GDPR in sintesi

Il prossimo 25 maggio (fra pochi giorni), gli Stati Membri dell’Unione europea
(quindi anche l’Italia), dovranno obbligatoriamente applicare il nuovo
regolamento europeo in materia di protezione dei dati personali: il Regolamento
Ue 2016/679, meglio conosciuto con l’acronimo inglese GDPR, “General Data
Protection Regulation”.

Relativo alla protezione delle persone siche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati, e che abroga la
direttiva 95/46/CE, è stato, infatti, pubblicato in Gazzetta U ciale Europea il 4
maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, e diventerà
direttamente applicabile in tutti gli Stati Ue a partire dal 25 maggio di
quest’anno.

GDPR: punti fondamentali della riforma

Innanzitutto, bisogna sicuramente evidenziare che la strada sarà molto più
facile per coloro i quali (imprese, enti privati e pubblici, professionisti), si sono
sempre adoperati per garantire il massimo rispetto della normativa già
esistente in materia di riservatezza e protezione dei dati personali – non solo il
D.lgs. 196/03, ma anche i numerosi Provvedimenti del Garante – che dovranno
soro implementare alcune regole.

Tra cui, quelle minime che devono necessariamente essere adottate:

de nizione di una politica di conservazione dei dati.

aggiornamento delle informative ai sensi dell’art. 13 del GDPR.
veri ca delle condizioni di liceità dei trattamenti e delle fattispecie per cui
è necessario richiedere il consenso(artt. da 6 a 10).
revisione dei rapporti con tutti i responsabili esterni dei trattamenti (con
ritrattazione degli obblighi previsti all’art. 28).
revisione/aggiornamento dell’analisi dei rischi per la de nizione di misure
di sicurezza adeguate (art. 32).
per gli enti pubblici (e per i privati qualora ricorrano le condizioni di cui
all’art. 37.1), l’obbligo di individuare e nominare un Data Protection O cer.
Vediamo, ora, nel dettaglio alcuni rilevanti novità della nuova disciplina.

GDPR: chi riguarda?

Il GDPR è destinato a tutte quelle aziende che raccolgono e/o elaborano dati
personali di cittadini europei e ha effetto anche se le imprese che possiedono i
dati hanno sede al di fuori dei con ni dell’UE, offrono servizi o prodotti
all’interno del mercato unico (come ad esempio gli USA, dove sono collocate la
maggior parte delle società informatiche).

La nuova normativa, insomma si applica a tutte le aziende, ovunque stabilite, al

ne di offrire una tutela diretta ai cittadini e prevedendo che sia compito delle
aziende adeguarsi alla nuova disciplina.

GDPR: i dati personali

Con l’entrata in vigore del GDPR viene ampliata la de nizione di dato personale
e sensibile, con cui non si farà più riferimento solo ai classici dati sensibili
come indirizzo o numero di telefono, ma anche agli identi cativi online come
cookie, indirizzi IP, geolocalizzazione ed email.

Il Regolamento, infatti, non si limita a parlare solo di dati personali, ma individua

quattro macro-categorie di interesse:

dati personali: qualsiasi informazione che possa identi care la persona,

incluso nome, cognome, caratteristiche siche e anche identi cativi
online;
dati genetici: dati ottenuti tramite analisi di DNA o RNA da un campione
biologico;
dati biometrici: qualsiasi caratteristica sica identi cativa della persona,
come l’impronta digitale, l’iride o l’immagine facciale;
dati sulla salute: qualsiasi dato relativo alla salute, tanto sica quanto
mentale, presente, passato o futuro.

Al ne di garantire un approccio uniforme alla nuova disciplina e dirimere le

di coltà iniziali, è stato introdotto lo “sportello unico” (one stop shop). le le
imprese che operano in più Stati Ue avranno a che fare con una sola Autorità di
vigilanza (Garante Privacy), cioè quella del paese dove hanno la sede principale,
piuttosto che con le autorità di 28 Stati europee.

GDPR: raccolta e trattamento dei dati

Per adeguarsi al nuovo regolamento, nel raccogliere i dati, le aziende devono
seguire innanzitutto questi punti speci ci:

permettere all’utente di fornire il proprio consenso in modo esplicito e

tracciabile;
predisporre un’informativa sul trattamento dei dati personali che sia
trasparente, chiara e facilmente accessibile;
garantire che i dati raccolti siano pertinenti, adeguati e limitati alle nalità
per cui vengono richiesti e trattati.

Pertanto, al ne di trattare i dati personali, le società dovranno ricevere esplicito

consenso degli utenti (salvo alcune eccezioni, come ad esempio la richiesta da
parte delle forze dell’ordine).

Nella richiesta di consenso, la società deve esprimere chiaramente quali sono

le nalità del trattamento dei dati e se questi vengono utilizzati da società terze
(ad esempio per ni pubblicitari). La richiesta, quindi, deve essere chiara,
comprensibile e deve essere presentata in una schermata facilmente
riconoscibile.

Inoltre, bisogna garantire all’utente il diritto di revocare il proprio consenso in

qualsiasi momento e di esprimere nuovamente il consenso esplicito in caso di
modi ca del trattamento dei dati., o di implemento con nuovi servizi o funzioni
del sito web, app o programma adoperato e che prevede l’utilizzo dei dati
personali degli utenti.

Ne consegue che, i dati potranno essere raccolti e utilizzati solo per gli scopi
indicati esplicitamente nel consenso, e non più “per ogni altra iniziati”.

Inoltre, viene introdotta un principio di responsabilizzazione per le aziende, nel

processo di adeguamento al GDPR e per le misure adottate, dovendo garantire
la massima sicurezza dalla fase di raccolta sino a quella di elaborazione e
conservazione dei dati.

GDPR: portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati
personali, con cui si è inteso dare la possibilità a qualsiasi utente di trasferire i
dati da un titolare del trattamento a un altro. Il cittadino deve, infatti, poter
ottenere facilmente una copia dei propri dati personali, in un formato leggibile e
facilmente trasferibile.
La norma trova un eccezione nei casi i cui si tratta di dati contenuti in archivi di
interesse pubblico (come ad esempio le anagra ): in questo caso il diritto non
potrà essere esercitato.

Inoltre, in un’ottica garantista, viene anche vietato il trasferimento di dati

personali verso Paesi extra Ue o organizzazioni internazionali che non
rispondono agli standard di sicurezza in materia di tutela della privacy.

Il principio accountability nel GDPR

Con il nuovo regolamento, sono stati ampliati gli obblighi in materia di tutela dei
dati personali in capo al Titolare e al Responsabile del trattamento.

Non dovranno solo garantire il rispetto delle regole ssate per il trattamento dei
dati personali, ma dovranno adottare, e dimostrare di aver adottato, una serie di
misure giuridiche, organizzative, tecniche, per la protezione dei dati personali,
anche attraverso l’elaborazione di speci ci modelli organizzativi, adeguati al
settore di interesse in cui svolge la propria attività.

Il principio di accountability, è stato tradotto in italiano con il termine

“responsabilizzazione”: con la responsabilizzazione del titolare del trattamento,
si richiede non solo il rispetto degli obblighi iniziali previsti nel Regolamento, ma
anche una continua attività di controllo e veri ca delle proprie attività di
trattamento. Per prevenire:
- Adottare un protocollo di risposta;
- Effettuare test periodici per controllare la validità del protocollo;

Data breach e GDPR - Ottenere una copertura assicurativa per eventuali casi di data breach;
- Tenere un registro dei casi di data breach;
- Compiere attività di indagine per individuare la natura e la portata della
violazione
È stato disciplinato l’obbligo, in capo al titolare del trattamento, di comunicare
eventuali violazioni di dati personali (data breach) all’ Autorità Garante e, in
alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento
della comunicazione espone alla possibilità di sanzioni amministrative.

È fondamentale, per le aziende adoperarsi per garantire il corretto

funzionamento di questo meccanismo: il primo adempimento da porre in
essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti
di dati personali.

Il titolare, poi, dovrà informare in modo chiaro, semplice e immediato anche tutti
gli interessati e offrire indicazioni su come intende limitare i danni. Tuttavia,
potrà decidere di non informarli qualora ritenga che la violazione non comporti
un rischio elevato per i loro diritti; o se dimostrerà di avere già adottato misure
di sicurezza; o ancora, nell’eventualità in cui informare gli interessati potrebbe
comportare uno sforzo sproporzionato al rischio.

In ogni caso, l’Autorità Garante potrà imporre al titolare del trattamento di

informare gli interessati, sulla base di una propria valutazione dei rischi correlati
alla violazione commessa.

Il Data Protection O cer (DPO)

Tra i principali obblighi previsti dal nuovo regolamento europeo sulla privacy c’è
quello, per alcune società, di adeguare il proprio organigramma privacy
inserendo all’interno dello stesso la gura del DPO, acronimo di Data Protection
O cer

Il Responsabile della protezione dei dati personali, incaricato di assicurare una

gestione corretta dei dati personali nelle imprese e negli enti e individuato in
funzione delle qualità professionali e della conoscenza specialistica della
normativa e della prassi in materia di protezione dati, tra personale interno o
esterno all’azienda.

Il compito principale del DPO è l’osservazione, la valutazione e la gestione del

trattamento dei dati personali allo scopo di far rispettare le normative europee e
nazionali in materia di privacy.

Il DPO è una gura professionale, con particolari competenze in campo

informatico, giuridico, di valutazione del rischio e di analisi dei processi e
dotato di conoscenze specialistiche della normativa e delle prassi in materia di
protezione dati, nonché delle norme e delle procedure amministrative che
caratterizzano il settore in cui opera.

Si richiede che abbia anche “qualità professionali adeguate alla complessità del
compito da svolgere” e, specialmente in settori delicati come quello della
sanità, possa dimostrare di avere anche competenze speci che rispetto ai tipi
di trattamento posti in essere al titolare.

Importante è garantire l’autonomia decisionale e l’estraneità del DPO rispetto

alla determinazione delle nalità e delle modalità del trattamento dei dati:
nessuno può dargli alcuna istruzione circa l'esecuzione dei suoi compiti e il
responsabile della protezione dati non può svolgere altre mansioni o compiti in
con itto di interessi con quelle proprie del DPO, essendo tenuto in ogni caso al
segreto e alla riservatezza in ordine alle sue funzioni di responsabile della
protezione.

Il diritto all’oblio
Il diritto all’oblio, può essere de nito come il diritto si ciascuna persona “ad
essere dimenticata”.

Più precisamente, il diritto all’oblio è il diritto a non restare esposti, per un

tempo in nito, alle conseguenze dannose, che possono derivare all’onore e alla
reputazione, da fatti commessi in passato o nei quali si è rimasti in qualche
modo coinvolti e che furono oggetto di cronaca.

Pertanto, con tale espressione, si fa riferimento ad una particolare forma di

garanzia che prevede la non diffondibilità, senza particolari motivi, di precedenti
pregiudizievoli per l’onore di una persona.

Di conseguenza, deve essere garantito all’interessato, il diritto di chiedere che

siano cancellati e non più sottoposti a trattamento i propri dati personali,
qualora non siano più necessari per le nalità per le quali sono stati raccolti e
trattati.

Il diritto all’oblio è un diritto di creazione prevalentemente giurisprudenziale, e

solo con il nuovo GDPR si è introdotto, all’art.17, una norma apposita dedicata
al “diritto alla cancellazione o diritto all’oblio”, nel quale viene stabilito che ogni
interessato ha diritto ad ottenere dal titolare del trattamento la cancellazione
dei dati personali che lo riguardano senza ingiusti cato ritardo.

Dal canto suo il titolare del trattamento ha l'obbligo di cancellare, senza

ingiusti cato ritardo, i dati personali di chi lo richiede qualora ricorrano le
condizioni previste dalla norma.

All’autorità di controllo, per noi il Garante Privacy, sono conferiti poteri di

indagine, correttivi, autorizzativi e consultivi, oltre al potere di in iggere sanzioni
amministrative pecuniarie.

Privacy e Trasparenza
Importante è anche l’impatto del nuovo regolamento sul complicato rapporto
tra privacy (diritto alla riservatezza) e trasparenza (diritto a poter sempre
accedere alle informazioni raccolte).
 La normativa comunitaria non modi ca direttamente le norme nazionali in
materia di accesso ai documenti amministrativi (né quelle attualmente
applicate alle innumerevoli istituzioni europee). Ma sottolinea l’assenza di un
rapporto di contraddizione tra i due aspetti/diritti, in quanto tanto i valori di
“trasparenza”, quanto quelli di “tutela e cace della riservatezza” sono
considerati meritevoli di e cace protezione.

IL REGISTRO DEI TRATTAMENTI

Un’ultima annotazione riguarda il registro dei trattamenti, obbligo a cui, a norma dell’articolo 30 del
Regolamento generale sulla protezione dei dati, è tenuto il titolare o il responsabile.
L’articolo 30 RGPD, dispone che ogni responsabile del trattamento tenga un registro di tutte le
categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente
almeno gli elementi elencati nell’articolo medesimo.

RESPONSABILE DEL TRATTAMENTO

Il responsabile del trattamento è un soggetto al quale vengono delegati dei trattamenti da parte del
titolare: nel momento in cui viene affidato un servizio all’esterno, se il soggetto al quale viene
affidato il servizio opera “per conto” del titolare, siamo in presenza di un responsabile.

TITOLARE DEL TRATTAMENTO

Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. Quindi,
se la tua azienda/organizzazione decide «perché» e «come» devono essere trattati i dati personali,
è titolare del trattamento. I dipendenti che trattano i dati personali all’interno della tua
organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua
azienda/organizzazione. La tua azienda/organizzazione è contitolare del trattamento quando
insieme a una o più organizzazioni definisce congiuntamente «perché» e «come» devono essere
trattati i dati personali. I contitolari del trattamento devono stipulare un accordo che definisca le
rispettive responsabilità per quanto riguarda il rispetto delle norme del GDPR.