Il Regolamento Ue 2016/679, noto come GDPR è in vigore e pienamente applicabile in tutti gli stati membri dell’Unione Europea dal maggio 2018. La sua attuazione in Italia è regolata dal D.Lgs. 10 agosto 2018, n. 101, entrato in vigore il 19 settembre 2018.
Da oltre cinque anni, in Italia esistono disposizioni di legge specifiche in materia di raccolta, conservazione e utilizzo dei dati personali, ma ancora oggi non tutte le imprese hanno implementato le misure necessarie per essere pienamente conformi a quanto disposto dalla normativa.
Quali sono state le principali innovazioni introdotte dal Regolamento UE 2016/679?uli
- L’introduzione del concetto di responsabilizzazione o accountability del titolare;
- L’introduzione di sanzioni amministrative pecuniarie, comminate sulla base del tipo di violazione
- L’introduzione dei concetti di “privacy by design”, analisi dei possibili rischi, identificazione delle misure di sicurezza necessarie e valutazione dell’impatto in caso di data breach;
- Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
- Obbligo della figura di Responsabile della protezione dei dati per talune tipologie di imprese e di trattamento
- Regole più chiare su informativa e consenso, con una più precisa e ampia specifica dei diritti dell’interessato;
- Criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue
- Applicabilità della normativa anche ad imprese non UE, ma che offrono servizi o prodotti in UE
Quali sono gli impatti nell’ambito della gestione informatizzata dei dati?
Il concetto di Privacy by design, unito all’obbligo della figura di Responsabile della protezione dei dati, hanno un impatto diretto sulla progettazione dell’infrastruttura informatica dell’azienda. Diventa infatti necessario adottare tutte le possibili misure di sicurezza atte a ridurre il rischio di attacchi informatici, che possono portare a furti, perdite, modifiche, distruzione nonché la divulgazione non autorizzata dei dati personali.
Cosa fare in caso di Data Breach
In caso di Data Breach, il titolare del trattamento ha l’obbligo di darne comunicazione al garante, entro 72 ore dall’evento, tramite l’apposito Servizio telematico predisposto dallo stesso Garante della Privacy. In alcuni casi è inoltre previsto anche l’obbligo di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione.
La notifica deve:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
- descrivere le probabili conseguenze delle violazioni dei dati personali
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.
L’European Data Protection Board (EDPB) ha redatto le Linee Guida sulle diverse casistiche e sulle modalità di notifica alle autorità nazionali in merito al Data breach. In particolare vengono evidenziate tre tipologie di violazioni della privacy:
- “Violazione della riservatezza” – in caso di divulgazione non autorizzata o accidentale di o accesso a dati personali;
- “Violazione dell’integrità” – in caso di alterazione non autorizzata o accidentale dei dati personali;
- “Violazione della disponibilità”: in caso di perdita accidentale o non autorizzata dell’accesso o distruzione dei dati personali.
Di fronte a tali violazioni, spetta al Titolare del trattamento dei dati valutare gli impatti negativi sulle persone, in termini di danni materiali o immateriali e agire di conseguenza, informando in modo tempestivo e puntuale sia le Autorità che gli interessati.
Nel concetto di Privacy by design è necessario quindi definire, a priori, le procedure da seguire e le responsabilità da assumere da parte di tutto il personale dell’azienda, nel momento in cui si abbia notizia di una violazione del sistema di sicurezza dei dati.
In Italia prima dell’approvazione del Regolamento erano già presenti obblighi di notifica in quattro fattispecie di trattamento: per le aziende di telecomunicazioni, per le Pubbliche Amministrazioni, per i dati biometrici, per i dati sanitari.
La raccolta dei dati
Il GDPR è molto chiaro nel definire i diritti dei soggetti interessati alla raccolta, trattamento e conservazione dei loro dati.
Il consenso
In primis è necessario, che il titolare del trattamento dei dati abbia raccolto gli stessi con il consenso esplicito degli interessati. Tale consenso deve essere fornito al momento della raccolta dei dati e previa comunicazione all’interessato dell’utilizzo che ne sarà fatto, di eventuali destinatari e del periodo di conservazione dei dati.
Il GDPR prevede inoltre che i dati richiesti siano commisurati alla prestazione erogata, ovvero che il Titolare non possa surrettiziamente richiedere più dati di quelli strettamente necessari. Inoltre, il consenso non rappresenta una “cessione” di un bene, che una volta data è per sempre: i dati riguardano sempre il soggetto interessato, che in ogni momento ha il diritto di essere informato sull’utilizzo che ne viene fatto ed eventualmente di revocare il consenso, richiedendo la cancellazione dei suoi dati personali da parte di chi li ha raccolti.
Per le Aziende è necessario definire una Privacy policy chiara e comprensibile ed un processo di raccolta e gestione dei dati in cui sia possibile e semplice, per gli interessati, modificare in qualsiasi momento le preferenze date al momento del consenso e/o revocare il consenso stesso.
In particolare, per tutti i dati raccolti in maniera diretta – ad esempio tramite moduli di contatto – o indiretta – ad esempio tramite cookies – attraverso siti o applicazioni on line, devono essere rispettate le disposizioni di legge come sopra specificate.
Per le aziende con più di 250 dipendenti è inoltre previsto l’obbligo di tenuta di un Registro delle attività di trattamento dei dati.
Si tratta di uno strumento fondamentale per poter avere sempre un quadro aggiornato dei trattamenti in essere all’interno di un’azienda e dei rischi annessi a tali trattamenti. Il Garante della Privacy ha predisposto specifiche linee guida sulla tenuta di tale Registro e sulle modalità di conservazione e protezione dello stesso.
Da sempre specializzata sulla sicurezza dei dati, Cabar offre un pacchetto di servizi finalizzato alla conformità al GDPR. In particolare, la consulenza di Cabar si focalizza su diverse aree di intervento:
- Normativo: Adeguamento legale, tramite partner specializzati
- Gestionale: Revisione della gestione dei dati personali
- Tecnico: Analisi e configurazione sistemi di sicurezza
- Formativo: Formazione GDPR per i dipendenti