Guida all'Applicazione del Regolamento Europeo sulla Protezione dei Dati Personali
Benvenuti a questa presentazione sulla Guida all'Applicazione del Regolamento Europeo in materia di Protezione dei Dati Personali (GDPR). Questa guida, elaborata dal Garante per la protezione dei dati personali, offre una panoramica completa e aggiornata sugli aspetti chiave del GDPR, fornendo indicazioni pratiche per la sua corretta implementazione.
Nei prossimi 15 slide, esploreremo i principali temi del regolamento, dai fondamenti di liceità del trattamento ai diritti degli interessati, dalle responsabilità di titolari e responsabili alle misure di sicurezza e accountability. L'obiettivo è fornire a professionisti e aziende gli strumenti necessari per una gestione conforme ed efficace dei dati personali.
Indice dei contenuti
GM
by Gian Marco Malagoli
Fondamenti di Liceità del Trattamento
Il GDPR stabilisce sei basi giuridiche per il trattamento dei dati personali. Ogni trattamento deve trovare fondamento in una di queste basi per essere considerato lecito. È fondamentale che i titolari del trattamento identifichino correttamente la base giuridica più appropriata prima di iniziare qualsiasi attività di trattamento.
Le sei basi giuridiche sono: consenso dell'interessato, esecuzione di un contratto, obbligo legale, salvaguardia di interessi vitali, esecuzione di un compito di interesse pubblico, perseguimento del legittimo interesse del titolare o di terzi. Ognuna di queste basi ha caratteristiche e requisiti specifici che devono essere attentamente valutati.
1
Consenso dell'interessato
Deve essere libero, specifico, informato e inequivocabile
2
Esecuzione di un contratto
Il trattamento è necessario per adempiere a un contratto con l'interessato
3
Obbligo legale
Il trattamento è necessario per adempiere a un obbligo di legge
4
Interesse vitale
Il trattamento è necessario per la salvaguardia di interessi vitali
Il Consenso come Base Giuridica
Il consenso, come base giuridica per il trattamento dei dati personali, richiede particolare attenzione. Secondo il GDPR, il consenso deve essere libero, specifico, informato e inequivocabile. Non è ammesso il consenso tacito o presunto, e deve essere manifestato attraverso una dichiarazione o azione positiva inequivocabile.
È importante notare che il consenso non deve necessariamente essere documentato per iscritto, anche se questa è una modalità consigliata per dimostrare l'inequivocabilità e, nel caso di dati sensibili, l'esplicitità del consenso. Il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha effettivamente prestato il consenso.
Libertà di scelta
Il consenso deve essere dato liberamente, senza coercizione o conseguenze negative in caso di rifiuto
Specificità
Il consenso deve riferirsi a trattamenti ben definiti e non può essere generico
Informazione
L'interessato deve ricevere tutte le informazioni necessarie prima di esprimere il consenso
Inequivocabilità
Il consenso deve essere espresso attraverso un'azione positiva chiara e inequivocabile
L'Informativa: Contenuti e Modalità
L'informativa è un elemento chiave nella trasparenza del trattamento dei dati personali. Il GDPR stabilisce contenuti precisi che devono essere inclusi nell'informativa, garantendo che gli interessati ricevano informazioni complete e comprensibili sul trattamento dei loro dati.
L'informativa deve essere fornita in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio chiaro e semplice. È importante adattare il linguaggio al pubblico di riferimento, prestando particolare attenzione quando ci si rivolge ai minori.
Contenuti obbligatori
- Identità e contatti del titolare
- Finalità del trattamento
- Base giuridica del trattamento
- Periodo di conservazione dei dati
- Diritti dell'interessato
Modalità di presentazione
- Forma scritta, preferibilmente elettronica
- Linguaggio chiaro e semplice
- Possibilità di utilizzo di icone
- Informativa stratificata o multilivello
Diritti degli Interessati
Il GDPR rafforza i diritti degli interessati, fornendo loro un maggiore controllo sui propri dati personali. È fondamentale che i titolari del trattamento siano consapevoli di questi diritti e predispongano procedure adeguate per garantirne l'esercizio.
Tra i diritti principali vi sono: il diritto di accesso, il diritto di rettifica, il diritto alla cancellazione (o "diritto all'oblio"), il diritto di limitazione del trattamento, il diritto alla portabilità dei dati e il diritto di opposizione. Il titolare del trattamento deve fornire riscontro all'interessato entro un mese dalla richiesta, salvo proroghe in casi di particolare complessità.
1
Diritto di accesso
L'interessato ha il diritto di ottenere conferma del trattamento e accesso ai propri dati
2
Diritto di rettifica
L'interessato può chiedere la correzione di dati inesatti o l'integrazione di dati incompleti
3
Diritto alla cancellazione
L'interessato può richiedere la cancellazione dei propri dati in specifiche circostanze
4
Diritto alla portabilità
L'interessato può ricevere i propri dati in formato strutturato e trasferirli ad altro titolare
Il Diritto alla Portabilità dei Dati
Il diritto alla portabilità dei dati è una delle novità più significative introdotte dal GDPR. Questo diritto permette agli interessati di ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli ad un altro titolare del trattamento senza impedimenti.
Questo diritto si applica solo ai dati forniti dall'interessato, trattati con mezzi automatizzati e basati sul consenso o su un contratto. Non si applica ai dati derivati o inferiti dal titolare del trattamento. L'obiettivo è aumentare il controllo degli utenti sui propri dati e facilitare il passaggio da un servizio all'altro.
1
Richiesta dell'interessato
L'interessato esercita il diritto di portabilità presso il titolare del trattamento
2
Verifica dei requisiti
Il titolare verifica che la richiesta soddisfi i requisiti per la portabilità
3
Estrazione dei dati
I dati vengono estratti in un formato strutturato e interoperabile
4
Trasmissione dei dati
I dati vengono trasmessi all'interessato o direttamente al nuovo titolare
Titolare, Responsabile e Incaricato del Trattamento
Il GDPR definisce chiaramente i ruoli e le responsabilità dei soggetti coinvolti nel trattamento dei dati personali. È fondamentale comprendere la distinzione tra questi ruoli per garantire una corretta attribuzione delle responsabilità e degli obblighi previsti dal regolamento.
Il titolare del trattamento è il soggetto che determina le finalità e i mezzi del trattamento. Il responsabile del trattamento è colui che tratta i dati per conto del titolare. Gli incaricati, ora definiti come "persone autorizzate al trattamento", sono coloro che operano sotto l'autorità diretta del titolare o del responsabile.
1
2
3
1
Titolare del trattamento
Determina finalità e mezzi del trattamento
2
Responsabile del trattamento
Tratta i dati per conto del titolare
3
Persone autorizzate
Operano sotto l'autorità del titolare o responsabile
Responsabilizzazione e Approccio Basato sul Rischio
Il GDPR introduce il principio di "accountability" o responsabilizzazione, che richiede ai titolari e ai responsabili del trattamento di adottare un approccio proattivo alla protezione dei dati. Questo implica l'implementazione di misure tecniche e organizzative adeguate per garantire e dimostrare la conformità al regolamento.
L'approccio basato sul rischio è un elemento chiave di questo principio. I titolari devono valutare i rischi inerenti al trattamento e adottare misure appropriate per mitigarli. Questo include la conduzione di valutazioni d'impatto sulla protezione dei dati (DPIA) per i trattamenti che presentano rischi elevati.
Misure di sicurezza
Implementazione di misure tecniche e organizzative adeguate
Valutazione dei rischi
Analisi continua dei rischi associati al trattamento dei dati
Documentazione
Mantenimento di registri delle attività di trattamento
Privacy by Design
Integrazione della protezione dei dati fin dalla progettazione
Il Registro delle Attività di Trattamento
Il Registro delle attività di trattamento è uno strumento fondamentale introdotto dal GDPR per dimostrare la conformità al regolamento. Questo documento deve essere mantenuto da tutti i titolari e responsabili del trattamento, con alcune eccezioni per le organizzazioni con meno di 250 dipendenti.
Il registro deve contenere informazioni dettagliate su tutte le attività di trattamento svolte sotto la responsabilità del titolare o del responsabile. Oltre ad essere un obbligo legale, il registro è uno strumento prezioso per avere una panoramica completa dei trattamenti effettuati e per facilitare la valutazione dei rischi.
Data Protection Officer (DPO)
Il Data Protection Officer (DPO) o Responsabile della Protezione dei Dati è una figura chiave introdotta dal GDPR per facilitare la conformità al regolamento. La nomina del DPO è obbligatoria in specifici casi, come per le autorità pubbliche, le organizzazioni che effettuano trattamenti su larga scala di categorie particolari di dati o dati relativi a condanne penali e reati.
Il DPO svolge un ruolo cruciale di consulenza e supervisione in materia di protezione dei dati all'interno dell'organizzazione. Deve essere indipendente, esperto in materia di protezione dei dati e riferire direttamente ai vertici aziendali. Le sue responsabilità includono informare e consigliare il titolare o il responsabile del trattamento, sorvegliare l'osservanza del GDPR e fungere da punto di contatto con l'autorità di controllo.
Compiti principali del DPO
Informare e fornire consulenza al titolare o al responsabile del trattamento
Sorveglianza della conformità
Monitorare l'osservanza del GDPR e delle politiche interne
Formazione del personale
Sensibilizzare e formare il personale coinvolto nel trattamento dei dati
Punto di contatto
Cooperare con l'autorità di controllo e fungere da punto di contatto
Misure di Sicurezza e Data Breach
Il GDPR richiede l'implementazione di misure di sicurezza adeguate per proteggere i dati personali. Queste misure devono garantire un livello di sicurezza appropriato al rischio, tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento.
In caso di violazione dei dati personali (data breach), il titolare del trattamento è tenuto a notificare l'evento all'autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Se il rischio è elevato, il titolare deve anche comunicare la violazione agli interessati senza ingiustificato ritardo.
1
2
3
4
1
Implementazione misure di sicurezza
Adozione di misure tecniche e organizzative adeguate
2
Rilevamento della violazione
Sistemi per identificare tempestivamente le violazioni di dati
3
Valutazione del rischio
Analisi dell'impatto potenziale della violazione sui diritti degli interessati
4
Notifica e comunicazione
Informare l'autorità di controllo e, se necessario, gli interessati
Valutazione d'Impatto sulla Protezione dei Dati (DPIA)
La Valutazione d'Impatto sulla Protezione dei Dati (DPIA) è uno strumento importante per la responsabilizzazione, in quanto aiuta i titolari non solo a rispettare i requisiti del GDPR, ma anche a dimostrare che sono state adottate misure appropriate per garantire la conformità al regolamento.
Una DPIA è obbligatoria quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Questo include, ad esempio, l'uso di nuove tecnologie, il trattamento su larga scala di categorie particolari di dati o la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
1
Identificazione dei trattamenti a rischio
Valutare quali trattamenti richiedono una DPIA
2
Descrizione del trattamento
Dettagliare natura, ambito, contesto e finalità del trattamento
3
Valutazione di necessità e proporzionalità
Analizzare la conformità e la proporzionalità del trattamento
4
Gestione dei rischi
Identificare e implementare misure per mitigare i rischi
Trasferimenti di Dati verso Paesi Terzi
Il GDPR pone restrizioni sui trasferimenti di dati personali verso paesi al di fuori dell'Unione Europea e dello Spazio Economico Europeo. Tali trasferimenti sono consentiti solo se il paese terzo garantisce un livello di protezione adeguato o se sono presenti garanzie appropriate.
Le principali basi per effettuare trasferimenti internazionali di dati includono: decisioni di adeguatezza della Commissione europea, clausole contrattuali standard, norme vincolanti d'impresa (BCR), codici di condotta e meccanismi di certificazione approvati. In assenza di queste garanzie, i trasferimenti possono avvenire solo in situazioni specifiche e limitate.
Meccanismi di trasferimento
- Decisioni di adeguatezza
- Clausole contrattuali standard
- Norme vincolanti d'impresa (BCR)
- Codici di condotta
- Meccanismi di certificazione
Deroghe per situazioni specifiche
- Consenso esplicito dell'interessato
- Esecuzione di un contratto
- Motivi di interesse pubblico
- Accertamento, esercizio o difesa di un diritto in sede giudiziaria
- Tutela degli interessi vitali dell'interessato
Codici di Condotta e Certificazioni
Il GDPR incoraggia l'utilizzo di codici di condotta e meccanismi di certificazione come strumenti per dimostrare la conformità al regolamento. Questi strumenti possono aiutare le organizzazioni, in particolare le PMI, a implementare pratiche di protezione dei dati efficaci e a costruire fiducia con i propri clienti.
I codici di condotta sono sviluppati da associazioni o organismi rappresentativi di categorie di titolari o responsabili del trattamento e devono essere approvati dall'autorità di controllo competente. Le certificazioni, invece, sono rilasciate da organismi di certificazione accreditati e attestano la conformità di un trattamento specifico al GDPR.
Certificazioni
Attestano la conformità di specifici trattamenti al GDPR, rilasciate da organismi accreditati
Codici di Condotta
Linee guida settoriali per l'applicazione del GDPR, sviluppate da associazioni di categoria
Vantaggi
Aumentano la fiducia degli interessati e facilitano la dimostrazione di conformità al GDPR
Conclusioni e Prossimi Passi
L'applicazione del GDPR rappresenta una sfida continua per le organizzazioni, ma offre anche l'opportunità di migliorare la gestione dei dati personali e costruire una relazione di fiducia con i propri clienti e utenti. La conformità al GDPR non è un punto di arrivo, ma un processo continuo che richiede un impegno costante e una cultura aziendale orientata alla protezione dei dati.
Per garantire una corretta applicazione del regolamento, è fondamentale mantenere un approccio proattivo, aggiornare regolarmente le proprie pratiche e politiche, e rimanere informati sulle interpretazioni e le linee guida fornite dalle autorità di controllo e dal Comitato europeo per la protezione dei dati (EDPB).
1
Valutazione
Condurre una valutazione completa della conformità al GDPR
2
Implementazione
Attuare le misure necessarie per colmare eventuali lacune
3
Monitoraggio
Stabilire processi di monitoraggio continuo della conformità
4
Aggiornamento
Mantenere aggiornate le pratiche in base alle nuove linee guida
Link Utili
www.garanteprivacy.it
GDPR
- Il testo del Regolamento (Ue) 2016/679 - Arricchito con riferimenti ai Considerando e aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell'Unione europea 127 del 23 maggio 2018 Il Garante per la protezione dei dati personali ha elaborato una versione "arricchita" del testo del Regolamento (UE) 2016/679, che - laddove necessario - segnala in corrispondenza di articoli e paragrafi i relativi "Considerando" di riferimento, in modo da offrire una lettura più ampia e ragionata delle previsioni introdotte dalla nuova normativa. Aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell'Unione europea 127 del 23 maggio 2018.
Click here scarica il pdf riassuntivo
