Il Regolamento Generale sulla Protezione dei Dati (GDPR) rappresenta un progresso significativo in materia di protezione dei dati. Entrato in vigore il 25 maggio 2018, il GDPR ha profondamente trasformato l’approccio delle organizzazioni al trattamento dei dati personali.

È stato concepito per armonizzare le diverse legislazioni nazionali all’interno dell’UE. Prima della sua adozione, ogni Stato membro applicava una propria interpretazione della direttiva del 1995 sulla protezione dei dati, creando un panorama normativo frammentato. Il GDPR stabilisce ormai un quadro unificato che si applica direttamente in tutti gli Stati membri.

Il GDPR restituisce ai cittadini europei il controllo sui loro dati personali. In un mondo in cui i dati sono diventati una risorsa economica fondamentale, il regolamento afferma che gli individui restano proprietari delle loro informazioni personali e devono poter decidere sul loro utilizzo.

Le sfide poste dall’evoluzione tecnologica e dalla crescente digitalizzazione impongono un nuovo approccio alla raccolta e all’utilizzo dei dati personali, che include il big data, l’intelligenza artificiale e Internet.

Il GDPR mira quindi a ripristinare la fiducia dei consumatori nelle organizzazioni che trattano i loro dati. Questa fiducia è essenziale per lo sviluppo dell’economia digitale europea.

A differenza del Regolamento sull’IA, il GDPR non si applica ai fornitori e ai produttori di applicazioni nella fase di sviluppo, progettazione o selezione di applicazioni, servizi e prodotti che si basano sull’utilizzo di dati personali. Il GDPR incoraggia, invece, i fornitori e i produttori di applicazioni a rispettare il diritto alla protezione dei dati nello sviluppo e nella progettazione dei loro servizi o prodotti.

Grandi principi del GDPR

Il GDPR enuncia sei grandi principi fondamentali che ogni organizzazione deve rispettare nel trattamento dei dati personali. Si tratta dei principi di:

  1. Liceità, correttezza e trasparenza
    Il trattamento dei dati deve essere legale, equo e trasparente. Spesso si basa sul consenso, che deve essere libero, chiaro, specifico e informato. Il consenso è circondato da diverse garanzie:

    • Il responsabile del trattamento deve dimostrare che il consenso è stato effettivamente prestato.
    • Se la richiesta di consenso riguarda altre questioni oltre al consenso, la formulazione della richiesta deve essere chiara e comprensibile.
    • L’interessato deve poter revocare il proprio consenso in qualsiasi momento.
    • Verificare che l’esecuzione di un contratto non sia subordinata a un consenso non necessario.

  2. Limitazione delle finalità
    I dati devono essere raccolti per finalità determinate, esplicite e legittime. Il GDPR vieta:

    • Il trattamento dei dati personali che rivelano l’origine razziale o etnica delle persone, le loro opinioni politiche, le convinzioni religiose o filosofiche o la loro appartenenza sindacale.
    • Il trattamento dei dati genetici e dei dati biometrici al fine di identificare una persona fisica in modo univoco.
    • Il trattamento dei dati relativi alla salute, alla vita o all’orientamento sessuale delle persone fisiche.

    Il GDPR autorizza eccezioni al divieto di trattamento dei dati nei seguenti casi: quando il trattamento è essenziale per proteggere gli interessi vitali dell’interessato o di un’altra persona; quando è realizzato nell’ambito delle attività legittime di una fondazione, associazione o organizzazione senza scopo di lucro, con adeguate garanzie; quando i dati sono stati manifestamente resi pubblici dall’interessato; o quando il trattamento è necessario per stabilire, esercitare o difendere un diritto in giudizio.

  3. Minimizzazione dei dati
    I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

  4. Esattezza
    I dati devono essere accurati e aggiornati. Le imprese interessate devono adottare misure appropriate affinché i dati personali inesatti siano cancellati o rettificati.

  5. Limitazione della conservazione
    I dati personali devono essere conservati per una durata non superiore a quella necessaria alle finalità del trattamento. Possono essere conservati per periodi più lunghi nella misura in cui il trattamento è necessario a fini di archiviazione nell’interesse pubblico, a fini di ricerca scientifica o a fini artistici.

  6. Integrità e riservatezza
    I dati devono essere trattati in modo da garantirne la sicurezza, inclusa la protezione contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o i danni di origine accidentale, mediante misure tecniche o organizzative appropriate.

Per garantire il rispetto di questi principi fondamentali, il GDPR ha rafforzato diritti esistenti, come il diritto di rettifica e il diritto alla cancellazione (diritto all’oblio), introducendo al contempo nuovi diritti. Tra questi figurano il diritto alla limitazione del trattamento e il diritto alla portabilità dei dati, accessibili a ogni cittadino europeo. Include anche il diritto di non essere sottoposto a profilazione, vietando che una persona sia oggetto di una decisione individuale basata su un trattamento automatizzato che comporti conseguenze giuridiche o un impatto significativo su di essa.

Principio di accountability

Il Regolamento Generale sulla Protezione dei Dati (GDPR) ha un impatto profondo sull’organizzazione delle imprese stabilite nell’Unione Europea (UE), così come su quelle situate fuori dall’UE quando trattano dati relativi alle attività di imprese o organizzazioni europee.

Introduce il principio di accountability (responsabilità), che obbliga le organizzazioni a rispettare le norme sulla raccolta e sul trattamento dei dati personali. Questo principio impone alle imprese di adottare misure tecniche e organizzative appropriate per garantire che il trattamento dei dati sia conforme alle disposizioni del GDPR e di dimostrare questa conformità in ogni momento.

L’accountability promuove una cultura di responsabilità nella gestione dei dati personali. Questo approccio proattivo rafforza la fiducia dei clienti, riduce i rischi di sanzioni e migliora la trasparenza e la tracciabilità dei dati.

Questo principio è rafforzato da due obblighi complementari:

  • Privacy by Design: integrare misure di sicurezza sin dalla progettazione dei servizi, prodotti o sistemi di trattamento.
  • Privacy by Default: limitare il trattamento ai soli dati strettamente necessari a una finalità specifica, garantendo una protezione ottimale.

La violazione di questi obblighi è severamente sanzionata dal codice penale, con pene che possono raggiungere 5 anni di reclusione e un’ammenda di 300.000 €.

Il principio di accountability si applica al responsabile del trattamento, definito come la persona fisica o giuridica, l’autorità pubblica o l’organismo che, da solo o congiuntamente, determina le finalità e i mezzi del trattamento. Riguarda anche il sottotratta, ovvero la persona fisica o giuridica, l’autorità pubblica o l’organismo che tratta dati personali per conto del responsabile del trattamento.

Governance del dispositivo GDPR: Delegato alla protezione dei dati (DPO)

L’attuazione del GDPR rappresenta un approccio strutturante che ha un impatto trasversale sull’organizzazione dell’impresa. La conformità al GDPR richiede infatti una stretta collaborazione tra tutte le funzioni aziendali, che si tratti dei dipartimenti legali, informatici, risorse umane, marketing o operativi.

Ogni entità deve designare un Delegato alla Protezione dei Dati (DPO), incaricato di definire politiche e procedure interne, coordinare e implementare il dispositivo di conformità al GDPR all’interno dell’organizzazione. La sua designazione è obbligatoria nei seguenti tre casi:

  1. Il responsabile del trattamento dei dati è un’autorità o un organismo pubblico.
  2. Le attività principali del responsabile del trattamento o dei sottotratta consistono in operazioni di trattamento che richiedono un monitoraggio regolare e sistematico su larga scala degli interessati. Per qualificare un trattamento come su larga scala, si devono considerare: il numero di persone interessate, il volume dei dati trattati, la durata o la permanenza dell’attività di trattamento, nonché la sua estensione geografica.
  3. Gli stessi organismi trattano su larga scala dati sensibili, come dati sanitari, dati biometrici o dati relativi a condanne penali.

Un gruppo di imprese può designare un unico DPO, a condizione che questi sia facilmente raggiungibile da ogni stabilimento del gruppo.

Il DPO deve disporre di conoscenze specialistiche in diritto e pratiche di protezione dei dati, oltre alle competenze necessarie per svolgere le sue mansioni. Può essere:

  • Un dipendente del responsabile del trattamento o del sottotratta.
  • Una persona esterna reclutata tramite un contratto di servizio.

L’impresa deve garantire l’indipendenza del DPO, fornirgli le risorse necessarie (tempo, personale, strumenti) e assicurarsi che non riceva istruzioni riguardo all’esercizio delle sue funzioni. Le coordinate del DPO devono essere pubblicate e trasmesse alla Commissione Nazionale per l’Informatica e le Libertà (CNIL).

Missioni del DPO

Il DPO svolge un ruolo centrale nella conformità al GDPR. Le sue missioni includono almeno:

  • Consigliare e informare il responsabile del trattamento o il sottotratta sugli obblighi in materia di protezione dei dati.
  • Controllare il rispetto del GDPR, delle legislazioni nazionali applicabili e delle politiche interne dell’impresa.
  • Fornire consulenza sull’analisi d’impatto relativa alla protezione dei dati (AIPD) quando richiesta, e verificarne l’attuazione.
  • Collaborare con le autorità di controllo, in particolare la CNIL, e fungere da punto di contatto principale per tali autorità.
  • Tenere il registro delle attività di trattamento, un documento chiave del principio di accountability, le cui informazioni sono precisamente definite: coordinate del responsabile del trattamento, finalità dei trattamenti, descrizione delle categorie di interessati e dei dati trattati, destinatari dei dati, eventuali trasferimenti di dati verso paesi terzi, termini previsti per la cancellazione dei dati e descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Il DPO non è personalmente responsabile in caso di non conformità dell’impresa al GDPR. Tale responsabilità ricade sul responsabile del trattamento o sul sottotratta, che devono assicurarsi che siano adottate le misure appropriate per rispettare la normativa.

Altri principi chiave del GDPR

Il GDPR impone alle imprese, in qualità di responsabili del trattamento, nuovi obblighi, in particolare relativi alla realizzazione di un’analisi d’impatto (AIPD) e alla sicurezza dei dati personali.

Analisi d’impatto relativa alla protezione dei dati (AIPD)

Le imprese sono tenute, in alcuni casi, a realizzare un’analisi d’impatto (AIPD) delle operazioni previste sulla protezione dei dati. Le linee guida del Comitato Europeo per la Protezione dei Dati (CEPD) identificano 9 criteri per determinare se un trattamento richiede un’AIPD. Secondo il GDPR, un’AIPD è obbligatoria quando, a causa della tipologia di trattamento o dell’uso di nuove tecnologie, i diritti e le libertà delle persone sono esposti a un rischio elevato, in particolare nei seguenti casi:

  • Valutazione sistematica e approfondita di aspetti personali relativi a una persona fisica (profilazione basata su un trattamento automatizzato).
  • Trattamento su larga scala di dati sensibili (categorie particolari di dati, come dati sanitari, opinioni politiche, ecc.).
  • Sorveglianza sistematica di una zona accessibile al pubblico (via pubblica, stazione, centro commerciale).

Questa lista non è esaustiva; altri criteri possono qualificare un trattamento come a rischio, come: il numero di persone interessate, il volume dei dati, la durata e la permanenza dell’attività di trattamento, l’estensione geografica dell’attività.

L’analisi d’impatto sulla protezione dei dati (AIPD) deve essere effettuata prima dell’avvio e includere almeno:

  • Una descrizione dettagliata delle operazioni di trattamento e dei loro obiettivi.
  • Una valutazione della necessità e della proporzionalità del trattamento.
  • Un’identificazione e un’analisi dei rischi generati dal trattamento.

Sicurezza dei dati personali

Le imprese interessate sono tenute anche a implementare misure tecniche e organizzative appropriate per garantire la confidenzialità, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.

A tal fine, si raccomanda alle imprese di stabilire politiche e procedure di controllo interne che garantiscano:

  • La sicurezza del personale dell’impresa: l’impresa deve stabilire diversi livelli di autorizzazione in base alle responsabilità degli utenti e sensibilizzare i dipendenti e i collaboratori attraverso la comunicazione e l’implementazione di procedure e protocolli in materia di trattamento dei dati. Deve inoltre stabilire **stabilire regole di autenticazione e accesso al materiale informatico (identificativo, password) che devono essere robuste e individualizzate.
  • La sicurezza dei locali: l’impresa deve dotarsi di dispositivi di sicurezza adeguati, come allarmi antifurto, rilevatori di fumo, estintori, badge, codici di accesso, elenchi delle persone autorizzate ad accedere alle diverse zone dell’impresa.
  • La sicurezza del sito web: per proteggersi dagli attacchi informatici, le imprese devono dotarsi di dispositivi e protocolli TLS e garantire un monitoraggio regolare del sito web.
  • La sicurezza delle attrezzature e degli strumenti informatici: l’impresa deve implementare misure volte a garantire la sicurezza e l’accesso ai server, la sicurezza delle postazioni di lavoro, la sicurezza delle attrezzature informatiche mobili e dei telefoni, le reti Wi-Fi e l’accesso remoto.
  • Il backup e l’archiviazione dei dati: l’impresa deve adottare misure volte a garantire l’archiviazione e la sicurezza dei dati per proteggersi da furti, disastri o catastrofi naturali che potrebbero colpire i siti principali o uno dei siti di backup.
  • Il monitoraggio degli incidenti: l’impresa deve dotarsi di file di registro o log per registrare e catalogare le violazioni dei dati.

Conclusione

Il GDPR costituisce un quadro rigoroso volto a proteggere i dati personali responsabilizzando le imprese. Adottando un approccio proattivo, che include politiche interne chiare, formazioni regolari e tecnologie adeguate, le imprese possono non solo conformarsi al GDPR, ma anche rafforzare la loro resilienza di fronte alle minacce digitali e la loro reputazione presso le loro parti interessate.

gp@giovannellapolidoro.com

Leave a comment