Diritto e Fisco | Articoli

Privacy e GDPR, le cose da sapere per non avere problemi

13 Aprile 2019
Privacy e GDPR, le cose da sapere per non avere problemi

L’entrata in vigore del nuovo regolamento europeo che disciplina il trattamento dei dati personali ha messo aziende e privati di fronte alla necessità di adeguare il proprio approccio alla privacy alle nuove norme.

A partire dal 2003 in Italia è stata introdotta una normativa, sempre di derivazione europea, che impone a qualunque soggetto che ponga in essere un trattamento di dati personali il rispetto di determinate regole. I dati personali sono, in effetti, un bene sempre più prezioso sul mercato. Basti pensare che oggi, grazie al web, è possibile analizzare i gusti e le preferenze dei singoli utenti, organizzando successivamente campagne pubblicitarie mirate per cercare di vendere loro determinati prodotti. I dati, oggi, sono dunque un business prezioso. Nel maggio del 2018 è entrato in vigore il nuovo Regolamento europeo relativo al trattamento dei dati personali, meglio noto come GDPR, e le aziende si sono messe in allarme. Ma quali sono, con riferimento alla privacy e GDPR, le cose da sapere per non avere problemi? In questo articolo cercheremo di capire quali sono i principali obblighi introdotti dalla nuova normativa da rispettare e quali sono i principali adempimenti che consentono alle aziende e a qualsiasi altro soggetto che tratta dati personali di evitare problemi.

Cos’è il GDPR?

Come abbiamo anticipato, dal 2003 in Italia è stata introdotta una normativa [1] che ha per la prima volta introdotto nel nostro ordinamento i concetti di privacy e di tutela dei dati personali.

Dal 2003 ad oggi, dunque, qualsiasi soggetto che si trovava a trattare dati personali altrui si è dovuto attenere alle disposizioni di legge allora vigenti.

Dal 25 maggio 2018, tuttavia, il quadro è radicalmente cambiato. In questa data, infatti, è definitivamente entrato in vigore il nuovo Regolamento Europeo sul trattamento dei dati personali, meglio noto con l’acronimo di GDPR [2].

Il GDPR è un Regolamento europeo: ciò significa che, a differenza delle direttive europee, gli Stati membri non devono ratificare e dare attuazione al GDPR con delle leggi interne in quanto il regolamento europeo è subito efficace nel territorio degli Stati membri, senza la necessità di normative interne di recepimento.

GDPR: gli adempimenti fondamentali per le imprese

Prima di capire quali sono i passaggi fondamentali che ogni azienda deve porre in essere per essere in linea con le regole del GDPR è bene chiarire quand’è che si realizza un trattamento di dati personali e che cosa sono i dati personali.

Nel linguaggio del GDPR per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (che viene definita interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Per trattamento di dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Le definizioni del GDPR sono, dunque, abbastanza ampie e da ciò è facile intuire che sono molti frequenti i momenti in cui un soggetto giuridico (in particolare aziende ed enti) si trova a trattare dati personali di soggetti interessati nell’ambito delle proprie funzioni.

Di seguito indichiamo i principali passaggi che ogni soggetto che tratta dati personali non deve dimenticare di porre in essere in quanto costituiscono la base di partenza per il rispetto delle norme sulla privacy previste dal GDPR.

La consegna dell’Informativa privacy

Il GDPR [3] obbliga ogni soggetto che tratta dati (il cosiddetto titolare del trattamento), in caso di raccolta dei dati presso l’interessato, di fornire a quest’ultimo, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione Europea;
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • qualora il trattamento sia basato sul consenso, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione.

La consegna dell’Informativa privacy è dunque il primo e fondamentale adempimento da porre in essere prima di iniziare un trattamento di dati. La legge non impone uno specifico metodo di invio. L’azienda dovrà scegliere la modalità più idonea a lasciare traccia dell’avvenuta consegna del documento all’interessato.

La nomina a responsabile del trattamento

Molto spesso i dati di cui è titolare l’azienda non vengono trattati direttamente dai suoi dipendenti ma da soggetti esterni che dovendo erogare un certo servizio all’azienda, si ritrovano anche a trattare dati di cui la società è titolare.

Facciamo un esempio. L’azienda Alfa commissiona ad una società che si occupa di formazione in materia di sicurezza sul lavoro lo svolgimento di una serie di corsi a favore dei dipendenti dell’azienda stessa. La società esterna si troverà, dunque, nell’eseguire il contratto con la società, a trattare i dati dei dipendenti di cui la società è titolare.

Infatti, per predisporre ed erogare la formazione, la società esterna dovrà raccogliere i dati identificativi dei dipendenti (nome, cognome, numero matricola), a volte la loro mail, dati riguardanti le mansioni svolte dal dipendente in azienda, etc.

In tutti questi casi l’azienda deve nominare il soggetto esterno che tratta i suoi dati responsabile del trattamento.

Il GDPR [4] prevede che questo atto di nomina abbia delle specifiche caratteristiche.

Innanzitutto, il titolare del trattamento deve fare ricorso unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.

Inoltre, titolare e responsabile del trattamento devono sottoscrivere  un contratto o un altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

  • tratti i dati personali soltanto su istruzione documentata del titolare del trattamento;
  • garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • adotti tutte le misure di sicurezza richieste dal GDPR;
  • rispetti le condizioni di legge per ricorrere (eventualmente) a un altro responsabile del trattamento;
  • tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato previsti dal GDPR;
  • su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
  • metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di legge e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

La nomina della persona autorizzata al trattamento dei dati personali

Il GDPR [5] prevede anche che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.

Ciò significa che tutte le persone fisiche che lavorano in azienda e che si trovano a trattare dati personali di cui l’azienda è titolare devono essere nominate dal titolare del trattamento persona autorizzata al trattamento dei dati personali e devono ricevere specifiche istruzioni operative che spiegano loro come trattare i dati, a quali principi ispirarsi, a chi rivolgersi per problemi interpretativi, etc.

Possiamo dire che nelle aziende che non presentano particolari profili di complessità nella gestione dei dati personali, questi adempimenti sono la base per potere affermare l’applicazione del GDPR da parte della società.

note

[1] D. Lgs. n. 196/2003.

[2] Regolamento (UE) n. 679/2016 del  Parlamento Europeo e del Consiglio.

[3] Art. 13, Regolamento (UE) n. 679/2016 del  Parlamento Europeo e del Consiglio.

[4] Art. 28, Regolamento (UE) n. 679/2016 del  Parlamento Europeo e del Consiglio.

[5] Art. 29, Regolamento (UE) n. 679/2016 del  Parlamento Europeo e del Consiglio.

Autore immagine: GDPR di Monster Ztudio


Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA