GDPR: un approfondimento sul nuovo regolamento per la protezione dei dati

Il famigerato GDPR entrerà ufficialmente in vigore il 25 maggio e, come già avvenuto qualche anno fa, assistiamo a una vera e propria corsa per arrivare a quella data preparati. Trattandosi di un regolamento complesso abbiamo deciso di intervistare Elisabetta Maggini, amministratore di P&F Progettazione e Formazione.

Elisabetta Maggini è l’amministratore di P&F Progettazione e Formazione, un’azienda specializzata nella formazione nel settore alberghiero con focus su privacy, sicurezza sul lavoro, leadership e management che ha recentemente siglato un importante accordo con Federalberghi per offrire i propri servizi a tariffe agevolate agli associati. Il GDPR è il nuovo regolamento europeo sulla protezione dei dati che rivoluziona nuovamente le modalità di informazione e gestione dei dati sensibili degli utenti, ponendo nuovi obblighi per offrire maggior controllo sulle proprie informazioni.

Per tentare di offrire maggiori chiarimenti sul nuovo regolamento – a tratti particolarmente complesso – abbiamo deciso di affidarci all’esperienza di P&F.

1. Che cosa è il GDPR? Quando entrerà in vigore?

Il GDPR è il nuovo regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation- Regolamento UE 2016/679).
Il nuovo regolamento europeo avrà efficacia dal 25 maggio 2018 con l’applicazione diretta in ciascuno degli stati membri compresa quindi l’Italia. La direttiva 95/46/CE (la vecchia privacy) sarà abrogata a decorrere dal 25 maggio 2018 come stabilito dall’art. 94.1 GDPR

2. Quali sono le differenze rispetto alla normativa attuale?

Si ha un rovesciamento di prospettiva da un sistema incentrato sui diritti dell’interessato a un sistema imperniato sui doveri del titolare e del responsabile del trattamento

3. Quali sono le novità nella fase di raccolta del consenso?

Il consenso dell’utente deve essere libero, scevro da ogni condizionamento, univoco, informato specifico cioè per una o più specifiche finalità e non preordinato alla indiscriminata raccolta di dati personali.

4. Come ci si comporta con i dati che le aziende divulgano pubblicamente, ad esempio reperibili online?

I dati online devono essere trattati in modo lecito, corretto e trasparente (art. 5.1.a) quindi rispetto a questi principi il titolare del trattamento dovrebbe essere in grado di provarne il rispetto (responsabilizzazione o accountability) a tutto ciò penserà il DPO in base al tipo di dati e al contesto d’utilizzo.

5. E’ possibile che esistano dei “contitolari dei dati”?

Certamente, la normativa è molto chiara in questo, i contitolari del trattamento ( Joint controllers art. 26 e C.79 GDPR ) sono più titolari del trattamento i quali sono tenuti mediante un accordo a determinare congiuntamente le finalità e i mezzi del trattamento nonché le rispettive responsabilità con riguardo agli obblighi del GDPR.

6. Il double-opt in è ancora raccomandato?

Elemento fondamentale, come già ricordato, del nuovo regolamento è il consenso al trattamento dei dati quindi la double-opt rimane un must perché rappresenta un’espressione chiara e diretta del consenso dell’interessato.

7. Come cambia l’informativa?

I dati sensibili devono essere criptati? Deve essere fornita all’utente un’informativa nella quale deve elencare gli scopi per cui i dati sono raccolti e trattati al fine di ottenere un valido consenso informato per la specifica finalità.

8. Esiste un testo standard da utilizzare per revitalizzare i vecchi contatti?

No, Purtroppo ogni realtà aziendale va valutata caso per caso.

9. Chi definisce la data di scadenza dei dati? E come stabilire se sono diventati obsoleti?

I dati non scadono ma esiste un diritto alla cancellazione/oblio (art. 17.L’art. 17) Il GDPR introduce il diritto di ottenere la cancellazione dal titolare del trattamento dei dati personali senza ingiustificato ritardo. Il GDPR introduce inoltre il tema della memoria digitale e il diritto all’oblio, una pratica già applicata da Google a seguito della sentenza della Corte di Giustizia dell’Ue: ogni utente ha il diritto di variare la propria visibilità sul Web, per esercitare anche online la facoltà di autodeterminarsi. Infatti con lo sviluppo sempre più massiccio dell’Internet delle cose, si renderanno sempre più necessari sistemi configurati per raccogliere dati in quantità minore possibile, secondo una logica di privacy by default e by design.

10. Quali aziende devono dotarsi di DPO (Data Protection Officer)?

In base all’ art. 35 GDPR l’obbligo per il titolare di effettuare la valutazione dell’impatto sussiste in via generale quando il trattamento «può presentare un rischio elevato per i diritti e le libertà delle persone fisiche». La norma elenca anche alcune ipotesi particolari nelle quali è richiesta una valutazione d’impatto ascrivibili principalmente a operazioni di profilazione e monitoraggio del comportamento degli utenti e di sorveglianza sistematica di larga scala su una zona accessibile al pubblico ovvero che interessano categorie particolari di dati quali quelli sensibili art. 35.

Per il Garante della protezione dei dati personali italiano si tratta, ad esempio:
• degli istituti di credito;
• delle imprese assicurative;
• dei sistemi di informazione creditizia;
• delle società finanziarie;
• delle società di informazioni commerciali;
• delle società di revisione contabile;
• delle società di recupero crediti;
• degli istituti di vigilanza;
• dei partiti e dei movimenti politici;
• dei sindacati;
• dei caf e dei patronati;
• delle società che operano nel settore delle telecomunicazioni o della distribuzione di energia elettrica o gas;
• delle imprese di somministrazione di lavoro e ricerca del personale;
• delle società che operano nel settore della cura della salute e della prevenzione/diagnostica sanitaria;
• delle società di call center;
• delle società che forniscono servizi informatici;
• delle società che erogano servizi televisivi a pagamento.

11. Se in azienda non vi fosse nessuno qualificato per seguire il GDPR, esistono realtà in grado di farsi carico del processo di messa a norma?

Di realtà ce ne sono molte che sono spuntate come i funghi. Purtroppo per svolgere bene i compiti che il GDPR impone non ci si può improvvisare, bisogna avere un team organizzato e un comitato scientifico ad hoc essendo la normativa nuova e di sicuro suscettibile di numerose interpretazioni e modiche giurisprudenziali.

Per esempio la nostra società P&F ha puntato su un comitato scientifico di alto livello che assiste, coordina, e aggiorna i nostri formatori e consulenti, nonché quando il caso lo richiede interviene direttamente a sostegno dell’azienda.

12. Quali sono le sanzioni previste per le aziende?

Gli artt. 83 e 84 GDPR prevedono sanzioni amministrative pecuniarie particolarmente elevate che devono essere effettive, proporzionate e dissuasive anche per i cd. Big Data.

Il sistema sanzionatorio è strutturato in modo che le sanzioni amministrative pecuniarie irrogate dalle DPA tengano conto di una serie di circostanze ex art. 83.2 , ad esempio, la natura, la gravità e la durata della violazione, il carattere doloso o colposo, il tipo di violazione, le misure adottate dal titolare, l’adesione a un codice di condotta, la tipologia di dato coinvolto, gli interessi pecuniari sottostanti alla violazione, il grado di cooperazione con la DPA, eventuali precedenti violazioni.

Infatti, l’art. 83.3 prevede una regola generale: «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave». Quindi la sanzione sarà unica e sottoposta al tetto massimo previsto per la sanzione più alta.

L’Art. 83.4 del GDPR contempla che se vengono violati gli Articoli 8, 11, da 25 a 39, 42 e 43 , 41.4 le sanzioni amministrative per la violazione delle predette disposizioni è soggetta a sanzioni amministrative pecuniarie fino a euro 10.000.000, o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

L’Art. 83.5 prevede che se c’è la violazione degli articoli 5, 6, 7 e 9, da 12 a 22, da 44 a 49, 58, da 85 a 91 è soggetta a sanzioni amministrative pecuniarie fino a euro 20.000.000, o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

13. Quali sono le autorità disposte a verificare che sia tutto in regola?

Il Garante per la protezione dei dati personali è l’autorità di controllo nazionale italiana.

Scritto da:

Pubblicato il: 4 Maggio 2018

Filed Under: Approfondimento, Intervista, News

Visite: 1834

Tags: , , ,

Lascia un commento