Cos’è il GDPR ?
Il GDPR (acronimo di General Data Protection Regulation, in italiano “Regolamento generale sulla protezione dei dati“) è un regolamento della Commissione Europea (Regolamento UE 2016/679) col quale si è voluto effettuare un vasto intervento normativo in materia di dati personali, allo scopo di garantire una maggior tutela ai diritti dei cittadini e dei residenti nei confini della UE.
E’ importante precisare che il GDPR non riguarda esclusivamente la privacy on-line ma, più genericamente, il trattamento dei dati personali a prescindere dall’ambito – sia esso “analogico o digitale” – nel quale viene effettuato; si tratta, pertanto, di un intervento generale che riguarda la Rete ma non si esaurisce in essa, in quanto è volto a regolare l’attività di tutti i soggetti che raccolgono o elaborano dati personali, sia on-line che off-line, di cittadini europei dentro e fuori l’Unione Europea.
GDPR e normativa Italiana: cosa cambia rispetto al D.lgs 196/2003 ?
Nel caso dell’Italia, il GDPR andrà ad inserirsi nel quadro normativo tracciato dal D.lgs 196/2003 che, attualmente, costituisce le norma di riferimento in materia di trattamento di dati personali; con l’avvento del GDPR la norma citata verrà integrata da nuovi obblighi ed, in parte, derogata (ove non compatibile col nuovo regolamento europeo).
In linea di massima possiamo dire che il GDPR, seppur con una certa approssimazione (che lascerà non pochi dubbi in fase applicativa) traccia un perimetro molto netto e rigoroso statuendo alcuni principi di natura innovativa.
Tra questi principi, un posto di primo piano è riservato ai concetti di “Privacy by design” e “Privacy by default“, i quali impongono al titolare del trattamento una protezione dei dati fin dalla progettazione del database e per impostazione predefinita, così come previsto nell‘art.25 del Regolamento UE:
Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1.Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica (…)
Vediamo, di seguito, come devono essere intesi i concetti esplicitati in questo articolo del regolamento UE:
- Privacy by design: viene introdotto il concetto di “privacy by design“, cioè l’onere, per chi costruisce un database di informazioni personali, di organizzarlo e strutturarlo avendo ben in mente gli obblighi imposti dalla nuova normativa: eventuali problemi legati alla riservatezza dei dati, in altre parole, vanno prevenuti (e non corretti!) utilizzando tecniche adeguate come la pseudonimizzazione dei dati. In altre parole, qualora un soggetto intenda trattare dati altrui, deve prevedere un sistema che, sin dall’inizio dell’attività, riduca al minimo i rischi di una possibile violazioni dei dati raccolti.
- Privacy by default: la quantità di dati raccolti ed il tempo di loro conservazione non deve eccedere il minimo necessario all’espletamento delle finalità perseguite dal trattamento. In quest’ambito diventa centrale il concetto di minimizzazione, cioè quel principio che impone la riduzione al “minimo indispensabile” dei dati richiesti in fase di iscrizione ad un servizio secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità dichiarate.
La responsabilità (accountability)
Uno degli elementi centrali della nuova normativa introdotta dal GDPR è il principio di accountability (impropriamente tradotto in italiano come “responsabilità del titolare del trattamento“).
Articolo 24 – Responsabilità del titolare del trattamento
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.(…)
Il citato articolo prevede che il titolare del trattamento è tenuto ad adottare politiche e misure adeguate per garantire e dimostrare che il trattamento dei dati personali è conforme a quanto previsto dalla nuova normativa; il principio di accountability, quindi, prevede che il titolare non debba solo adempiere, ma anche provare ogni singolo adempimento.
Un altro elemento centrale del principio di accountability è la discrezionalità (la norma parla di “misure tecniche e organizzative adeguate”): il titolare del trattamento, infatti, è libero di decidere quali modalità adottare per la protezione dei dati personali (il GDPR non offre alcun elenco tassativo) ma, allo stesso tempo, tale discrezionalità è accompagnata dall’onere di dimostrare le motivazioni delle proprie scelte (oltre che di documentarle).
Notifica delle violazioni (data breach)
Un altro elemento fortemente innovativo del GDPR riguarda il data breach, cioè il comportamento da tenersi in caso di violazioni a carico dei dati.
Il riferimento normativo del data breach è contenuto nell’articolo 33:
Articolo 33 – Notifica di una violazione dei dati personali all’autorità di controllo
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. (…)
In altre parole, il GDPR impone al titolare del trattamento di effettuare un controllo costante dei dati e di comunicare tempestivamente alle autorità competenti eventuali violazioni dei dati; tale comunicazione può essere omessa solo se la violazione subita non sia tale da comportare rischi morali e/o materiali per i soggetti coinvolti.
Diritto all’oblio
Con l’entrata in vigore del GDPR vi sono novità sostanziali anche per il cosiddetto diritto all’oblio; questo diritto assume una veste normativa (Articolo 17) che ne determina, con una certa precisione, l’ambito di applicazione ed anche i casi nei quali può legittimamente essere escluso (come, ad esempio, qualora sussista un diritto di cronaca).
Altre novità del GDPR
Oltre ai principi appena citati, il GDPR introduce nel nostro ordinamento numerose altre novità in tema di:
– raccolta e validità del consenso dell’interessato (con importanti ripercussioni sulle modalità di redazione della privacy policy);
– raccolta, elaborazione e conservazione dei dati.
GDPR e siti web: aspetti centrali della nuova normativa
Il nuovo Regolamento UE 2016/679 prevede una serie di oneri in capo ai gestori di siti web, indipendentemente che si tratti di motori di ricerca, social network, magazine, blog o piccoli siti aziendali: Il GDPR si applica a tutti i siti web che, in qualche modo, effettuano il trattamento di dati personali di cittadini e/o residenti nei confini dell’UE.
Cosa s’intende per “dati personali”?
Il concetto di “dati personali” ha assunto, nel tempo, un’accezione piuttosto ampia; può essere definito dato personale qualsiasi informazione (nome, codice fiscale, indirizzo, data di nascita, numero telefonico, ecc.) riguardante una persona fisica identificata o identificabile, anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata mediante informazioni supplementari.
Secondo questa definizione, oggi comunemente condivisa, possono essere qualificati come dato personale anche informazioni, tipicamente usate nel mondo digitale, quali email, IP, cookie e fingerprint.
Alla luce di questa precisazione si può affermare che il 99% dei siti web, in qualche modo, direttamente o indirettamente, effettua un trattamento di dati personali e, quindi, è tenuto ad adeguarsi alla nuova normativa europea del GDPR.
L’importanza del consenso nel GDPR
Uno dei nodi centrali della nuova normativa è il consenso dell’interessato; il GDPR definisce il consenso (articolo 4) come una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento“.
Il consenso, per essere valido, deve essere libero, cioè dovrà anche essere incondizionato.
L’articolo 7 (par. 4) prevede che “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto“.
In altre parole: il consenso è inefficace (quindi NON è valido) se l’esecuzione di un contratto o la prestazione di un servizio è subordinata al consenso, pur non essendo quest’ultimo indispensabile per tale esecuzione.
Non sarà più possibile, quindi, pretendere l’accettazione del trattamento dei dati personali per l’esecuzione di un servizio a meno che tali dati non siano effettivamente necessari!
Oltre ad essere libero ed incondizionato, il consenso dell’interessato deve essere preventivo, esplicito ed informato:
– Preventivo – l’interessato deve prestare il proprio consenso prima che il trattamento abbia inizio e non successivamente;
– Esplicito – l’accettazione del trattamento deve essere esplicita e non può ritenersi sottintesa;
– Informato – l’interessato deve essere adeguatamente informato sui suoi diritti e sulle finalità del trattamento, in particolare il titolare del sito web deve fornire all’interessato, in modo chiaro e intellegibile, le seguenti informazioni: quali dati vengono raccolti; con quali modalità avviene il trattamento; chi effettua il trattamento; quali sono le finalità del trattamento; per quanto tempo vengono conservati i dati; in quale modo l’interessato potrà accedere ai propri dati per effettuare modifiche e/o richiederne la cancellazione; quali sono i diritti dell’interessato in relazione ai propri dati; ecc.
Un altro obbligo previsto dal GDPR riguarda la prova del consenso: in altre parole, il titolare del sito web deve essere in grado di dimostrare l’avvenuto consenso da parte dell’interessato (ad esempio registrando l’indirizzo IP ed il momento del click sul pulsante “Accetto”); tale prova deve essere disponibile per tutto il periodo in cui perdura il trattamento e, una volta che questo sia cessato, può essere conservata per il tempo strettamente necessario a rispondere ad obblighi di legge e/o per far valere in giudizio un proprio diritto.
Sempre in relazione al consenso, il GDPR prevede che l’interessato possa negarlo e/o ritirarlo in ogni momento.
Raccolta, elaborazione e conservazione dei dati: cosa prevede il GDPR per i siti web ?
Relativamente alla raccolta, all’elaborazione e alla conservazione dei dati, il GDPR prevede che il titolare del sito web riconosca sempre tre diritti fondamentali in capo all’interessato circa i dati di sua pertinenza:
– Diritto all’accesso – l’interessato deve essere messo nella condizione di poter accedere, in ogni momento, ai propri dati, al fine di poterne verificare la correttezza ed, eventualmente, modificarli.
– Diritto all’oblio (diritto di cancellazione) – come già detto all’inizio di questo articolo, il GDPR prevede un vero e proprio diritto all’oblio, cioè il diritto dell’interessato di ottenere la cancellazione dei propri dati in modo semplice o, meglio ancora, automatico mediante apposite funzioni disponibili online.
– Diritto di portabilità – l’articolo 20 del GDPR prevede la facoltà per l’interessato di chiedere ed ottenere una copia di tutti propri dati al fine di poterli portare presso un altro gestore di servizio (non è ancora chiaro in che modo, secondo quali modalità e standard tale diritto troverà effettiva applicazione; per maggiori informazioni si faccia riferimento a questo documento).
GDPR e la “nuova” informativa sulla privacy
Il GDPR riscrive anche le regole per la stesura dell’informativa sul trattamento dei dati personali.
L’obiettivo perseguito dal GDPR è quello di garantire in modo effettivo (e non soltanto formale) il diritto dell’interessato ad essere pienamente informato sul modo in cui verranno utilizzati i suoi dati; in altre parole, l’informativa dovrà essere breve, priva di riferimenti normativi, trasparente e scritta con un linguaggio semplice e chiaro, pertanto comprensibile a tutti.
Le caratteristiche che dovranno essere soddisfatte dall’informativa successivamente all’entrata in vigore del GDPR:
– concisa – l’informativa deve essere il più possibile breve e concisa (ma non superficiale, ovviamente). Tutte le informazioni devono essere facilmente reperibili, possibilmente anche a “colpo d’occhio” (vedi requisito dell’intelligibilità);
– trasparente – l’informativa deve essere chiara e comprensibile all’uomo medio, cioè non deve contenere tecnicismi e riferimenti legali inutili e/o di difficle comprensione;
– intellegibile – compatibilmente con il requisito della concisione, quando le informazioni da dare sono parecchie, sarà necessario strutturarle in modo adeguato, anche utilizzando elementi grafici o icone che rendano immediatamente comprensibile al lettore in che modo saranno utilizzati i suoi dati;
facilmente accessibile – l’informativa non dovrà essere nascosta all’interno del sito, ma dovrà essere facilmente rinvenibile.
Ma quali informazioni dovrà contemplare l’informativa? Gli articoli 13 e 14 del nuovo Regolamento descrivono in modo chiaro i contenuti dell’informativa, la quale dovrà indicare obbligatoriamente: quali sono le finalità perseguite dal trattamento; quali dati vengono trattati (se si tratta di dati sensibili – come le preferenze religiose o l’orientamento sessuale – avrai probabilmente bisogno di nominare un DPO e di farti assistere da un legale esperto sulla tematica); chi è il titolare del trattamento; quali soggetti possono accedere ai dati (elenco dipendenti ed eventuali partner); dove ed in che modo verranno conservati i dati; per quanto tempo verranno conservati i dati; quali misure sono state adottate e implementate per la protezione dei dati; quali sono i diritti dell’interessato (in particolare deve essere menzionato il diritto di presentare un reclamo all’autorità di controllo).
Inoltre: se presente, dovranno essere inseriti i dati del DPO (Responsabile della protezione dei dati o Data protection Officer); se presente, dovrà essere indicata la base giuridica del trattamento o l’interesse legittimo del titolare se questo costituisce la base giuridica del trattamento; se i dati personali vengono trasferiti in Paesi terzi, ciò deve essere esplicitamente indicato e devono essere precisati anche gli strumenti che verranno adottati per effettuare tale trasferimento; se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
GDPR e Cookie Law: punti di contatto e differenze
Con l’avvento del GDPR sono attese novità importanti anche in merito alla famigerata Cookie Law, cui abbiamo già imparato a sottostare dal 2015; con il nuovo Regolamento UE, anche la disciplina sull’uso dei Cookie cambierà radicalmente.
Forse gli utenti non se ne accorgeranno nemmeno, ma i gestori di siti web sicuramente sì perché gli oneri previsti potrebbero essere tutt’altro che di semplice implementazione.
Sintetizzando, la situazione attuale è questa: il gestore di un sito web mostra un’informativa breve (all’interno di un banner) in cui informa l’utente circa l’utilizzo di cookie sul sito web, l’utente, in pratica, può solo accettare oppure andarsene.
Con l’avvento del GDPR questa prassi non sarà più legittima: in altre parole, il gestore di un sito web dovrà consentire agli utenti di effettuare una vera e propria scelta su quali cookie autorizzare e quali no e non potrà proibire l’accesso alle informazioni del sito per il solo fatto che l’utente rifiuti l’installazione di un cookie.
Non solo, a partire dal 25 Maggio 2018, secondo l’opinione prevalente, non sarà più possibile presumere il consenso da azioni esplicite come lo scrolling o la prosecuzione della navigazione ma il consenso dovrà essere esplicito e inequivocabile.
Il GDPR, inoltre, afferma chiaramente che l’interessato deve essere sempre in grado di revocare il consenso con la stessa facilità con cui lo ha prestato, questo significa che l’utente dovrà essere in grado di revocare il consenso a tutti o a specifici cookie nello stesso modo e con la stessa semplicità di quando ha dato il consenso alla loro installazione; ad esempio, se l’utente ha acconsentito facendo clic su alcune caselle, deve essere in grado di revocare il consenso nello stesso modo.
Quando entra in vigore il GDPR ?
Il GDPR diventerà operativo a partire dal 25 maggio 2018.
La norma in questione, essendo contenuta in un Regolamento UE, sarà direttamente operativa negli stati membri senza necessità di recepimento da parte dei parlamenti nazionali, si tratta, pertanto, di un atto giuridico direttamente vincolante non solo per gli Stati ma anche per i singoli individui e le altre persone giuridiche (enti, società, ecc.) che, a partire dal 25 Maggio, dovranno adeguarsi obbligatoriamente alla nuova normativa.
GDPR: cosa succede se non mi adeguo ?
Adeguarsi al GDPR non è una facoltà ma un obbligo.
Il GDPR è una norma imperativa di natura comunitaria, assolutamente efficace e vincolante nei confronti di tutti i soggetti residenti in uno degli stati membri della UE.
Il mancato adeguamento ai dettami del GDPR può comportare sanzioni molto pesanti, con multe fino a 20 milioni di Euro o fino al 4% del fatturato dell’anno precedente (se da tale percentuale scaturisce una somma maggiore a 20 milioni).
L’autorità chiamata a garantire (e valutare) il rispetto del GDPR in Italia è il Garante della Privacy.
Link utili:
- Testo completo del Regolamento Generale sulla Protezione dei dati (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016)
- Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali
- Software (gratuito e liberamente scaricabile dal sito www.cnil.fr) che offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA
- Sito Commissione Europea – Normativa Protezione dei Dati
(Fonte Mastertek)