Circolare QF-003/2018 – GDPR: NUOVI ADEMPIMENTI PER LA TUTELA DELLA PRIVACY
Il Regolamento UE 2016/679 ha introdotto nuovi adempimenti nella disciplina del trattamento dei dati personali finalizzati alla tutela delle persone fisiche. La normativa entrerà in vigore nel nostro Paese il 25 Maggio 2018 ed avrà immediata efficacia.
Di seguito elenchiamo i punti più importanti della nuova disciplina al fine di poter al meglio adeguarsi alla stessa.
QUALI DATI SONO OGGETTO DI TUTELA?
Per prima cosa è opportuno individuare qual è l’ambito di applicazione della nuova normativa e a quali dati si riferisce. Il Regolamento in questione all’art. 4 definisce come dato personale qualsiasi informazione inerente ad una persona fisica e non giuridica, identificata o identificabile e cioè legata o meno ad un identificativo quale il nome o ad altri elementi idonei al riconoscimento. Nello stesso articolo viene specificata la definizione di trattamento facendo rientrare nella stessa espressione qualsiasi operazione compiuta attraverso o senza l’utilizzo di processi automatizzati e collegati a dei dati personali o ad un gruppo di essi. Rientrano in questa definizione una serie di attività quali la raccolta, la registrazione, la modifica o la cancellazione dei dati. Viene infine specificato che ogni trattamento deve trovare un fondamento in una base giuridica.
I dati personali trattati da un professionista o da una azienda sono quelli inerenti ai suoi clienti e dipendenti e in particolare riguardano i dati anagrafici degli stessi, nonché gli eventuali dati sensibili venuti a conoscenza nello svolgimento della propria attività professionale o aziendale. Vengono inoltre aggiunti i fornitori che pongono in essere una manutenzione del sistema informativo e che potrebbero venire a conoscere alcuni dei dati sopra indicati.
CHI SONO GLI INTERESSATI TITOLARI DEI DATI?
La disciplina si applica alle persone fisiche a prescindere dalla loro nazionalità e residenza, in relazione al trattamento dei dati personali. Vengono escluse, quali destinatari, le persone giuridiche.
Il GDPR non viene applicato per il trattamento dei dati personali effettuato per l’esercizio di una attività personale o domestica, per un’attività non rientrante nell’ambito del diritto dell’Unione Europea, nonché per le attività effettuate dalle competenti autorità in ambito investigativo, probatorio e di accertamento al fine di prevenire o accertare il compimento di reati ed eventuali minacce alla pubblica sicurezza.
QUANDO L’UTILIZZAZIONE DEI DATI VIENE DEFINITA LECITA?
Al fine di definire l’attività di trattamento dei dati come lecita occorre che sia presente una delle condizioni di seguito riportate:
- Il soggetto interessato abbia dato il suo espresso consenso al trattamento dei propri dati personali per una o più determinate finalità;
- Il trattamento si è reso necessario al fine dell’esecuzione di un contratto di cui è parte il soggetto interessato (la disciplina si estende anche nella fase precontrattuale);
- Il trattamento si è reso necessario per salvaguardare degli interessi vitali dell’interessato o di un’altra persona fisica;
- Il trattamento si è reso necessario per un interesse di carattere pubblico o collegato a dei pubblici poteri di cui è coinvolto il titolare dei dati;
- Il trattamento si è reso necessario al perseguimento di un interesse legittimo dell’interessato o di altro soggetto coinvolto, a condizione che non prevalgano i diritti o gli interessi e le libertà fondamentali dello stesso i quali necessitano di una particolare protezione dei dati personali.
Occorre specificare qual è l’interesse legittimo del professionista al fine del trattamento dei dati personali raccolti nello svolgimento della propria attività. A riguardo va specificato che questo rappresenta una condizione per il trattamento dei dati solo se prevale rispetto a diritti, interessi e libertà del titolare. Si può quindi affermare che rientrano tra le condizioni di liceità del trattamento l’utilizzo dei dati inerenti a dipendenti, clienti, attività collegate ad un marketing diretto e di prevenzione alle frodi.
I PRINCIPI GENERALI DEL TRATTAMENTO: QUALI SONO?
La normativa prevede un elenco di principi generali da applicare al trattamento dei dati personali, in particolare:
- Il trattamento deve avvenire in modo lecito, corretto e trasparente e i dati devono essere raccolti per determinate finalità esplicite e legittime;
- Il trattamento deve essere adeguato, pertinente e limitato agli scopi prefissati;
- I dati devono essere esatti e aggiornati ove ve ne sia una necessità;
- La conservazione dei dati deve essere predisposta in un arco di tempo non superiore al conseguimento delle finalità oggetto del trattamento;
- Il trattamento deve garantire una adeguata sicurezza dei dati personali. A riguardo si sottolinea la necessità di predisporre un’adeguata organizzazione e utilizzo di mezzi idonei al fine di mantenere un’integrità e riservatezza degli stessi.
L’INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI: DI COSA SI TRATTA?
Al momento della raccolta dei dati personali del soggetto interessato, il professionista o l’azienda titolare del trattamento deve predisporre un’informativa avente ad oggetto le seguenti informazioni:
- L’identità del titolare del trattamento e un suo recapito al fine di un successivo contatto;
- Le finalità e la base giuridica del trattamento;
- I legittimi interessi perseguiti dal titolare del trattamento, ove presenti;
- I destinatari dei dati personali;
- Nei casi possibili, l’indicazione dell’intenzione del titolare del trasferimento dei dati ad un paese estero.
Le stesse informazioni devo essere predisposte anche nel caso di raccolta dei dati non presso il diretto interessato.
Il titolare al trattamento dei dati personali deve essere in grado di dimostrare che il soggetto interessato abbia posto in essere il suo consenso all’utilizzo dei suoi dati.
COME DEVE AVVENIRE IL CONSENSO DELL’INTERESSATO?
Per consenso si definisce qualsiasi forma di volontà del soggetto interessato con la quale manifesta in modo inequivocabile l’assenso all’utilizzo dei propri dati personali.
Se ciò avviene per mezzo di una dichiarazione scritta, questa deve essere presentata in modo chiaro, comprensibile e facilmente accessibile all’interessato, nonché distinguibile da altre materie e nel rispetto delle disposizioni inserite nella disciplina del GDPR.
Gli interessati hanno il diritto di avere un accesso ai propri dati, ottenere informazioni sulla loro cancellazione, sulla loro modifica dei dati non corretti, essere informati sulla portabilità dei dati ed evitare l’utilizzo degli stessi allo scopo di un’attività di marketing diretto.
QUALI DIRITTI HA L’INTERESSATO?
Le aziende e i professionisti hanno l’obbligo di porre in essere delle misure idonee al fine di far fronte ai diritti dei soggetti interessati. Nello specifico questi hanno il diritto:
- ad avere accesso ai propri dati;
- ottenere informazioni inerenti alla loro cancellazione;
- ottenere la loro correzione in caso di errore;
- richiedere di evitare un’attività di marketing diretto;
- avere conoscenza di della portabilità dei dati.
L’ACCOUNTABILITY: COSA VUOL DIRE?
È principio che caratterizza la normativa in esame e si collega alla responsabilità del titolare del trattamento dei dati. Quest’ultimo ha l’onere di porre in essere una documentazione che certifichi di aver adottato tutte le misure finalizzate ad un sicuro trattamento dei dati, nonché di aver rispettato tutte le prescrizioni contenute nella normativa europea. Vi è dunque la necessità di predisporre di un iter documentato che faccia riferimento all’attività di GDPR.
QUALI SONO GLI ADEMPIMENTI IN CAPO AL PROFESSIONISTA E ALL’AZIENDA TITOLARE?
L’azienda e il professionista titolare del trattamento dei dati personali ha l’obbligo di:
- conservare i dati in suo possesso;
- attuare tutte le misure idonee al fine di predisporre una sicurezza dei dati, in particolare:
- predisporre dei pseudonimi e cifrature dei dati oggetto di tutela;
- assicurare continua integrità, riservatezza e disponibilità dei sistemi che trattano i dati;
- ripristinare in modo tempestivo la disponibilità e le modalità di accesso dei dati nei casi di incidenti tecnici;
- predisporre delle procedure finalizzate a valutare, verificare e provare l’efficacia delle misure organizzative e tecniche allo scopo di garantire la massima riservatezza;
- effettuare valutazioni sull’impatto sulla tutela della privacy;
- designare un soggetto responsabile per la tutela dei dati nei casi di società o associazioni di professionisti;
- valutare l’impatto sui trattamenti dei dati nei casi di alto rischio per i diritti e le libertà degli interessati;
- predisporre misure tecniche e organizzative finalizzate a garantire un livello di sicurezza adeguato al rischio.