Ente Datoriale per la Formazione sulla Sicurezza sul Lavoro

Approfondimenti Normativi

PRIVACY: Che cos’è il GDPR 2016/679?

Dal 25 maggio 2018 sarà applicato il GDPR, acronimo di General Data Protection Regulation, ossia il nuovo Regolamento UE 2016/679 che sostituirà la Direttiva CE sulla protezione dei dati (EC / 95/46), attualmente vigente.


Le principali novità introdotte dal Regolamento:
Il Regolamento presenta numerose novità rispetto all'attuale Codice della Privacy. In questa sezione ti presentiamo le principali novità introdotte e individuiamo i principali adempimenti che le imprese e gli enti pubblici dovranno attuare per dare corretta applicazione alla nuova normativa, già in vigore dal 24 maggio 2015, ma ufficialmente obbligatoria a partire dal 25 maggio 2018.

  • Il consenso
Per i dati "sensibili" il consenso DEVE essere "esplicito".
Lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione). La diretta conseguenza è l’inammissibilità di un consenso tacito o presunto, come potrebbe avvenire nei casi delle caselle pre-spuntate. Resta immutato il concetto che il consenso deve sempre essere libero, informato e specifico.

Il consenso NON deve essere necessariamente "documentato per iscritto", nonostante spesso questa modalità venga considerata la più idonea per il suo essere esplicito.
Il titolare DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.

Il consenso dei minori è valido a partire dai 16 anni.
Prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

  • Le modalità dell'informativa
Sono state stabilite nuove caratteristiche dell'informativa: DEVE essere di forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Deve essere data, in linea di principio, per iscritto e preferibilmente in formato elettronico, anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente.

Nel caso di dati personali non raccolti direttamente presso l'interessato, l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati.
Il regolamento AMMETTE, soprattutto, l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo "in combinazione" con l'informativa estesa; queste icone dovranno essere identiche in tutta l'Ue e saranno definite prossimamente dalla Commissione europea.

  • I diritti riconosciuti agli interessati

Il diritto di accesso dell’interessato: l’interessato ha diritto di ottenere dal titolare l’accesso ai dati che lo riguardano. Il titolare può rendere disponibile la consultazione di dati in modo sicuro da remoto. L’interessato ha il diritto di conoscere le finalità perseguite con il trattamento avente ad oggetto i propri dati, i destinatari a cui verranno comunicati i suoi dati personali, ove possibile, la durata del trattamento ed infine, le eventuali conseguenze di un trattamento basato sulla profilazione. Fra le informazioni che il titolare deve fornire non rientrano le "modalità" del trattamento.

Il diritto all’oblio: l’interessato ha il diritto di ottenere la cancellazione dei propri dati personali se non pertinenti o non più pertinenti, o se inadeguati rispetto alle finalità del trattamento, o se l’interessato abbia revocato il proprio consenso, o qualora i dati siano trattati in modo illecito. Sarà obbligatorio per il titolare del trattamento informare eventuali altri titolari del trattamento in merito alla richiesta di cancellazione da parte dell’interessato.


Il diritto di limitazione di trattamento: il diritto è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l'interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento. Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze, come nel caso di accertamenti in sede giudiziaria.

Il diritto alla portabilità: l’interessato ha il diritto di ricevere i dati personali forniti a un titolare, in un formato di uso comune e leggibile da dispositivo informatico, e di trasferirli a un altro titolare del trattamento senza impedimenti. Questo diritto non si applica per archivi o registri cartacei: sono portabili solo i dati trattati con il consenso dell'interessato o sulla base di un contratto stipulato con l'interessato e solo i dati che siano stati "forniti" dall'interessato al titolare.

  • Nomine di Titolari e Responsabili dei trattamenti
Il regolamento pone con forza l'accento sulla "responsabilizzazione" di titolari e responsabili – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento. Si dovrà quindi essere in grado di fornire sempre le “garanzie sufficienti”, quali la natura, durata e finalità del trattamento, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e delle disposizioni contenute nel regolamento.

Il regolamento disciplina la contitolarità del trattamento e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti, con particolare riguardo all'esercizio dei diritti degli interessati. Il regolamento fissa più dettagliatamente (rispetto all'art. 29 del Codice) le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Inoltre il regolamento consente la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario.

Il regolamento prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare la tenuta del registro dei trattamenti svolti, l'adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti e la designazione di un RPD-DPO. Si ricorda, inoltre, che anche il responsabile non stabilito nell'Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all'art. 27, paragrafo 3, del regolamento.

  • Adempimenti da parte di Titolari e Responsabili del trattamento
Il registro dei trattamenti: Si tratta di un documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili, e contiene: le finalità del trattamento, le categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi, la durata del trattamento, l’indicazione delle modalità di raccolta dei dati e l’eventuale descrizione dell’attività di profilazione dei dati. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda, indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Definizione delle politiche di sicurezza e valutazione dei rischi: In questa fase bisogna procedere alla valutazione e all’attuazione di tutte le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Per raggiungere lo scopo della valutazione di sicurezza deve essere definito il risk appetite, ossia quanto l’organizzazione è disposta ad esporsi all’impatto del realizzarsi di una minaccia. Successivamente va definito per ogni minaccia un grado di probabilità potenziale di realizzazione e il suo impatto sull’organizzazione in termini di riservatezza, integrità e disponibilità.

Data Breach: Con il termine data breach si intende una “violazione della sicurezza” in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Solitamente il data breach si realizza con una divulgazione involontaria (o talune volte volontaria) di dati riservati all’interno di un ambiente privo di misure di sicurezze come il web. In caso di accessi non autorizzati, perdita o furto di dati vi è l’obbligo di comunicare tempestivamente e, ove possibile, entro 72 ore sia agli interessati che alla competente autorità le suddette violazioni.

DPIA: Valutazione d’impatto sulla protezione dei dati personali. Al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, la DPIA implica che il titolare effettui precise e adeguate valutazioni d’impatto. Attraverso tale istituto è possibile, di conseguenza, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati.

Generazione, stesura o modifica della documentazione contenente le risultanze dei punti precedenti, affinché sia completa ed aggiornata secondo le prescrizioni della nuova normativa. Non c’è più una scadenza di revisione annuale, ma viene richiesto che il documento sia sempre aggiornato. L’analisi dei rischi, come molti altri documenti, va aggiornata ogni volta in cui vengano introdotti nuovi trattamenti o avvengano variazioni sostanziali su quelli in essere.