Il 22 marzo 2018 l’Italia ha mandato in soffitta l’ormai sorpassato Codice della Privacy (Dlgs 196/2003) grazie all'approvazione da parte del Consiglio dei Ministri di un decreto legislativo del Ministero della Giustizia emanato in via preliminare per lasciare spazio al Regolamento Ue n.679/2016 meglio conosciuto come GDPR: il Regolamento generale sulla protezione dei dati.
Sarebbe stato utile arrivare alla scadenza del 25 maggio 2018 con un quadro legislativo italiano chiaro ed evitare che parte della normativa nazionale in vigore risulti obsoleta dopo la suddetta scadenza. Ciò non p stato possibile.
Per questo, con legge di delegazione europea n.163/2017, è stata affidata al Governo una delega al fine di armonizzare le disposizioni nazionali sulla privacy ad oggi in vigore con quelle europee che troveranno applicazione a fine maggio.
La legge delega scadeva il 19 maggio ma è stata concessa un'ulteriore proroga per consentire alla legislazione italiana di emanare le proprie direttive. Dovranno, infatti, essere emessi i pareri del Consiglio di Stato, delle commissioni parlamentari e del Garante della Privacy.
Purtroppo, in questa situazione, tutte le aziende si trovano ad operare senza un quadro normativo definito chiaramente e quindi risulterà opportuno dare agli operatori un lasso di tempo sufficiente per adeguarsi al nuovo quadro legislativo.
Sarà necessaria, quindi, una costante attenzione nei confronti del legislatore nazionale in quanto lo stesso Garante riconosce che se da una parte il medesimo legislatore non ha spazi di intervento su alcune norme del General Data Protection Regulation, potrebbe invece esprimersi su altri.
★★★ Se però hai ancora qualche dubbio a proposito del nuovo Regolamento inizia da questo contenuto: cos'è il GDPR.
Le aziende italiane ed europee di qualsiasi dimensione dovranno, quindi, conformarsi a tutta una serie di nuove richieste derivanti dal nuovo Regolamento europeo.
Anche se diversi aspetti saranno definiti con maggior precisione attraverso dei decreti legislativi nazionali, possiamo già individuare alcuni elementi fondamentali su cui tutte le aziende dovranno porre l’attenzione prima del 25 maggio 2018.
Come indicato nell’art. 4 n.1 il dato personale consiste in
“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Sempre all’art. 4 ma al n.2 viene fornita la definizione di trattamento: “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”.
Il Regolamento Ue quindi si occupa della protezione dei dati personali gestiti, trattati ed archiviati dalle aziende con mezzi cartacei oppure elettronici e di regolamentare i trattamenti degli stessi dati.
Innanzitutto ricordiamo l’art. 4 n.11) che definisce il
“consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Sarà opportuno quindi che le aziende si domandino se i consensi ottenuti prima del 25 maggio 2018 per lo svolgimento delle loro attività nei confronti degli utenti, siano conformi alla normativa europea: nessuna norma prevede il venir meno di tali consensi ma naturalmente gli stessi devono essere stati acquisiti con le modalità previste dal Regolamento Ue.
Non è più necessario che il consenso da parte dell’interessato sia dato per iscritto.
Viene lasciato ampio spazio a forme di manifestazione della volontà più libere così più compatibili con le attuali esigenze di mercato.
Da non dimenticare però che gli stessi consensi devono avere determinate caratteristiche in quanto se da una parte il GDPR modifica snellendo e rendendo più agevole le condizioni di acquisizione e quindi validità dei consensi, dall'altra determina un aumento delle tutele in favore dell’interessato.
L’art. 13 del Regolamento Ue relativo alle Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato specifica quanto segue.
1.In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
Quindi agli interessati devono essere fornite tutte le informazioni relative al trattamento dei loro dati personali: il titolare dei dati ad esempio, dovrà identificare lo scopo e la base giuridica che giustifica l’acquisizione di quei determinati dati.
Si potranno acquisire solo ed esclusivamente quei dati necessari al raggiungimento del fine di cui è stato informato l’interessato.
Non sarà più possibile attuare quelle operazioni svolte da determinate aziende con le quali i dati raccolti per determinate attività venivano poi trasferiti ad altri archivi al fine di essere utilizzati per altri scopi ed attività: sarà necessario in questo caso un nuovo, informato ed esplicito consenso da parte dell’interessato.
Tale consenso non può essere obbligatorio, la persona deve poter scegliere liberamente se darlo o meno e quindi, allo stesso tempo, non può essere raccolto sottoforma di checkbox precompilate.
Per facilitare la decisione dell'utente, è importante inserire link alla Privacy Policy e ai Termini e condizioni d'uso dei dati direttamente nel form in cui l'utente decide se dare o meno il consenso. Inoltre è opportuno che la richiesta dei consensi e l'intera informativa siano facilmente comprensibili all'utente, per questo motivo la lingua in cui è redatta l'intera documentazione assume un ruolo fondamentale.
I dati raccolti inoltre dovranno essere corretti e precisi, quindi aggiornati costantemente.
L’art. 3 poi recita:
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un'autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.
4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni.”
Il GDPR prevede che, nel caso in cui una persona ne faccia richiesta, il titolare del trattamento dei dati ha l'obbligo di dimostrare il momento esatto in cui l'utente ha prestato il proprio consenso al trattamento dei dati.
Sarà quindi necessario avere la possibilità di dimostrare il momento esatto in cui un utente ha prestato il proprio consenso attraverso un form e non sarà più possibile considerare un consenso come tale in caso di silenzio o inazione della controparte.
Dovrà, inoltre, essere indicato il periodo di tempo per il quale il consenso viene dato ed il titolare avrà sempre diritto, in ogni momento di avere tutte le informazioni relative ai propri dati: verrà informato inoltre della possibilità di revocare il predetto consenso.
Il trattamento dei dati non potrà essere modificato unilateralmente.
Naturalmente il GDPR prevede una serie di specifiche in merito al consenso che dovranno essere prese in considerazione e valutate dalle singole aziende in base alle diverse attività da loro svolte, dato che in base al nuovo regolamento europeo e come in parte sopra visto, vengono riconosciuti e garantiti una serie di diritti all'interessato.
Il processo di analisi e gestione dei dati, da parte delle aziende e delle pubbliche amministrazioni dei dati in loro possesso, dei trattamenti in corso, dell’organizzazione interna e dei relativi rischi, deve essere definita chiaramente al fine di un adeguamento ad hoc alla normativa europea.
E’ necessario quindi, ad esempio, designare un Responsabile della Protezione dei dati (DPO) di cui abbiamo già parlato nel precedente articolo, ed effettuare le notifiche delle violazioni dei dati personali nei termini del nuovo regolamento.
Ogni azienda, inoltre, dovrà poi di istituire il Registro delle attività del trattamento nel quale sono individuati tra l’altro i trattamenti effettuati e le procedure di sicurezza adottate. L’art. 30 ci descrive tale registro:
1.Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.
2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.
Il suddetto articolo prosegue specificando che il registro deve essere tenuto in forma scritta, anche in formato elettronico e su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorità di controllo. (...omissis...) .
GDPR e privacy: come affrontare il nuovo Regolamento?
L’entrata in vigore del GDPR non deve necessariamente rappresentare uno scoglio insormontabile che impedisce alla tua azienda di comunicare con i propri contatti in database.
Al contrario, l’entrata in vigore del nuovo Regolamento attribuisce al consenso dei tuoi interlocutori l’importanza che merita.
Grazie al GDPR le persone avranno la possibilità di indicare volontariamente quali informazioni vogliono ricevere da te sulla base della loro esperienza e tu potrai comunicare in maniera più personalizzata e in linea con le loro esigenze.
Le persone si informano online e sono proprio loro a richiedere più informazioni su un argomento se realmente interessate.
Per questo il GDPR rappresenta un’opportunità in più piuttosto che un ostacolo.
*Adv Media Lab srl non risponde di danni derivanti dall'uso dei dati e delle notizie ivi contenuti; non risponde di eventuali danni causati da involontari refusi o errori di stampa; declina ogni responsabilità per l'uso delle suddette informazioni, per eventuali errori e/o contenuti inesatti.