Che cos’è e cosa prevede il GDPR ?

22 febbraio 2018

I principali cambiamenti introdotti dal regolamento dell’Unione Europea in tema di protezione dati personali.

Il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, è in vigore dal 25 maggio 2016 ed applicabile dal prossimo 25 maggio 2018. Noto come GDPR (General Data Protection Regulation), in continuità con il passato, si applica al trattamento interamente, parzialmente o non automatizzato dei dati personali. Ogni trattamento, dalla raccolta all’elaborazione, dalla conservazione alla cancellazione del dato, sarà soggetto al GDPR, indipendentemente dalle modalità con il quale venga effettuato.

Quali sono le principali novità introdotte dal GDPR?

 I principali cambiamenti riguardano:

  • nuove condizioni per il consenso e nuove tutele per l’interessato;
  • nuovi oneri e adempimenti per il titolare e per il responsabile;
  • nuova disciplina del Data Protection Officer;
  • ampliamento delle opportunità di trasferimento all’estero dei dati.

Il GDPR introduce una nuova definizione di “consenso”, ovvero: ‘qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento’.

Per quanto riguarda le condizioni per il consenso, si introducono dei requisiti ad hoc con l’onere della prova dello stesso in capo al titolare. Esso deve essere espresso con un linguaggio semplice, comprensibile e la sua richiesta deve essere chiaramente distinguibile.

 

Come scrivere un consenso conforme al Regolamento?

Secondo il GDPR, il consenso deve integrare un atto positivo inequivocabile con una dichiarazione scritta in maniera semplice e chiara. Deve essere espresso un consenso per ogni finalità di trattamento e può essere richiesto ed espresso tramite:

  • la selezione di un’apposita casella in un sito web;
  • la scelta di impostazioni tecniche per servizi della società dell’informazione;
  • qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto.

È bene ricordare che il silenzio, l’inattività o la preselezione di caselle non equivalgono all’accettazione del consenso.

 

Quali sono i diritti dell’interessato?

Ogni persona dovrà avere facoltà di confermare i propri diritti di accesso, di rettifica, di cancellazione dei dati e di opposizione al trattamento. Inoltre il GDPR prevede il:

  • diritto all’oblio (art. 17);
  • diritto di limitazione del trattamento (art. 18);
  • diritto alla portabilità dei dati (art. 20).

Tutto questo mira a rafforzare il principio di trasparenza nel fornire le informazioni da parte del titolare all’interessato ed è anche prevista una procedura ad hoc per le richieste di quest’ultimo in relazione all’esercizio dei suoi diritti, senza ingiustificato ritardo (eventuale proroga per complessità e numero delle richieste) o per onere di motivare eventuale inottemperanza.

L’interessato ha anche il diritto di:

  • proporre reclamo all’autorità di controllo (art. 77);
  • un ricorso giurisdizionale effettivo contro una decisione vincolante dell’autorità di controllo (art. 78);
  • un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento (art. 79);
  • dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti (art. 80);
  • risarcimento del danno materiale o immateriale derivante dalla violazione del regolamento (art. 82).

 

Responsabilizzazione: accountability e valutazione del rischio

Il GDPR introduce onori e adempimenti per il titolare e per il responsabile del trattamento, i quali devono garantire delle misure di sicurezza tecniche e organizzative adeguate ed efficienti, tenuto conto dell’ambito di applicazione, del contesto, delle finalità del trattamento, nonché dei rischi ed essere in grado di provare la conformità al Regolamento. Bisogna proteggere i dati fin dalla progettazione, si parla infatti di:

  • privacy by design: previsione di misure a protezione dei dati già al momento della progettazione dei mezzi del trattamento;
  • privacy by default: previsione di misure tecniche ed organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità di trattamento.

Inoltre bisogna tenere un registro delle attività di trattamento svolte sotto la propria responsabilità; cooperare con l’autorità di controllo; notificare il data breach all’Autorità Garante e all’interessato e procedere alla valutazione d’impatto sulla protezione dei dati e alla consultazione preventiva, ove necessario.

 

Data Protection Officer (DPO)

Questa figura facoltativa era già prevista dalla dir. 95/46/CE. Nel GDPR ha una designazione obbligatoria in specifici casi. Si tratta di una figura interna (dipendente) o esterna all’azienda (contratto di servizi).

I requisiti del DPO devono riguardare sia le qualità professionali e la conoscenza specialistica, che l’indipendenza e autonomia rispetto a istruzioni e/o pressioni esterne. Il Data Protection Officer deve essere in assenza di conflitto d’interessi con altri compiti e funzioni ad esso affidati e deve avere le capacità di adempiere agli stessi. Deve informare e fornire consulenza in merito agli obblighi derivanti dal Regolamento, sorvegliando sull’osservanza dello stesso e di altre disposizioni dell’Unione o degli Stati Membri relative alla protezione dei dati nonché delle politiche del titolare/responsabile del trattamento. Inoltre, se richiesto, deve fornire un parere in merito alla valutazione d’impatto e sorvegliarne lo svolgimento fungendo da punto di contatto per l’autorità di controllo.

 

Trasferimento all’estero dei dati

Rispetto alla direttiva 95/46/CE, non muta il principio generale per il trasferimento, infatti vi è il divieto generale di trasferire dati all’estero, se il livello di protezione garantito dal Regolamento risulta pregiudicato.

Il GDPR amplia il novero dei soggetti destinatari del flusso di dati. Infatti, oltre ai Paesi terzi, il trasferimento è ammesso verso “organizzazioni internazionali”, sulla base di una decisione di adeguatezza, con clausole contrattuali standard e norme vincolanti d’impresa unitamente a codici di condotta e certificazioni. Non sono certo da tralasciare le disposizioni da inserire in accordi amministrativi tra le autorità pubbliche o gli organismi pubblici. Il trasferimento è ammesso anche sulla base di sentenze di un’autorità giurisdizionale o di decisioni di un’autorità amministrativa di un Paese terzo che dispongono il trasferimento, purché basate su un accordo internazionale in vigore tra il Paese terzo richiedente e l’Unione o un suo Stato Membro.

Non varia il quadro delle deroghe al divieto generale di trasferimento già previste dalla direttiva, ovvero: il consenso, l’esecuzione contrattuale, i motivi di interesse pubblico, l’esercizio di diritti in sede giudiziaria, la tutela di interessi vitali, il registro pubblico.

Anche in assenza di garanzie adeguate e di deroghe, il trasferimento è ammesso se:

  • non è ripetitivo;
  • riguarda un numero limitato di interessati;
  • è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento;
  • qualora il titolare del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.

Scopri i cinque punti da cui partire per adeguarsi al nuovo Regolamento europeo.

Share This