GDPR Domande frequenti

Il GDPR riguarda tutte le aziende che raccolgono e trattano dati delle persone con cittadinanza in uno degli Stati della UE. In tali dati sono compresi anche quelli inerenti il proprio personale dipendente, i fornitori e i clienti.

  Nell'art.4 si identifica l'interessato come una persona fisica identificata o identificabile ossia:

si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione (come il numero del passaporto), dati relativi all'ubicazione (l'indirizzo di residenza o di lavoro), un identificativo online (come un indirizzo email o l'utenza di una applicazione) o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale

     I dati personali sono qualsiasi informazione che riguarda un interessato, ossia una persona fisica identificata o identificabile. I dati si considerano suddivisi in tre categorie:

  1. DATI PERSONALI - sono quelli che permettono di identificare o di rendere identificabile una persona attraverso alcune informazioni, caratteristiche, abitudini, stile di vita, ecc.;
  2. DATI PARTICOLARI - è una categoria di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
    Questi dati a volte vengono chiamati dati sensibili perché erano così definiti nel precedente d.lgs 196/2003. Il GDPR nell'articolo 9 dice che il trattamento di questi dati è vietato. In realtà il divieto non sussiste se si ricade in uno dei casi elencati nell'articolo.
    Si capisce comunque che nell'analizzare una azienda od organizzazione ai fini del GDPR è importante capire se tali dati devono essere trattati;
  3. DATI GIUDIZIARI - sono dati personali relativi a condanne penali e reati e devono essere trattati solamente dall'autorità pubblica o sotto il suo controllo.

   Per finalità del trattamento dei dati personali si intende il motivo per cui si raccolgono i dati personali degli utenti. Non viene definito in modo diretto all'interno del Regolamento (UE) 2016/679 il concetto di finalità del trattamento, ma è evidente che i dati devono essere raccolti per finalità determinate, esplicite e legittime. Quindi il Titolare del trattamento deve stabilire prima dell'inizio del trattamento gli scopi (che non devono essere generici o indefinitii o illimitati) in base ai quali ha intenzione di raccogliere e trattare i dati personali e deve anche identificare quali sono le basi giuridiche che lo autorizzano a trattare i dati raccolti.

Il dover stabilire gli scopi del trattamento, e descriverli in modo esplicito nelle comunicazioni all'interessato, aiuta il Titolare a comprendere quali sono i date realmente necessari e quindi a non raccogliere dati superflui.

È necessario (Regolamento UE 2016/679 Art.13) indicare all'interessato tutte le finalità di trattamento che riguardano i suoi dati. Tali finalità devono essere presenti nel Registro dei Trattamenti. Non è necessario specificare le finalità relative ad obblighi contrattuali, precontrattuali e obblighi di legge.

Quindi è requisito essenziale che il registro dei trattamenti contenga un elenco dei trattamenti svolti.

   Il Titolare del trattamento  è

"la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR).

In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati.Il titolare è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali. I suoi obblighi sono:

  • trattamento dei dati in modo lecito, corretto e trasparente nei confronti dell'interessato;
  • acquisizione del consenso dall'interessato nei casi previsti (in particolare per i minori);
  • divieto di trattamento dei dati ex art. 9 tranne nei casi di esenzione;
  • informare correttamente e in maniera trasparente gli interessati;
  • garantire il rispetto dei diritti degli interessati (in particolare per i processi decisionali automatizzati);
  • adottare le misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione e per impostazione predefinita (privacy by design e by default), la tutela dei diritti dell'interessato e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente;
  • in caso di contitolarità, concordare col contitolare la ripartizione delle responsabilità;
  • in caso di titolare non avente sede in Europa, nominare un rappresentante nell'Unione europea;
  • vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento;
  • fornire le istruzioni al responsabile del trattamento;
  • tenere il registro di trattamenti;
  • fornire le istruzioni e formare il personale;
  • documentare le violazione dei dati personali, notificarle al Garante e comunicarle agli interessati nei casi previsti;
  • cooperare con l'autorità di controllo quando richiesto;
  • redigere le valutazioni di impatto nei casi previsti;
  • nominare il DPO se previsto.

   Si deve dire chiaramente che il Regolamento Europeo (GDPR) non prevede in modo esplicito la figura dell'amministratore di sistema. Questa figura era introdotta dai provvedimenti del Garante italiano del dicembre 2008 e successivamente modificato nel provvedimento di giugno del 2009. Il GDPR è stato ufficializzato (non entriamo nel merito di come e se devono essere ratificati i regolamenti Europei) dal D.L. 101/2018, che modifica ed adegua il precedente regolamento contenuto nel D.L. 196/2003, ma non abroga in alcun modo i precedenti pèrovvedimenti del Garante Italiano. Quindi in Italia esiste anche la figura di Amministratore di Sistema anche se ci sono molti dibattiti e contraddizioni sulla sua attale identificazione e regolamentazione.

Nel mondo IT di solito tale figura si riferisce a chi, in ambito informatico, gestisce e mantiene i sistemi operativi, i virtualizzatori o loro componenti. Invece il Garante estende tale accezione nel seguente modo

Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

Per questo ruolo il Garante considera necessario (paragrafo 4 del provvedimento):

  1. attribuire le funzioni di amministratore di sistema, previa valutazione dell´esperienza, della capacità e dell´affidabilità del soggetto designato;
  2. la designazione deve essere individuale e recare l´elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;
  3. predisporre e mantenere un documento interno con gli estremi identificativi delle persone fisiche amministratori di sistema, con l´elenco delle funzioni ad essi attribuite;
  4. se l´attività degli amministratori di sistema riguarda anche indirettamente servizi o sistemi che trattano informazioni di carattere personale di lavoratori, i titolari nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l´identità degli amministratori di sistema nell´ambito delle proprie organizzazioni, secondo le caratteristiche dell´azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Questo deve essere reso esplicito all'interno dell'informativa fornita ai dipendenti;
  5. le attività degli amministratori di sistema devono essere oggetto, con cadenza almeno annuale, di un´attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti;
  6. si devono registrare gli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell´evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

In pratica ci sono molte situazioni dove, quanto prescritto, non è seguito in modo adeguato. Un chiaro esempio è quando la gestione della parte IT è erogata da un'altra azienda in outsourcing dove la figura di Amministratore di Sistema non viene identificata in modo specifico su persone fisiche (questa circostanza lascia più di un dubbio per le responsabilità che il dipendente della società esterna andrebbe ad assumere a titolo personale verso la società cliente).
Un'altro esempio è quello di aziende che nominano come amministratori di sistema tutti, o quasi, i propri dipendenti dl settore IT. Nomina che di fatto rende molto indeterminato il livello di responsabilità di ciascun dipendente.

In ogni caso dove tale nomina non rispetti i criteri definiti dal Garante comporta il rischio, per il Titolare del Trattamento di sanzioni per culpa in eligendo (cc. art. 2049), ad esempio nel caso in cui per imperizia il dipendente nominato AdS commetta azioni o errori che implichino danni ai dati personali. Sono inoltre possibili sanzioni per falso e inadempienza a provvedimenti del garante (oltre a varie ed eventuali ulteriori violazioni).

  L'articolo 30 del GDPR prevede che

Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.

Il Regolamento non specifica in modo direttivo come deve essere fatto questo registro, ma identifica le informazione che devono essere incluse sempre, ove applicabile od ove possibile. Questo significa che il registro può essere strutturato in qualsiasi modo ma le informazioni richieste devono essere facilmente accessibili.

Diverso è il discorso per la forma in cui si deve presentare il registro infatti, nello stesso articolo, è riportato:

I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.

Quindi è necessario che il registro venga anche stampato e mantenuto in forma di documento.

Le informazioni che devono essere SEMPRE INCLUSE nel registro sono:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

Poi OVE APPLICABILE:

  • i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

Invece OVE POSSIBILE:

  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

Si può effettuare liberamente un trasferimento di dati all'estero nei seguenti paesi:

  1. Paesi appartenenti all'Unione Europea o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein
  2. Paesi extra UE per i quali è stata emanata una decisione di adeguatezza, quali: Andorra, Argentina, Australia, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA (con certificazione privacy shield).
    Sono in corso le trattative con Giappone e Sud Corea. Gli esiti possono essere monitorati al seguente link.

Nel caso in cui non siano state emanate decisioni di adeguatezza è possibile trasferire i dati extra UE nei seguenti casi:

  • sulla base di accordi contrattuali, stipulati tra il titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea, che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR). Per la conclusione di tali accordi contrattuali, la Commissione Europea ha emanato dei modelli standard.
  • per i gruppi di imprese, il trasferimento deve avvenire sulla base di binding corporate rules che devono essere approvate dall’autorità competente (in Italia, il Garante privacy). Queste Norme Vincolanti di Impresa sono clausole contrattuali vincolanti per tutte le società appartenenti al gruppo ed espressamente accettate.
  • se l’utente ha espresso esplicitamente il proprio consenso al trasferimento ed è stato informato dal titolare dell’assenza di una decisione di adeguatezza e dei conseguenti rischi per l'utente.
  • il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente e il titolare stabilito in Unione Europea su richiesta dell’utente.