CHE COS’E’ IL GDPR

Come oramai molti sanno il 24 maggio 2016 è entrato in vigore a livello di Comunità Europea il nuovo Regolamento Europeo sulla Privacy. Le norme saranno applicabili dal 25 maggio 2018 ed il tempo a disposizione per capire la strategia migliore da applicare e metterla in atto non è molto. Il regolamento porterà una serie di innovazioni non solo per il singolo cittadino ma anche per aziende, enti pubblici, liberi professioni ed associazioni. In primis il legislatore ha voluto introdurre regole più chiare in merito all’informativa ed al consenso stabilendo precisi limiti al trattamento automatizzato dei dati, alla relativa violazione ed all’interscambio degli stessi al di fuori della Comunità Europea. Si è voluto rendere la norma più trasparente, con un’unica visione in tutta l’Unione Europea, rendendo molto chiara e semplice la gestione del proprio dato per ogni cittadino mediante consensi e revoche evidenti.

La definizione presente nell’articolo 4 stabilisce l’oggetto del regolamento:

DATO PERSONALE

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

e la gestione stessa come:

TRATTAMENTO

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la

registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi

altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

Il consenso ad un certo trattamento che fino ad oggi poteva anche essere tacito diventa obbligatoriamente esplicito ed il cittadino potrà verificare in ogni istante come questo viene applicato ed eventualmente revocarlo in modo semplice.

Cambia quindi la visione data oggi ai processi di marketing diretto, ma cambiano anche le modalità di registrazione e fruizione dei molti servizi internet; così varia anche la visione relativa alla profilazione dell’utente che non sarà più sufficiente, nel caso di questioni che hanno effetti giuridici, a deciderne una soluzione.

Riportiamo la definizione data dal Regolamento:

PROFILAZIONE

«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

Nel caso di marketing diretto l’interessato avrà sempre diritto di opporsi alle attività di profilazione. Inoltre è stato introdotto in modo chiaro il diritto all’oblio, cioè la cancellazione dei propri dati personali da parte di un titolare del trattamento qualora ad esempio cessino i motivi per cui si era dato il consenso. Se ne pongono dei limiti di applicazione e si obbliga il titolare del trattamento ad agire tempestivamente perché l’informazione sia rimossa ovunque venga trattata. In un mondo sempre più digitale si è dato particolare risalto alla portabilità dei dati personali. In particolare diventerà molto più semplice trasferire i propri dati da un gestore ad un altro per i contratti come la telefonia, e quelli urbani (acqua, luce e gas) in quanto sarà fatto obbligo al gestore attuale il trasferimento autorizzato delle informazioni verso terzi.

Anche dati più strutturati, come la messaggistica elettronica o i file nel cloud, dovranno essere trattati secondo questa nuova visione.

Ovviamente la normativa non si spinge a definire le caratteristiche tecniche per l’interscambio dei dati né a livello europeo né nazionale. Saranno presumibilmente i vari enti nazionali, da noi il Garante per la Privacy, a concepire le opportune interfacce informatiche per i vari temi.

Una particolare attenzione viene data al trasferimento dei dati al di fuori dell’Unione Europea dove dovrà essere accuratamente valutata l’adeguatezza rispetto alla tutela dei dati della controparte e in caso di insufficienza si potranno richiedere opportune garanzie ed il cittadino dovrà esplicitamente dare il proprio consenso ad ogni forma di trasferimento.

La violazione dei dati personali (Data breach) non potrà essere una problematica solamente aziendale ma richiederà maggiore informazione verso l’interessato e una comunicazione tempestiva ed obbligatoria verso l’autorità nazionale per la protezione dati.

Per le aziende, di qualsiasi ordine e grado, cambia radicalmente la visione generale che passa da un censimento dei trattamenti effettuati relativi alla privacy ad un vero e proprio Sistema Rischi dove,

con le medesime metodologie messe in campo per il trattamento, ad esempio dei rischi finanziari od operativi, si riportano gli elementi della privacy ad elementi di rischio per il quale si devono fare attente misurazioni, mettere in atto politiche di riduzione del rischio, pianificare i costi che vanno ad impattare sul conto economico dell’impresa.

I legislatori europei hanno voluto dichiarare in modo evidente l’importanza del provvedimento stabilendo forti sanzioni pecuniarie nel caso di non rispetto della norma (articolo 84, sanzioni).

Parimenti le imprese che saranno particolarmente virtuose, in cui il titolare potrà in ogni momento certificare i propri trattamenti e nelle quali si applicano in modo serio codici di condotta sottoposta all’approvazione dell’autorità nazionale tramite associazioni di categoria o altri soggetti, avranno diritto a valutazioni meno stringenti nel caso si manifestassero problematiche nei processi privacy.

Nelle sezioni che seguiranno verranno approfondite alcune delle problematiche citate dando enfasi alle azioni che le imprese dovranno attuare per adempiere al Regolamento.

GDPR: PERCHÉ RISPETTARLO

Meno di 100 giorni.
Questo è il tempo che resta prima dell’entrata in vigore del GDPR (General Data Protection Regulation) ma tre società su cinque dichiarano di non essere pronte ad attuare le modifiche previste dal nuovo Regolamento sulla protezione dei dati. Secondo un recente studio di Forrester, un gran numero di aziende sta lavorando per adeguarsi, mentre il 22% prevede di diventare conforme al GDPR entro il 2018.
Tuttavia, potrebbe essere troppo tardi; la data limite del 25 maggio è nota ormai da due anni.

GDPR, DI COSA SI TRATTA SI DOVREBBE ESSERE PREOCCUPATI

A questo punto, è improbabile che non si sia mai sentito parlare del GDPR. Indipendentemente da dove si trovi l’attività, il Regolamento deve essere rispettato.
Chiaramente molte aziende non sono consapevoli del fatto che questa normativa abbia validità a livello mondiale, quindi non solo in Europa. Il 43% dei professionisti IT negli Stati Uniti, per esempio, non crede che il GDPR abbia un impatto sulla propria attività.
Il Regolamento mira a proteggere la privacy dei dati personali dei cittadini dell’Unione Europea e a controllare la modalità con cui le aziende e le istituzioni li elaborano, li utilizzano e li archiviano. Pertanto, si applica a società di tutte le dimensioni e di tutti i Paesi che trattano tali informazioni. Il GDPR implica notevoli cambiamenti per garantire agli utenti un accesso più facile ai loro dati e conferisce alle aziende una maggiore responsabilità nel proteggerli. Tra le principali modifiche vi è l’obbligo di ottenere un consenso esplicito e attivo da parte della singola persona per elaborare, archiviare o utilizzare i propri dati (informare l’utente non è sufficiente, si deve avere la sua approvazione) e di notificare le violazioni delle informazioni personali entro 72 ore dopo che un’azienda è venuta a conoscenza dell’incidente.

Inoltre, il GDPR include nuove tutele, come il diritto all’oblio – che consente agli utenti di richiedere che i loro dati personali vengano eliminati in particolari circostanze, per esempio se il consenso viene ritirato, se non è più necessario per gli scopi per cui è stato raccolto, etc. – e il diritto alla portabilità, ossia la facoltà di richiedere che le aziende che memorizzano informazioni sensibili forniscano una copia delle stesse o le trasferiscano ad un’altra società.
Nonostante le norme che il GDPR impone alle aziende per rafforzare il controllo dei dati personali, alcune società che dipendono in larga parte da questi, come quelle del settore comunicazione o della vendita al dettaglio, sono le meno preparate ad accettare il Regolamento. Solo il 27%, infatti, dichiara di esserne completamente conforme e molte, secondo Forrester, ammettono di aver iniziato ad applicare cambiamenti a causa della “pressione da parte dei propri clienti”.

RISCHI DI NON CONFORMITÀ AL GDPR

La violazione del GDPR ha diverse conseguenze:

– Economiche: le più discusse e quelle che più preoccupano le aziende. Le autorità avranno, infatti, la possibilità di imporre multe fino a 20 milioni di euro o il 4% del fatturato annuale totale di un’azienda. Ovviamente, queste ammende saranno inflitte sulla base di vari fattori come la natura, la gravità e la durata dell’inadempienza (ad esempio, quante persone sono state coinvolte e quali danni ha causato), se è dovuta a negligenza, se c’è una storicità del comportamento etc. Le multe più severe saranno date alle aziende che non rispettano i principi di base del trattamento dei dati personali e che violano i diritti degli utenti o trasferiscono dati sensibili a Paesi terzi o Organizzazioni internazionali, che non possono garantire una protezione adeguata. Oltre alle ammende amministrative, le società potranno subirea anche ulteriori ripercussioni finanziarie, come richieste di risarcimento avanzate da persone i cui dati personali sono stati violati.

– Di reputazione: il mancato rispetto del GDPR potrebbe assoggettare le aziende al disprezzo pubblico. Il maggior grado di trasparenza richiesto dal nuovo Regolamento e l’obbligo di notificare alle autorità le violazioni dei dati, infatti, potrebbero attirare maggiore attenzione verso l’azienda, senza dimenticare l’opinione negativa che i clienti avranno, sapendo che i loro dati non sono stati protetti. La mancanza di fiducia e la pubblicità negativa dovrebbero preoccupare, ancora di più delle multe.
– Commerciali: non essere in grado di dimostrare che la propria azienda è conforme al Regolamento può far perdere clienti e ostacolare gli accordi con altre società. Gli utenti, infatti, non sono disposti a mettere a rischio i propri dati personali se esiste un concorrente in linea con gli standard sulla privacy richiesti dal GDPR. Questo fattore influenza anche gli accordi commerciali: nessuna azienda vorrebbe essere un partner e condividere le informazioni dei propri clienti con un’altra società che potrebbe mettere in pericolo le suddette informazioni condivise.

IN SINTESI, IL MANCATO RISPETTO DI GDPR
PUÒ CAUSARE IL FALLIMENTO DI UN’AZIENDA.

IL COSTO, NON SOLO ECONOMICO, DI VENIRE MENO A QUESTA NORMATIVA È TROPPO ALTO PER ESSERE IGNORATO.

Sanzioni previste dal Regolamento Privacy Europeo (UE/2016/679)

Di seguito sono riportate tutte le sanzioni (c.d. multe) previste dal Regolamento Europeo che, ai sensi dell’art. 83 del Reg. UE/2016/679 devono avere carattere di effettività, proporzionalità e dissuasività.

Le sanzioni amministrative pecuniarie riportate nell’elenco che segue, possono essere integrative, oppure completamente sostitutive delle sanzioni correttive indicate nell’elenco successivo e si distinguono in sanzioni di carattere economico e sanzioni correttive.

La decisione sull’applicazione delle sanzioni spetta all’autorità di controllo (in Italia: l’Autorità Garante per la Protezione dei Dati Personali), che, nella valutazione, tiene conto delle circostanze del singolo caso, ossia:
– della natura, gravità e durata della violazione
– del carattere doloso o colposo della violazione
– delle misure adottate per attenuare il danno subito dagli interessati
– delle eventuali precedenti violazioni commesse dal titolare del trattamento
– del grado di cooperazione con l’autorità di controllo – degli eventuali altri fattori aggravanti

SANZIONI DI CARATTERE ECONOMICO

• Inosservanza degli obblighi del titolare e del responsabile del trattamento; inosservanza degli obblighi dell’organismo di certificazione; inosservanza degli obblighi dell’organismo di controllo:
fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente.

• Inosservanza dei principi base del trattamento; inosservanza dei diritti degli interessati; inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali; inosservanza di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo: fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.

• Inosservanza di un ordine correttivo dell’autorità di controllo:
fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.

SANZIONI CORRETTIVE:

Le sanzioni correttive sono connesse ai poteri dell’Autorità di controllo. Essi consistono nel:
• Rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare il GDPR
• Rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del GDPR
• Ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richiestedell’interessato di esercitare i relativi diritti
• Ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del GDPR, anche specificando in che modo ed entro quale termine
• Ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali
• Imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento
• Ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali
• Revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti
• Infliggere una sanzione amministrativa pecuniaria in aggiunta alle presenti misure (v. sopra)
• Ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.