Quando vengono forniti dati personali a terzi (aziende o Pubblica Amministrazione) è cruciale garantire per tali dati la sicurezza, l’utilizzo mirato e il consenso alla divulgazione.
Ciò avviene unicamente grazie a regolamenti efficaci. Per questo l’Europa ha adottato in tutti i Paesi dell’Unione un unico Regolamento generale sulla protezione dei dati, denominato GDPR.
La digitalizzazione permette la raccolta e diffusione di dati a velocità e volumi senza precedenti, spesso da parte di entità non facilmente identificabili.
Per contrastare questo rischio, l'Unione Europea ha introdotto il GDPR (Regolamento Generale sulla Protezione dei Dati) nel 2016. Il GDPR mira a tutelare i dati forniti da individui a società private (anche extra-europee) e alla Pubblica Amministrazione, garantendo una protezione efficace nell'ambito digitale.
Nonostante il GDPR affondi le sue radici nei contenuti del succitato articolo ‘The Right of Privacy’, occorre però fare una distinzione tra privacy e protezione dei dati personali.
Quando si parla di diritto alla privacy si intende infatti il diritto alla riservatezza che tutela ciò che riguarda la nostra sfera personale e che è a questa limitato. Tale principio è contenuto nella Dichiarazione universale dei diritti umani, proclamata il 10 dicembre 1948 dall'Assemblea Generale delle Nazioni Unite.
Quando si parla invece di protezione dei dati personali ci si riferisce a quanto viene richiamato nell’articolo 8 della Carta europea dei diritti fondamentali (la cosiddetta Carta di Nizza).
Il GDPR indica una serie di basi giuridiche per la liceità del trattamento dei dati. Queste condizioni sono elencate nell’articolo 6 del regolamento e sono:
- quando è stato espresso in modo libero e inequivocabile il consenso al trattamento dei dati, il quale è stato domandato in modo chiaro, ed è stato specificato altrettanto chiaramente quali sono le finalità del trattamento (per es. in un form per l’iscrizione a una newsletter su un sito web);
- quando il trattamento del dato è necessario all’esecuzione di un contratto di cui l’interessato è parte (per es. in un contratto per l’apertura di un conto corrente);
- quando il trattamento del dato è necessario per adempiere a un obbligo di legge al quale è soggetto il titolare del trattamento (per es. per l’emissione di una fattura);
- quando il trattamento del dato è necessario per salvaguardare interessi vitali dell’interessato o di un'altra persona fisica (per es. nel caso di controllo di epidemie);
- quando il trattamento del dato è necessario per un interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (per es. per permettere l’esercizio del diritto di voto);
- quando il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (per es. nel caso di utilizzo della geolocalizzazione in ambito lavorativo).
Perché ci sia il trattamento di un dato deve esserci chi fornisce questo dato, chi decide come e perché debba essere trattato, nonché chi è responsabile del trattamento, chi lo raccoglie ed eventualmente chi lo protegge. Queste parti, sono denominate nel GDPR come segue:
- l’interessato, cioè la persona fisica che fornisce i dati a un soggetto terzo;
- il titolare del trattamento dei dati, cioè l’entità fisica o giuridica che stabilisce le finalità e le modalità del trattamento dei dati personali (per esempio l’Istituto di credito che offre un servizio bancario);
- Il responsabile del trattamento dei dati, cioè l’entità fisica o giuridica che tratta i dati personali per conto del titolare del trattamento, senza altre finalità (per esempio un’agenzia che invia pubblicità ai clienti di un’azienda. E’ possibile naturalmente che il titolare del trattamento coincida con il responsabile del trattamento);
- Il contitolare del trattamento dei dati, che può esistere qualora i soggetti che stabiliscono modalità e finalità del trattamento dei dati siano più di uno (per esempio due aziende che condividono uno stesso spazio di lavoro dove ci si una sorveglianza video);
- l’incaricato del trattamento dei dati, cioè colui che raccoglie i dati per conto del titolare e del responsabile del trattamento (per esempio il responsabile risorse umane di un’azienda);
- Il responsabile della protezione dei dati, cioè colui che assiste il titolare del trattamento o il responsabile del trattamento in tutte le questioni relative alla protezione dei dati personali (per esempio un consulente specializzato in materia. Non è però una figura obbligatoria, ma necessaria in casi particolarmente delicati).
Secondo i principi del regolamento GDPR, prima o al massimo al momento della raccolta dei dati le persone fisiche che li forniscono, devono essere informate chiaramente almeno di ciò che segue:
- nome e dati di contatto dell’azienda/organizzazione titolare della raccolta dei dati ed eventualmente quelli del responsabile della protezione dei dati;
- finalità dell’utilizzo dei dati personali;
- categorie di dati personali interessate;
- giustificazione giuridica per il trattamento dei dati;
- per quanto tempo saranno conservati i dati;
- chi altro potrebbe ricevere i dati;
- se i dati saranno trasferiti a un destinatario al di fuori dell’UE;
- del diritto a ottenere una copia dei dati (diritto di accesso e rettifica ai dati personali, diritto all’oblio), e altri diritti fondamentali nel campo della protezione dei dati;
- del diritto di presentare un reclamo presso le autorità competenti per la protezione dei dati personali;
- del diritto di revocare il consenso in qualsiasi momento;
- se applicabile, dell’esistenza di un processo decisionale automatizzato e la logica implicita, comprese le relative conseguenze.
Questi dati possono essere forniti sia per iscritto, che verbalmente o per via elettronica. Com’è evidente però, comunicare solo verbalmente queste informazioni, espone a gravi rischi in caso di problemi e verifiche.
Rispetto alle normative precedenti in materia come il codice della privacy italiano DL 196/2003, il GDPR introduce il principio di responsabilizzazione (accountability in inglese).
Sulla base di questo principio è il titolare del trattamento dei dati che deve mettere in atto le misure adeguate per dimostrare di essere conforme (compliance), al regolamento GDPR.
Questo significa innanzi tutto che il titolare del trattamento deve progettare a monte il sistema nel modo più corretto possibile e adatto alla sua casistica, allo scopo di garantire i diritti delle persone, la sicurezza dei loro dati, valutare l’impatto della perdita dei dati e che deve poter dimostrare la bontà e congruità delle sue scelte ed azioni.
Il principio di responsabilizzazione introdotto dal GDPR spinge le imprese all’adozione di un sistema basato soprattutto sulle procedure, associato a documentazione formale.
La predisposizione del sistema unito al monitoraggio periodico che ne deriva attraverso opportuni audit e aggiornamenti della valutazione dei rischi, si traducono in una strategica opportunità per le aziende.
L’analisi dei processi e delle attività volta a verificare e migliorare il trattamento dei dati, innesca infatti un meccanismo virtuoso che impatta positivamente su tutti i più importanti processi d’impresa e può rappresentare una spinta fondamentale per la riorganizzazione e per affrontare la sfida della trasformazione digitale.
Il regolamento europeo sulla protezione dei dati (GDPR) prevede la formazione obbligatoria per tutti i dipendenti. Il mancato rispetto degli obblighi formativi può comportare sanzioni e in alcuni casi la sospensione dell'attività aziendale.
Tale formazione avrà un livello di approfondimento diverso in base al trattamento dei dati personali da parte delle risorse.
Potrete trovare il nostro corso totalmente online "Protezione dei Dati (GDPR 2016/679) – Cybersecurity nelle comunicazioni"
Per corsi più avanzati potrete contattarci al seguente form di contatti oppure chiamarci al numero 011502099