1. La differenza tra dati personali e sensibili

I dati personali sono le informazioni relative all'utente: un indirizzo e-mail, una foto profilo, il codice fiscale o un contatto telefonico, l'indirizzo IP di connessione, la targa automobilistica, ecc.
Nota bene: non sono considerati dati personali i dati riferibili alle persone giuridiche, ovvero le imprese, enti e associazioni.

2. Cosa cambia

La nuova normativa entrerà in vigore il prossimo 25 maggio 2018.
Le principali novità possono essere riassunte in questi punti:

    1. obbligo di segnalazione in caso di data breach al Garante della Privacy;
    2. aggiunta di data scadenza dei dati nelle informative e diritto allʼoblio;
    3. maggior chiarezza nell’informativa su natura, utilizzo e trattamento dei dati;

3. Nuovi ruoli e figure

La nuova normativa impone di definire tutti i soggetti che entrano in contatto con i dati personali ed introduce delle nuove figure.

Resta il titolare del trattamento ovvero il soggetto (sia persona fisica che giuridica) che decide in totale autonomia le finalità e le modalità del trattamento come la raccolta, la registrazione, la comunicazione o la diffusione.

La prima novità è il ruolo di responsabile del trattamento, che non necessariamente è presente, ma se viene nominato lo si fa con un atto scritto dal titolare del trattamento. Il suo principale compito è di vigilare sull'osservanza delle regole decise nell’azienda in materia di dati personali.

C’è poi il DPO (meglio noto come Data Protection Officer) che ha la responsabilità di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda.
La sua nomina è obbligatoria nel caso di:
a) autorità o enti pubblici
b) attività che monitorano regolarmente e sistematicamente dati su larga scala
c) attività che acquisiscono dati sensibili

Si prevede inoltre che il datore di lavoro debba obbligatoriamente designare gli incaricati del trattamento ovvero soggetti interni all’azienda che entrano in contatto con dati personali e dovranno essere opportunamente formati ed aggiornati sulle procedure in vigore.

Esiste infine la possibilità di nominare un responsabile esterno del trattamento.
Questo avviene nel caso in cui un’impresa debba far svolgere parte delle attività ed il conseguente trattamento dei dati a soggetti esterni ad esempio quando si utilizzano servizi informatici in outsourcing o quando ci si avvale dei servizi offerti da un call center o da un altro tipo di fornitori.

4. Primi passi: to do list per la nuova normativa

In tutta questa confusione ti sarai chiesto che cosa sia necessario fare.
Ogni azienda, in base alla propria attività, alla natura dei dati dei quali viene in possesso ha obblighi differenti.
Esiste però una comune to-do-list che si compone di alcuni semplici passaggi:

  1. compilare un privacy program ovvero: un semplice questionario volto ad individuare la natura delle informazioni con le quali entri in contatto e le misure di sicurezza che applichi definendo quindi le procedure che intendi adottare ora ed in futuro;
  2. definire il titolare del trattamento, nominare un eventuale responsabile e il DPO (se necessario) o assegnare l’incarico formale al responsabile esterno del trattamento;
  3. aggiornare l’informativa sulla privacy presente sul tuo sito e in azienda;
  4. condividere la nuova informativa nella tua organizzazione aziendale, formando il personale affinché metta in atto già da subito quanto deciso;
  5. notificare la modifica dell’informativa a tutte le persone di cui detieni già i dati personali;
  6. prevede controlli periodici per verificare la conformità della raccolta, del trattamento, della protezione dei dati e della rimozione dei dati scaduti.

Tutte queste fasi dovranno essere verbalizzate e documentate perché costituiscono una prova di adeguamento alla normativa in caso di segnalazione al Garante.

5. Aggiornare l'informativa

Il punto centrale è che l’informativa deve essere chiara e completa.
Il Garante parla espressamente di tono colloquiale ovvero dovrai essere in grado di spiegare in modo semplice ed efficace:

a) scopi e modalità del trattamento;
b) l’eventuale obbligo a fornire i dati per usufruire di determinati servizi;
c) a chi potranno essere comunicati o diffusi i dati;
d) periodo di conservazione;
e) diritti dell'interessato compreso il diritto di modifica, revoca, cancellazione e reclamo;
f) modalità di trasferimento dei dati ad un Paese Terzo;
g) politica in materia di dati personali di minori;
h) identificazione e contatti del titolare, responsabile (se presente) e DPO (se presente);

6. Il consenso

Affinché il trattamento dei dati si consideri legittimo, deve essere richiesto un consenso "informato" all'interessato per l'utilizzo dei dati differenziando il consenso tra dati necessari e aggiuntivi.
Ad esempio l'utilizzo dei dati personali per finalità di marketing non può essere reso obbligatorio.

Ci sono però dei casi in cui il consenso non è richiesto ovvero:

a) quando il trattamento è previsto da un obbligo di legge, da un regolamento o dalla normativa comunitaria.
b) quando si tratta di dati necessari per l'esecuzione di un contratto già in essere, ad esempio dati per la fatturazione di un prodotto o servizio.
c) nel caso di dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque.

Le aziende sono inoltre sollevate dall'obbligo di consenso per attività promozionali e di marketing rivolte ai propri clienti come per esempio per comunicazioni promozionali che riguardino prodotti e servizi già acquistati o prodotti analoghi.

I dati sensibili necessitano di livello più alto di tutela.
Per poterli utilizzare, l'impresa deve quindi prima ottenere il consenso scritto della persona e l'autorizzazione del Garante.

Anche nel processo di selezione del personale esiste un'attività di trattamento di dati personali dei candidati. L'azienda che riceve i curriculum inviati spontaneamente non ha l'obbligo di offrire l'informativa o di chiedere il consenso. Solo nel momento in cui l'azienda prenderà in considerazione il curriculum e deciderà di contattare il candidato, dovrà fornire (anche a voce) un’informativa breve.
Se invece è l'azienda ad avviare una selezione, è necessario che prima di acquisire il cv sia disponibile l'informativa sul trattamento dei dati e sia espressamente accettata nel caso che il curriculum contenga dati sensibili (ad esempio l'appartenenza ad una categoria protetta) o la candidatura sia condivisa con terzi.

7. Tutela dei dati

L'azienda dovrà mettere in atto quante più misure possibili di sicurezza per ridurre al minimo i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta anche accidentale.

Se i dati sono conservati in formato cartaceo potrebbe essere sufficiente prevedere una chiusura con serratura all'armadio o alla stanza.
Se invece sono in formato digitale le misure devono essere adeguate al rischio.

Le misure minime di sicurezza previste sono:

a) verificare l'identità di chi accede al sistema (ad esempio con username e password);
b) adottare strumenti che impediscano accessi illeciti o abusivi (come per esempio antivirus, firewall);
c) predisporre copie di backup per ripristinare eventuali dati sottratti o corrotti nel più breve tempo possibile;
d) prevedere che i dati sensibili vengano criptati;
e) formare il personale addetto al trattamento dei dati;

Ti consigliamo di prevedere sistemi di log e tracciabilità degli accessi per individuare eventuali autori di tali violazioni.

8. Trasferimento dei dati all'estero

La normativa comunitaria prevede che i dati personali possono circolare liberamente entro l'Unione europea.
Per trasferire dati al di fuori dell'Unione europea devono invece essere garantiti standard di protezione adeguati a quelli europei.
Sul sito del Garante sarà disponibile l'elenco di Paesi terzi giudicati affidabili con i quali non sarà necessaria alcuna misura in caso di esportazione dei dati.

9. Diritti dell'interessato e durata

La normativa introduce gli specifici diritti per ogni utente di cui si detengono i dati personali. Ciascuno potrà richiedere di conoscere quali siano i dati in possesso dell'impresa, per quale motivo siano stati raccolti e come siano elaborati.

Inoltre la nuova normativa introduce per la prima volta il concetto di scadenza o diritto all’oblio.
L’idea di base è che un dato personale debba essere conservato solo per un tempo considerato ragionevole.
Significa quindi che, nel momento in cui le informazioni personali non saranno più necessarie per lo scopo per il quale sono state raccolte, dovranno essere rimosse o rese anonime.

10. Distruzione, perdita, violazione

La nuova normativa stabilisce l'obbligo di avviso al Garante per qualsiasi violazione (meglio nota come data breach) e, nei casi più gravi, comprende anche una comunicazione agli interessati del problema riscontrato, per consentire loro di adottare misure che limitino i possibili pregiudizi alla persona (ad esempio, furto di identità o il danno alla reputazione).

L’azienda potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato oppure se dimostrerà di avere già adottato misure di sicurezza; oppure nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con una comunicazione pubblica.

Possono essere comminate dal Garante le seguenti sanzioni:

* un'ammonizione scritta in casi di una prima mancata osservanza non intenzionale.
* accertamenti regolari e periodici sulla protezione dei dati
* una multa fino a 10 milioni di euro, o fino al 2% del volume d'affari globale registrato nell'anno precedente nei casi previsti dall'Articolo 83, Paragrafo 4 o fino a 20 milioni di euro o fino al 4% del volume d'affari nei casi previsti dai Paragrafi 5 e 6.

Le multe sono divise in due scaglioni: fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore); oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari.

La multa più “leggera” (10 milioni o 2% turnover) viene inflitta per la trasgressione di principi come la privacy by design (mancata protezione dei dati fin dalla progettazione) o la carenza di misure adatte a garantire un buon standard di sicurezza. 
Quella più pesante (20 milioni o 4% del turnover) arriva in caso di violazione dei principi fondamentali, come la negazione del diritto all’oblio o l’opacità nella richiesta di consenso dei dati.

Vuoi maggiori informazioni su questo tema o vuoi scroprire come proteggiamo i tuoi dati?