure atte ad evitare trattamenti non necessari, ridurre la
possibilità di accadimento, ridurre le eventuali conseguenze negative;
➔ istituire, secondo processi di qualità, un sistema di monitoraggio continuo in grado di
segnalare tempestivamente eventi legati al rischio privacy;
➔ predisporre misure correttive adatte in caso di incidente informando gli interessati e
l’autorità competente;
➔ predisporre piani di ripristino della normale operatività.
9. Copyright 2011 - 2018, ThinkOpen S.r.l.
Adeguarsi al GDPR
Assessment e Gap Analysis:
➔ L’Assessment rappresenta di solito uno
strumento preventivo per valutare lo stato
dell’arte e valutare quanto si è conformi
alle prescrizioni del Regolamento;
➔ Dai risultati dell’Assessment si sviluppa
un piano operativo per l’implementazione
che comprende anche la formazione, le
priorità ed i costi.
10. Copyright 2011 - 2018, ThinkOpen S.r.l.
GDPR - Impatti sui SW
Oggi molti applicativi, magari obsoleti, non permettono di implementare misure di sicurezza
adeguate - password di lunghezza adeguata, password di complessità minima variate periodicamente,
password trasmesse via internet con connessioni crittografate, gestione utenti, raccolta di dati minimi
indispensabili, gestione dei consensi, procedure di backup, ecc. - e in futuro il loro impiego diverrà non
conforme alla normativa sulla privacy, ovvero non saranno più commercializzabili.
➔ Da un lato i progettisti e gli sviluppatori di applicativi software dovranno considerare fra i
requisiti di progetto anche quelli relativi alla normativa privacy, dall’altro le organizzazioni
che adotteranno applicativi software (o che già li stanno utilizzando) saranno responsabili
della loro eventuale non conformità al Regolamento Privacy.
➔ Sicuramente una certificazione di tali applicativi o un assessment indipendente potrà
sollevare il Titolare del trattamento dalle responsabilità (principio dell’accountability)
connesse all’adozione di un software che non tratta i dati in conformità al GDPR.