Il GDPR è il Regolamento Generale sulla Protezione dei Dati personali entrato in vigore il 25 maggio 2018. Serve a rafforzare le tutele sulla protezione dei dati personali come ormai è richiesto dalla natura mutevole dell’economia digitale. In poche parole, l’obiettivo è proteggere i dati personali dei consumatori per evitere una diffusione non autorizzata ed un uso improprio.
Il nome GDPR è quello originale del Regolamento Europeo, In Italia è tradotto in Regolamento Generale per la Protezione dei Dati (RGPD).
Il GDPR riguarda tutte le aziende che raccolgono e trattano dati delle persone con cittadinanza in uno degli Stati della UE. In tali dati sono compresi anche quelli inerenti il proprio personale dipendente, i fornitori e i clienti.
Se, per qualsiasi motivo, le attività di una azienda si devono effettuare richiedendo a delle persone i loro dati, ci si deve organizzare per dimostrare che si sta gestendo questo aspetto. Significa che, in funzione della complessità dell’azienda/attività si deve almeno identificare chi è il Titolare del Trattamento e tenere un Registro dove vengono descritti:
La parola almeno è in corsivo perché non è il minimo sindacale a cui tutti possono far riferimento, ma a seconda dell’articolazione delle attività si devono esaminare altri aspetti. Ci si deve chiedere se alcuni di questi dati vengono comunicati esternamente ad altri (il commercialista? la ditta che fa i cedolini? il medico del lavoro?). In questo caso si devono identificare e nominare, attraverso una lettera, come Responsabili del Trattamento.
È bene descrivere anche le misure di sicurezza che ci sono per proteggere questi dati e, per buona norma, avere un documento aggiornato dove si rirportano tutte le scelte effettuate.
Poi si devono stilare delle informative da dare alle persone o da allegare nei contratti, dove vengono specificati tutti gli elementi richiesti dal GDPR.
I dati personali sono qualsiasi informazione che riguarda un interessato, ossia una persona fisica identificata o identificabile. I dati si considerano suddivisi in tre categorie:
Il Titolare del trattamento (Data Controller in Inglese) è
“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4. par. 1, n. 7 GDPR).
In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati.Il titolare è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali. I suoi obblighi sono:
si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione (come il numero del passaporto), dati relativi all’ubicazione (l’indirizzo di residenza o di lavoro), un identificativo online (come un indirizzo email o l’utenza di una applicazione) o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale
Il consenso per essere conforme al regolamento GDPR deve essere:
Il dover stabilire gli scopi del trattamento, e descriverli in modo esplicito nelle comunicazioni all’interessato, aiuta il Titolare a comprendere quali sono i date realmente necessari e quindi a non raccogliere dati superflui.
È necessario (Regolamento UE 2016/679 Art.13) indicare all’interessato tutte le finalità di trattamento che riguardano i suoi dati. Tali finalità devono essere presenti nel Registro dei Trattamenti. Non è necessario specificare le finalità relative ad obblighi contrattuali, precontrattuali e obblighi di legge.
Quindi è requisito essenziale che il registro dei trattamenti contenga un elenco dei trattamenti svolti.
Nel mondo IT di solito tale figura si riferisce a chi, in ambito informatico, gestisce e mantiene i sistemi operativi, i virtualizzatori o loro componenti. Invece il Garante estende tale accezione nel seguente modo
Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
Per questo ruolo il Garante considera necessario (paragrafo 4 del provvedimento):
In pratica ci sono molte situazioni dove, quanto prescritto, non è seguito in modo adeguato. Un chiaro esempio è quando la gestione della parte IT è erogata da un’altra azienda in outsourcing dove la figura di Amministratore di Sistema non viene identificata in modo specifico su persone fisiche (questa circostanza lascia più di un dubbio per le responsabilità che il dipendente della società esterna andrebbe ad assumere a titolo personale verso la società cliente).
Un’altro esempio è quello di aziende che nominano come amministratori di sistema tutti, o quasi, i propri dipendenti dl settore IT. Nomina che di fatto rende molto indeterminato il livello di responsabilità di ciascun dipendente.
In ogni caso dove tale nomina non rispetti i criteri definiti dal Garante comporta il rischio, per il Titolare del Trattamento di sanzioni per culpa in eligendo (cc. art. 2049), ad esempio nel caso in cui per imperizia il dipendente nominato AdS commetta azioni o errori che implichino danni ai dati personali. Sono inoltre possibili sanzioni per falso e inadempienza a provvedimenti del garante (oltre a varie ed eventuali ulteriori violazioni).
Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.
Il Regolamento non specifica in modo direttivo come deve essere fatto questo registro, ma identifica le informazione che devono essere incluse sempre, ove applicabile od ove possibile. Questo significa che il registro può essere strutturato in qualsiasi modo ma le informazioni richieste devono essere facilmente accessibili.
Diverso è il discorso per la forma in cui si deve presentare il registro infatti, nello stesso articolo, è riportato:
I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.
Quindi è necessario che il registro venga anche stampato e mantenuto in forma di documento.
Le informazioni che devono essere SEMPRE INCLUSE nel registro sono:
Poi OVE APPLICABILE:
Invece OVE POSSIBILE:
La lettera di incarico al trattamento dei dati è uno strumento necessario nel momento in cui non sia solo il titolare ad accedere ad un sistema, dello studio, del negozio o dell’azienda, ma un’altra persona incaricata.
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento (Art. 29)
Con la lettera di Incarico si autorizza formalmente una Persona Fisica o una Persona Giuridica ad intervenire sui dati personali del Titolare del trattamento.
Si può effettuare liberamente un trasferimento di dati all’estero nei seguenti paesi:
Nel caso in cui non siano state emanate decisioni di adeguatezza è possibile trasferire i dati extra UE nei seguenti casi:
[3d-flip-book mode=”thumbnail-lightbox” id=”2617″][/3d-flip-book]