GDPR cos’è e perché rischia di rallentare la ripartenza. Una guida pratica, a due anni dall’entrata in vigore e a poche settimane dall’annuncio dell’Italia come primo Paese in Europa per sanzioni legate al mancato rispetto del nuovo regolamento europeo su privacy e gestione dei dati. Una bussola preziosa mentre tutti corrono verso il cloud…

Una corsa che sta portando, spesso, molte aziende ad esternalizzare applicazioni, servizi, comunicazioni senza tenere in giusta considerazione tutte, ma proprio tutte le implicazioni anche legali necessarie prima di spiccare il volo. Il risultato è tutto nella classifica di cui sopra e negli ultimi, clamorosi casi di dati personali sottratti, pubblicati all’insaputa dei diretti interessati.

GDPR cos’è

Andiamo dunque con ordine e vocabolario alla mano, alla domanda Cos’è il GDPR? Rispondiamo: si tratta della nuova legge europea sulla privacy e la sicurezza dei dati include centinaia di pagine di nuovi requisiti per le organizzazioni di tutto il mondo (per chi lo desidera qui comunque c’è tutto il regolamento).

Più nel dettaglio il Regolamento generale sulla protezione dei dati (GDPR) è la legge sulla privacy e la sicurezza più severa al mondo. Sebbene sia stato redatto e approvato dall’Unione europea (UE), impone obblighi alle organizzazioni ovunque, a condizione che mirino o raccolgano dati relativi alle persone nell’UE. Il regolamento è entrato in vigore il 25 maggio 2018 e in Italia è uscito dalla fase di applicazione attenuata esattamente un anno dopo. Il GDPR impone pesanti sanzioni a coloro che violano i suoi standard di privacy e sicurezza, con sanzioni che raggiungono le decine di milioni di euro.

Con il GDPR, l’Europa sta segnalando la sua ferma posizione sulla privacy e la sicurezza dei dati in un momento in cui sempre più persone affidano ai propri dati personali servizi cloud e le violazioni sono all’ordine del giorno. Il regolamento stesso è ampio, di vasta portata e abbastanza leggero nelle specifiche, rendendo la conformità al GDPR una prospettiva scoraggiante, in particolare per le piccole e medie imprese (PMI).

Storia del GDPR e ci cosa è

Il diritto alla privacy fa parte della Convenzione europea dei diritti dell’uomo del 1950, che afferma: “Ogni individuo ha diritto al rispetto della sua vita privata e familiare, della sua casa e della sua corrispondenza”. Su questa base, l’Unione europea ha cercato di garantire la protezione di questo diritto attraverso la legislazione.

Con il progresso della tecnologia e l’invenzione di Internet, l’UE ha riconosciuto la necessità di protezioni moderne. Così nel 1995 ha approvato la direttiva europea sulla protezione dei dati, stabilendo standard minimi di privacy e sicurezza dei dati, su cui ogni stato membro ha basato la propria legge di attuazione. Ma Internet si stava già trasformando nei dati che Hoover è oggi. Nel 1994 è apparso online il primo banner pubblicitario. Nel 2000, la maggior parte degli istituti finanziari offriva servizi bancari online. Nel 2006 Facebook è stato aperto al pubblico. Nel 2011, un utente di Google ha citato in giudizio l’azienda per aver scansionato le sue e-mail. Due mesi dopo, l’autorità europea per la protezione dei dati ha dichiarato che l’UE aveva bisogno di “un approccio globale alla protezione dei dati personali” e sono iniziati i lavori per aggiornare la direttiva del 1995.

Il GDPR è entrato in vigore nel 2016 dopo l’approvazione del Parlamento europeo e, a partire dal 25 maggio 2018, tutte le organizzazioni dovevano essere conformi.

Ambito, sanzioni e definizioni chiave

In primo luogo, se elabori i dati personali di cittadini o residenti dell’UE o offri beni o servizi a tali persone, il GDPR si applica a te anche se non sei nell’UE.

In secondo luogo, le multe per la violazione del GDPR sono molto alte. Esistono due livelli di sanzioni, che raggiungono un massimo di 20 milioni di euro o il 4% delle entrate globali (a seconda di quale sia maggiore), inoltre gli interessati hanno il diritto di chiedere il risarcimento dei danni. Parliamo anche di più delle multe GDPR.

Il GDPR definisce a lungo una serie di termini legali. Di seguito sono riportati alcuni dei più importanti a cui ci riferiamo in questo articolo:

Dati personali – I dati personali sono tutte le informazioni relative a un individuo che può essere identificato direttamente o indirettamente. Nomi e indirizzi email sono ovviamente dati personali. Anche le informazioni sulla posizione, l’etnia, il sesso, i dati biometrici, le credenze religiose, i cookie web e le opinioni politiche possono essere dati personali. I dati pseudonimi possono anche rientrare nella definizione se è relativamente facile identificare qualcuno da essi.

Elaborazione dei dati: qualsiasi azione eseguita sui dati, automatizzata o manuale. Gli esempi citati nel testo includono la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’utilizzo, la cancellazione … quindi praticamente qualsiasi cosa.

Soggetto dei dati: La persona i cui dati vengono elaborati. Questi sono i tuoi clienti o visitatori del sito.

Titolare del trattamento: La persona che decide perché e come verranno trattati i dati personali. Se sei un proprietario o un dipendente della tua organizzazione che gestisce i dati, questo sei tu.

Responsabile del trattamento: una terza parte che elabora i dati personali per conto di un responsabile del trattamento dei dati. Il GDPR ha regole speciali per questi individui e organizzazioni. Potrebbero includere server cloud come Tresorit o fornitori di servizi di posta elettronica come ProtonMail.

GDPR

Principi di protezione dei dati

Se elabori i dati, devi farlo secondo i sette principi di protezione e responsabilità delineati nell’articolo 5.1-2:

Liceità, correttezza e trasparenza. Il trattamento deve essere lecito, equo e trasparente nei confronti dell’interessato.
Limitazione dello scopo: è necessario elaborare i dati per gli scopi legittimi specificati esplicitamente all’interessato al momento della raccolta.
Minimizzazione dei dati: raccogliere ed elaborare solo la quantità di dati assolutamente necessaria per gli scopi specificati.
Precisione: è necessario mantenere i dati personali accurati e aggiornati.
Limitazione dell’archiviazione: è possibile archiviare i dati di identificazione personale solo per il tempo necessario per lo scopo specificato.
Integrità e riservatezza: l’elaborazione deve essere eseguita in modo tale da garantire sicurezza, integrità e riservatezza appropriate (ad esempio utilizzando la crittografia).
Responsabilità – Il titolare del trattamento è responsabile di essere in grado di dimostrare la conformità al GDPR con tutti questi principi.

Responsabilità

Il GDPR afferma che i responsabili del trattamento dei dati devono essere in grado di dimostrare di essere conformi al GDPR. E questo non è qualcosa che puoi fare dopo il fatto: se pensi di essere conforme al GDPR ma non puoi mostrare come, allora non sei conforme al GDPR. Tra i modi in cui puoi farlo:

Assegna le responsabilità di protezione dei dati al tuo team.
Conserva una documentazione dettagliata dei dati che stai raccogliendo, come vengono utilizzati, dove sono archiviati, quale dipendente ne è responsabile, ecc.
Formare il personale e implementare misure di sicurezza tecniche e organizzative.
Avere contratti di Accordo per il trattamento dei dati in essere con terze parti che contraggono per elaborare i dati per te.
Nomina un responsabile della protezione dei dati (sebbene non tutte le organizzazioni ne abbiano bisogno, ne parleremo più in dettaglio in questo articolo).

Gdpr cos’è, la sicurezza dei dati

Sei tenuto a gestire i dati in modo sicuro implementando “misure tecniche e organizzative appropriate”.

Le misure tecniche significano qualsiasi cosa, dalla richiesta ai dipendenti di utilizzare l’autenticazione a due fattori sugli account in cui sono archiviati i dati personali al contratto con provider di cloud che utilizzano la crittografia end-to-end.

Le misure organizzative sono cose come la formazione del personale, l’aggiunta di una politica sulla privacy dei dati al manuale dei dipendenti o la limitazione dell’accesso ai dati personali solo ai dipendenti dell’organizzazione che ne hanno bisogno.

In caso di violazione dei dati, hai 72 ore per informare gli interessati o incorrere in sanzioni. (Questo requisito di notifica può essere revocato se si utilizzano protezioni tecnologiche, come la crittografia, per rendere i dati inutili a un utente malintenzionato.)
Protezione dei dati fin dalla progettazione e per impostazione predefinita

D’ora in poi, tutto ciò che fai nella tua organizzazione deve, “per impostazione predefinita e per impostazione predefinita”, considerare la protezione dei dati. In pratica, ciò significa che è necessario considerare i principi di protezione dei dati nella progettazione di qualsiasi nuovo prodotto o attività. Il GDPR copre questo principio nell’articolo 25.

Supponiamo, ad esempio, che tu stia lanciando una nuova app per la tua azienda. Devi pensare a quali dati personali l’app potrebbe raccogliere dagli utenti, quindi considerare i modi per ridurre al minimo la quantità di dati e come proteggerli con la tecnologia più recente.

Quando sei autorizzato a elaborare i dati

L’articolo 6 elenca i casi in cui è legale trattare i dati personali. Non pensare nemmeno di toccare i dati personali di qualcuno – non raccoglierli, non archiviarli, non venderli agli inserzionisti – a meno che tu non possa giustificarlo con uno dei seguenti:

L’interessato ha fornito un consenso specifico e inequivocabile al trattamento dei dati. (ad esempio, hanno aderito alla tua lista di email di marketing.)
Il trattamento è necessario all’esecuzione o alla predisposizione alla conclusione di un contratto di cui l’interessato è parte. (ad esempio, è necessario eseguire un controllo dei precedenti prima di affittare la proprietà a un potenziale inquilino.)
Devi elaborarlo per adempiere a un tuo obbligo legale. (ad esempio, ricevi un’ordinanza dal tribunale della tua giurisdizione.)
Devi elaborare i dati per salvare la vita di qualcuno. (ad es. beh, probabilmente saprai quando si applica questo.)

Il trattamento è necessario per eseguire un’attività di interesse pubblico o per svolgere una funzione ufficiale. (ad esempio, sei un’azienda privata di raccolta dei rifiuti.)
Hai un interesse legittimo a trattare i dati personali di qualcuno. Questa è la base legale più flessibile, sebbene i “diritti e le libertà fondamentali dell’interessato” prevalgano sempre sui tuoi interessi, soprattutto se si tratta di dati di un minore. (È difficile fornire un esempio qui perché ci sono una serie di fattori che dovrai considerare per il tuo caso. L’Ufficio del Commissario per le informazioni del Regno Unito fornisce utili indicazioni qui.)

Dopo aver determinato la base legale per il trattamento dei dati, è necessario documentare questa base e informare l’interessato (trasparenza!). E se in seguito decidi di modificare la tua giustificazione, devi avere un buon motivo, documentare questo motivo e avvisare l’interessato.
Consenso

Esistono nuove regole rigide su ciò che costituisce il consenso dell’interessato al trattamento delle proprie informazioni.

Il consenso deve essere “dato liberamente, specifico, informato e inequivocabile”.
Le richieste di consenso devono essere “chiaramente distinguibili dalle altre questioni” e presentate in “un linguaggio chiaro e semplice”.
Gli interessati possono revocare il consenso precedentemente fornito ogni volta che lo desiderano e tu devi onorare la loro decisione. Non puoi semplicemente modificare la base giuridica del trattamento con una delle altre giustificazioni.
I minori di 13 anni possono dare il consenso solo con il permesso dei genitori.
È necessario conservare le prove documentali del consenso.

Responsabili della protezione dei dati

Contrariamente alla credenza popolare, non tutti i responsabili del trattamento o incaricati del trattamento devono nominare un responsabile della protezione dei dati (DPO). Esistono alcune condizioni in base alle quali è necessario nominare un DPO:

Sei un’autorità pubblica diversa da un tribunale che agisce in qualità di giudice.
Le tue attività principali richiedono di monitorare le persone in modo sistematico e regolare su larga scala. (ad esempio, tu sei Google.)

Diritti alla privacy delle persone

Sei un titolare del trattamento e / o un responsabile del trattamento. Ma come persona che usa Internet, sei anche un soggetto dei dati. Il GDPR riconosce una lista di nuovi diritti alla privacy per gli interessati, che mirano a dare alle persone un maggiore controllo sui dati che prestano alle organizzazioni. Come organizzazione, è importante comprendere questi diritti per assicurarti di essere conforme al GDPR.

Di seguito è riportato un riepilogo dei diritti alla privacy degli interessati:

Il diritto di essere informato
Il diritto di accesso
Il diritto alla rettifica
Il diritto alla cancellazione
Il diritto di limitare l’elaborazione
Il diritto alla portabilità dei dati
Il diritto di opporsi
Diritti in relazione al processo decisionale automatizzato e alla profilazione.

Gdpr cos’è, la conclusione

Abbiamo appena trattato tutti i punti principali del GDPR in poco più di 2.000 parole. Il regolamento stesso (escluse le direttive di accompagnamento) è di 88 pagine. Se sei interessato dal GDPR, ti consigliamo vivamente di farlo leggere a qualcuno della tua organizzazione e di consultare un avvocato per assicurarti di essere conforme al GDPR.

 

 

 

GDPR cos’è e perché rischia di rallentare la ripartenza ultima modifica: 2020-12-30T11:39:29+00:00 da Marco Lorusso

LEAVE A REPLY

Please enter your comment!
Please enter your name here