GDPR. Privacy for dummies. Come rispondere alla nuova normativa europea sulla privacy senza impazzire!
La privacy è un obbligo di legge, poco compreso, molto discusso, sempre mal praticato. Come già succede per Certificazione di Qualità, anche la privacy può essere gestita male e rivelarsi inutile, oppure amministrata bene e portare a dei risultati interessanti. Una corretta gestione dei nuovi adempimenti sulla privacy, prescritti dalla normativa europea General Data Protection Regulation, permette infatti alle aziende di seguire dei processi certificati, acquisendo autorevolezza agli occhi dei propri clienti e interlocutori.
Nel corso dell’evento si parlerà di privacy in un modo un po' differente rispetto a quanto abbiamo sentito sin ora. E' un obbligo, lo sappiamo tutti, ma seguire la normativa dovrebbe essere utile alle aziende anche per stringere rapporti con nuovi stakeholder, rafforzare la presenza nel proprio ecosistema e intercettare clienti potenziali.
Guido Loleo si propone di raccontarci ciò che davvero serve sapere sul GDPR, lo spirito della normativa ed il modo più semplice per adeguare un’azienda alle disposizioni europee, inquadrandole all’interno delle politiche di sviluppo aziendali.
L'incontro è rivolto a imprese avviate e nuove imprese, startup, cooperative e imprese sociali, che si confrontano con il trattamento dei dati di persone fisiche.
3. Il GDPR ha motivazioni chiare.
La persona è al centro di un sistema di comunicazione per cui è
probabile che i suoi dati circolino senza adeguato controllo.
Di fronte al problema, la normativa ricostruisce un punto comune
europeo, e dichiara la centralità e la “sacralità” del dato
personale, invitando, nei fatti, chiunque lo tratti a rendersi conto
del suo valore. I dati vanno quindi rilevati con attenzione e
protetti allo stesso modo.
Il DLGS 101, del 10 agosto 2018, che adegua la legislazione
nazionale al GDPR, rileva alcune specifiche della norma,
riscrivendo il dlgs 196/2003.
Premessa
4. Art. 1
1. Il presente regolamento stabilisce norme relative alla
protezione delle persone fisiche con riguardo al trattamento
dei dati personali, nonché norme relative alla libera
circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà
fondamentali delle persone fisiche, in particolare il diritto
alla protezione dei dati personali.
NESSUN RIFERIMENTO QUINDI A PERSONE GIURIDICHE,
SOCIETA’ ECC.
5.
Definizioni chiave
1) «dato personale»: qualsiasi informazione riguardante una persona fisica
identificata o identificabile («interessato»); si considera identificabile la persona
fisica che può essere identificata, direttamente o indirettamente, con particolare
riferimento a un identificativo come il nome, un numero di identificazione, dati relativi
all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua
identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o
senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati
personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la
conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la
distruzione
6. «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro
organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati
personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o
degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione
possono essere stabiliti dal diritto dell’Unione o degli Stati membri; (C74)
«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro
organismo che tratta dati personali per conto del titolare del trattamento;
“incaricato del trattamento” Chi, internamente all'impresa, per libera scelta organizzativa, viene
designato a trattare dati personali con un procedimento interno (es. lettera di incarico) (No GDPR,
che lascia alla legislazione nazionale di promuovere altre figure)
7. «profilazione»:
qualsiasi forma di trattamento automatizzato di dati personali
consistente nell’utilizzo di tali dati personali per valutare
determinati aspetti personali relativi a una persona fisica, in
particolare per analizzare o prevedere aspetti riguardanti il
rendimento professionale, la situazione economica, la
salute, le preferenze personali, gli interessi, l’affidabilità, il
comportamento, l’ubicazione o gli spostamenti di una
persona fisica
9. Elenco delle tipologie di trattamenti (...)da sottoporre a
valutazione d’impatto (Garante P. 11/2018)
1.Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo
svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento
professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento,
l'ubicazione o gli spostamenti dell'interessato”.
2.Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo
analogo significativamente”sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un
bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca
attraverso l’utilizzo di dati registrati in una centrale rischi).
3.Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli
interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il
trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione
inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati.
Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc.
effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di
upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
10. 4.Trattamenti su larga scala di dati aventi carattere estremamente personale: si fa riferimento, fra gli altri, ai dati
connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la
riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta
mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana
dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia d
ipagamenti).
5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai
sistemi di videosorveglianza e di geolocalizzazione)dai quali derivi la possibilità di effettuare un controllo a
distanza dell’attività dei dipendenti
6.Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti,
richiedenti asilo).
7.Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo
(es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale;
monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta
ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01 . (Rischio elevato)
8.Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
9.Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi
i trattamenti che prevedono l’incrocio deidati di consumo di beni digitali con dati di pagamento (es. mobile
payment).
11. 10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a
reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata,
ovvero della persistenza, dell’attività di trattamento.
12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata,
ovvero della persistenza, dell’attività di trattamento.
12. Se siete tra quelli dovrete fare una Valutazione
di Impatto, cioè documentare un'analisi dei
vostri processi interni che indichi quali siano i
problemi potenziali sul trattamento e la
protezione dei dati e quali soluzioni adottate al
fine di minimizzare il problema
Vi si chiede, in forza della delicatezza circa
trattamento e protezione dei dati di pensare
bene ai vostri processi e difendere il diritto
della persona alla privacy
13. E' una ricognizione logica che unisce:
I processi di lavoro
Le ricadute potenziali e effettive sul diritto al trattamento
in condizioni di privacy della persona
Le risposte organizzative che date sia in termini di
trattamento che di protezione.
Gli strumenti che adottate (es. consenso dell'interessato,
incarichi esterni, adozione di firewall, backup ecc.)
14.
Se non siete tra questi potrete evitare di
costruire un documento logico, ma avere
comunque le cose in regola.
Semplicemente non siete obbligati alla prova
della coerenza di sistema
Quindi avrete sempre consenso informato,
password, protezione dati, data breach ecc...
15. IL CONSENSO: ovvero del proteggersi
Il primo comma Art. 6 GDPR cita:
Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle
seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati
personali per una o più specifiche finalità; (...)
E’ la condizione migliore per salvaguardare il rispetto della norma. Consenso
specifico al trattamento del dato specifico, soprattutto qualora si tratti dei dati
personali di cui all’art. 9 (l’origine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati
biometrici intesi a identificare in modo univoco una persona fisica, dati relativi
alla salute o alla vita sessuale o all’orientamento sessuale della persona)
ll consenso va dato esplicitamente, su modelli comprensibili, e devono essere
messi a disposizione di chi lo esprime il motivo del trattamento, la sua durata,
la possibilità e le conseguenze della negazione, il diritto al reclamo,
l’indicazione del titolare del trattamento, il diritto alla cancellazione.
16. Profilazione
Il regolamento definisce la profilazione all’articolo 4, punto 4, come:
qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali
dati personali per valutare determinati aspetti personali relativi a una persona fisica, in
particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la
situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il
comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
La profilazione è costituita da tre elementi:
• deve essere una forma di trattamento automatizzato;
• deve essere effettuata su dati personali;
• il suo obiettivo deve essere quello di valutare aspetti personali relativi a una persona
fisica.
17. QUINDI?
1) Ragionate mettendovi nei panni dell'interessato
2) Siate coscienti che non state trattando una “roba qualsiasi” ma informazioni che potrebbero
essere importanti ed avere ricadute pessime sugli interessati
3) Sburocratizzate le menti: non vi serve tutto e quel che non vi serve NON chiedete
4) Trasparenti nella raccolta del consenso. Prefiguratevi i passaggi che il dato potrebbe avere e
dichiaratelo
5) Se potete anonimizzate o pseudonimizzate il dato
6) Costruite all'interno una cultura della privacy e avrete rapporti migliori col cliente
7) Proteggete il dato personale
… casomai gridate forte... qualcuno arriva.