Tutti i particolari sul nuovo Regolamento Europeo sulla Privacy 2016/679 GDPR
Il 24 Maggio 2016 è entrato in vigore il Regolamento Europeo sulla Privacy 2016/679.
Le GDPR, General Data Protection Regulations, in esso contenute si applicano sia alle imprese europee sia alle imprese extra-UE che offrono beni e servizi nell’Unione o che hanno uno stabilimento o un rappresentante nell’Unione.
Le imprese italiane e le imprese straniere che trattano affari con l’Unione Europea dovranno pertanto adeguare la loro struttura aziendale in modo conforme al Regolamento entro il 25 Maggio 2018, data a partire dalla quale le disposizioni del Regolamento diventeranno direttamente applicabili in tutti gli Stati membri.
Si tenga presente che, al di là delle specifiche previsioni normative, il Regolamento Europeo rappresenta una vera e totale rivoluzione nell’approccio alla privacy.
Finora la gestione della privacy è stata vissuta come un apparato burocratico fatto di adempimenti, di incarichi, di nomine.
La predisposizione di documenti resterà e sarà anzi maggiormente importante ma oguno di noi dovrà assumere una diversa forma mentale.
Rispettare la privacy significherà avere fatto tutto il possibile per trattare i dati in modo sicuro (c.d. accountability).
Se si parte da questo nuovo punto di vista ci si rende subito conto di come il lavoro da fare sia molto e richieda una revisione di tutto il flusso interno.
L’adeguamento non può mai essere “standardizzato” ma disegnato su misura caso per caso per ogni singola realtà, costruito con pazienza ed aggiornato all’occorrenza.
Ci vorrà tempo per farlo in modo adeguato ma una volta impostata una corretta gestione dei dati questa sarà davvero uno strumento utile anche per salvaguardare il know-how interno ed il patrimonio aziendale che è fatto sempre più anche di contatti e relazioni.
A chi si applica il GDPR (General Data Protection Regulation)
Per stabilire se un’impresa è soggetta al Regolamento Europeo sulla Privacy 679/2016 è necessario conoscere i suoi stabilimenti e la sua organizzazione interna (art. 3).
Le GDPR prevedono che il Regolamento si applichi ad un’impresa quando ha:
• uno stabilimento nell’Unione se il trattamento riguarda l’attività che viene svolta nello stabilimento. In questo caso non conta la nazionalità dell’interessato del trattamento né importa che vengano offerti servizi o beni nell’Unione piuttosto che fuori dall’Unione; oppure
• uno stabilimento fuori dall’Unione, ma svolge un’attività di monitoraggio o profilazione degli interessati o un’offerta di beni e servizi nell’Unione, destinata a soggetti che si trovano, anche in via temporanea, nell’Unione, anche a titolo gratuito. Non conta invece la nazionalità di questi ultimi.
È importante considerare che ai sensi del Regolamento lo “stabilimento” è anche la presenza di un rappresentante nell’Unione o lo svolgere alcune attività nell’Unione, come il tracciamento dei consumatori (Google Spain C-131/12; Weltimmo C-230/14).
Non è considerato “stabilimento” avere un sito Internet accessibile dall’Unione o avere il server nell’Unione.
L’ubicazione del server e della struttura che tratta i dati (c.d. equipment) è irrilevante ai fini dell’applicazione del Regolamento.
Il Regolamento Europeo sulla Privacy 679/2016 non si applica ad alcuni specifici trattamenti di dati.
In particolare non si applica al trattamento di dati fatto per attività che non rientrano nell’applicazione del diritto dell’Unione, ad esempio per la sicurezza nazionale. È escluso il trattamento di dati fatto dagli Stati per la politica estera, per le indagini penali, per la prevenzione e per motivi di sicurezza pubblica.
Il Regolamento non si applica al trattamento di dati effettuato in modo interamente manuale e non strutturato, al trattamento di dati di persone decedute, al trattamento di informazioni anonime (art. 2, par. 1).
Il Regolamento non si applica al trattamento di dati effettuato da una persona fisica per finalità esclusivamente domestiche o personali.
Sono considerate personali le attività svolte anche online all’interno di un social network e la tenuta di una rubrica personale. Non è invece considerata personale l’attività di inserire foto o informazioni personali su Internet in modo che possa avervi accesso un numero indeterminato di persone, in quanto esula dall’ambito domestico e privato.
La videosorveglianza di un’abitazione privata esula dall’ambito privato e domestico se la telecamera visualizza immagini anche su una parte di strada pubblica per cui in questo caso si applica il Regolamento.
Cosa sono i dati personali?
È dato personale «qualsiasi informazione riguardante una persona fisica identificata o identificabile» che nel Regolamento prende il nome di “interessato” del trattamento.
Il Regolamento si occupa solo di dati relativi a persone fisiche e non anche delle persone giuridiche.
Il concetto di dato personale è molto ampio e riguarda qualsiasi informazione che sia in qualche modo collegabile ad una persona fisica. Quest’ultima può essere identificata attraverso il nome o in altro modo, ad esempio attraverso una foto.
Sono dati personali anche quelle informazioni che possono consentire di identificare una persona in via indiretta, ad esempio un numero di telefono, una targa automobilistica, un codice fiscale.
Sono soggetti al Regolamento anche i dati “pseudonimizzati”, ovvero quei dati resi anonimi ma per i quali vi è la ragionevole probabilità che possano essere ricollegati ad una persona fisica utilizzando altre informazioni, tenuto conto dei costi e del tempo necessario per risalirvi.
Per il trattamento di dati di massa (c.d. big data) si può ricorrere alla pseudonimizzazione in modo da poterli trattare in forma anonima per dati statistici o per ricerche scientifiche, ma sono soggetti comunque all’applicazione del Regolamento.
In particolare per il trattamento di queste masse di dati sono richieste cautele particolari, ad esempio i codici che consentono di risalire alla persona “anonimizzata” (c.d. singling out) devono essere conservati in sede separata e protetti con particolari accorgimenti tecnici.
Gli unici dati che non sono trattati dal Regolamento sono i dati anonimi, ovvero quelli che non possono essere ricollegati in modo irreversibile ad una persona fisica.
I dati personali possono essere generici o sensibili e per questi ultimi è previsto un trattamento particolare.
I dati sensibili sono quelli che si rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, biometrici, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale.
Tutte le altre informazioni relative ad una persona fisica identificata o identificabile sono dati generici.
Le informazioni relative alla situazione economica di una persona sono dati generici e non sensibili.
Un trattamento particolare hanno poi i dati giudiziari relativi alle condanne penali.
Cos’è il trattamento dei dati personali?
È un trattamento dei dati qualsiasi operazione venga svolta in relazione a dati personali incluso anche il solo accesso o la sola visione.
Si ha trattamento di dati, ad esempio, se si utilizza un impianto di videosorveglianza o un drone con cui si visualizzano immagini di persone anche se non si effettua alcuna registrazione.
Il trattamento deve essere lecito, corretto e trasparente. L’informativa sul trattamento dei dati deve essere chiara e semplice in modo da fare capire senza difficoltà quali dati si stanno trattando e come.
Il trattamento deve avvenire per finalità determinate, esplicite e legittime. Quando si devono trattare dati per un certo scopo che viene indicato nell’informativa (ad esempio per inviare informazioni), quegli stessi dati non possono essere utilizzati per scopi diversi da quelli indicati che non potessero essere prevedibili per l’interessato.
I dati richiesti devono essere pertinenti, adeguati e non eccedenti rispetto alla finalità. Se si richiedono dati per inviare un prodotto acquistato online è eccedente chiedere informazioni sull’attività sportiva praticata o sui luoghi in cui si trascorrono le vacanze.
I dati devono essere esatti e aggiornati.
Il trattamento deve avvenire per lo stretto tempo necessario a svolgere l’attività per cui sono richiesti, salvo che la normativa nazionale non preveda un tempo più lungo.
Principio fondamentale nel trattamento dei dati è che esso deve avvenire con una adeguata sicurezza. Per sicurezza si intende la capacità di una rete o di un sistema informatico di resistere ad un evento imprevisto anche doloso che possa compromettere i dati.
Prima di iniziare un trattamento è quindi necessario effettuare la Valutazione d’impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment) per comprendere quali sono i rischi e come si possono evitare.
Nel caso in cui ci si renda conto che i rischi sono alti e non si riesce a contenerli, può essere necessario consultare in via preventiva l’Autorità di controllo.
La sicurezza è un requisito fondamentale perché possa avvenire il trasferimento di dati tra aziende dello stesso gruppo e affinché possano essere approvate le Binding Corporate Rules (BCR).
Chi è il titolare del trattamento dei dati personali?
Il titolare del trattamento è colui che determina le finalità e le modalità del trattamento. Nel caso di una società il titolare è la società stessa e non la persona che la rappresenta o che è incaricata di gestire la privacy.
Il titolare può nominare uno o più responsabili esterni a cui affidare alcune attività particolari (manutenzione informatica, gestione dati in cloud, hosting, ecc..) nel qual caso essi dovranno agire secondo le indicazioni date dal titolare ma potranno avere una certa autonomia dei mezzi usati per il trattamento vista la loro competenza specifica.
Il Regolamento prevede che il responsabile deve essere incaricato con un contratto scritto. Altra novità è che il responsabile può a sua volta nominare un altro responsabile per attività specifiche che a sua volta può delegare.
Il titolare resta sempre responsabile per la violazione della privacy, in alcuni casi in via solidale con il responsabile del trattamento nominato.
Possono esistere contitolari del trattamento, quando più soggetti trattano dati per uno stesso fine e concordano i relativi mezzi. In tal caso dovrà essere predisposto un accordo che stabilisca i compiti e le responsabilità.
A fianco del titolare e dei responsabili ci sono poi i dipendenti dell’azienda che devono essere istruiti sulle modalità del trattamento.
L’azienda è tenuta ad effettuare regolari corsi di formazione per i dipendenti.
Il Regolamento introduce poi la nuova figura del DPO Data Privacy Officer, che è una sorta di consulente interno o esterno all’azienda che consiglia il titolare sulle misure di sicurezza da adottare e che si interfaccia con gli interessati e le autorità Garanti della Privacy.
Il DPO deve essere nominato obbligatoriamente solo in alcuni casi (trattamento di dati fatto da autorità pubblica, oppure attività di monitoraggio regolare degli interessati su larga scala, oppure trattamento di dati sensibili o giudiziari su larga scala), mentre può sempre essere nominato in via facoltativa.
Le imprese extra-UE che trattano dati nell’Unione in modo non occasionale devono nominare un Rappresentante nell’Unione che le rappresenta e si occupa di ogni questione che possa comportare obblighi in capo all’impresa estera derivanti dal Regolamento.
La nomina di un Rappresentante nell’Unione è obbligatoria per le imprese extra-UE quando ricorrono tutte le seguenti condizioni: il titolare non è un soggetto pubblico; si applica l’art. 3.2 (offerta di beni o servizi nell’Unione anche senza richiesta di un pagamento); il trattamento non è occasionale; riguarda su larga scala dati sensibili o giudiziari; vi è un probabile rischio per gli interessati.