Documentazione

Guida GDPR

GDPR sta per General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati), ovvero il Regolamento Europeo 2016/679. In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.

L’obiettivo del GDPR è dunque quello di rafforzare la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, dando loro il pieno controllo dei propri dati.

Cosa si intende esattamente per “dati personali”?

I dati personali nel contesto del GDPR si riferiscono a tutti i dati relativi a una persona vivente identificata o identificabile. Sono incluse anche informazioni che, se raccolte insieme, possono portarne all’identificazione. Ciò vale anche per i dati crittografati o presentati con l’uso di pseudonimi, finché la crittografia/anonimizzazione è reversibile. Nel rispetto degli obblighi del regolamento sulla protezione dei dati, ciò significa che le chiavi di decifrazione dovranno essere mantenute separate dai dati pseudonimizzati.

Esempi di dati personali includono (ma non si limitano a) dati identificativi come nomi, dati genetici, biometrici o inerenti la salute, dati web come indirizzi IP, indirizzi e-mail personali, opinioni politiche e orientamento sessuale.

Esempi di dati non personali includono i numeri di registrazione della società, indirizzi di posta elettronica generici come info@azienda.com e dati resi anonimi.

Definizioni particolari usate nel testo che segue
  • Con il termine “utente” si intende una persona i cui dati personali sono trattati da un titolare del trattamento o da un responsabile del trattamento.
  • Con il termine “titolare del trattamento” si intende una qualsiasi persona fisica o giuridica coinvolta nella determinazione delle finalità e delle modalità del trattamento dei dati personali degli utenti.
  • Con il termine “responsabile del trattamento” si intende una qualsiasi persona fisica o giuridica coinvolta nel trattamento dei dati personali degli utenti per conto del titolare del trattamento.

Ad esempio, una società può raccogliere informazioni sugli utenti tramite il proprio sito web e memorizzarle utilizzando un servizio in cloud di terza parte. In questo scenario, la società è il titolare del trattamento dei dati, mentre l’organizzazione che eroga il servizio in cloud è il responsabile del trattamento dei dati.

Quando si applica

Il GDPR si applica quando:

  • la base operativa dell’organizzazione si trova nell’Unione Europea (ciò vale indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o meno);
  • l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei. Può trattarsi di enti pubblici, società private o pubbliche, persone fisiche od organizzazioni senza scopo di lucro;
  • l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE.

Un ambito di applicazione così ampio copre in pratica quasi tutte le attività, e pertanto si può concludere che il GDPR si applica indipendentemente dal fatto che la tua organizzazione si trovi o meno nell’Unione Europea. Di fatto, questo sondaggio PwC ha evidenziato che il GDPR è una priorità assoluta in materia di protezione dei dati anche per il 92% di tutte le aziende statunitensi intervistate.

Quando non si applica

Le condizioni di applicabilità del GDPR sono esposte da un punto di vista materiale e territoriale negli articoli 2 e 3. Per determinare se un’attività di trattamento dati è esente dalla sua applicabilità, dobbiamo considerare entrambi gli ambiti.

Ambito materiale

Il GDPR si applica al trattamento dei dati personali. Non si applica pertanto ai dati aziendali, come il nome e l’indirizzo della società. Fai attenzione, tuttavia, perché normalmente sono le persone fisiche che lavorano in un’azienda: qualsiasi dato che si riferisce a loro è quindi considerato “personale”, indipendentemente dal fatto che venga trattato in un contesto Business to Customer (B2C) o Business to Business (B2B).

I dati personali non rientrano nell’ambito di applicazione del GDPR ogniqualvolta:

  • sono trattati dagli Stati Membri nel contesto della politica estera e di sicurezza comune dell’UE;
  • sono trattati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla pubblica sicurezza;
  • sono trattati da istituzioni, organi, uffici e agenzie dell’UE;
  • sono trattati da una persona fisica nel corso di un’attività puramente personale o domestica.

In pratica, l’unica eccezione rilevante è quest’ultima: ad esempio, se raccogli i dati personali dei tuoi amici per la tua rubrica telefonica non sei legato al GDPR.

Ambito territoriale

In aggiunta a quanto sopra, abbiamo già menzionato in quali condizioni il GDPR si applica da un punto di vista territoriale.

Affinché un’attività di trattamento non sia soggetta al GDPR, devono verificarsi tutte e 3 queste condizioni:

  • il titolare (o il responsabile) del trattamento non ha sede nell’UE. Tieni sempre presente che il titolare/responsabile del trattamento potrebbe anche essere una filiale UE di una società al di fuori dell’UE: in tal caso si applicherebbe pienamente il GDPR, anche se la filiale non avesse personalità giuridica;
  • il trattamento non riguarda l’offerta di beni o servizi (anche in forma gratuita) a interessati nell’Unione o il monitoraggio del loro comportamento nella misura in cui avviene all’interno dell’Unione;
  • il responsabile del trattamento non si trova in un luogo al di fuori dell’UE dove si applicano le leggi dell’UE a causa del diritto pubblico internazionale.

Diamo un’occhiata ad alcuni esempi pratici:

  1. La società “A” con sede negli Stati Uniti vende beni ai consumatori con sede nell’UE (quindi soggetta al GDPR) e assume la società “B” con sede negli Stati Uniti per scopi di analisi del mercato e statistiche. La società B è soggetta al GDPR, sebbene non abbia sede nell’UE né venda beni o servizi a clienti dell’UE? Probabilmente sì, se l’attività di analisi e statistiche di mercato richiede un “monitoraggio del comportamento” dei clienti con sede nell’UE.

  2. I dipendenti del consolato italiano di New York devono conformarsi al GDPR? Sì, perché il GDPR è applicabile a loro in virtù del “diritto pubblico internazionale”.

  3. Un’azienda con sede in Cina che vende beni su un sito in cinese deve conformarsi al GDPR solo perché è possibile che un cinese residente nell’UE acquisti qualcosa da esso? In linea di principio diremmo di no, a meno che non sia possibile dimostrare che l’azienda sta facendo affari con clienti residenti nell’UE, o che si rivolge espressamente a loro (ad esempio informandoli che sono previsti pagamenti da un conto bancario UE o spedizioni nell’UE).

Principali requisiti legali

Basi giuridiche del trattamento

Ai sensi del GDPR, i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento.

Segue un elenco delle possibili basi giuridiche del trattamento:

  • L’utente ha prestato il proprio consenso per una o più specifiche finalità;
  • Il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;
  • Il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;
  • Il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
  • Il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;
  • Il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.

Consenso

Al fine di effettuare un’attività di trattamento dei dati, l’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti.

Nel caso di utenti minori, l’organizzazione è tenuta ad ottenere un consenso verificabile da parte di un genitore o tutore del minore, a meno che il servizio offerto non sia di prevenzione o consulenza. L’organizzazione deve altresì compiere sforzi ragionevoli (utilizzando ogni tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.

In generale, al fine di ottenere il consenso al trattamento dei dati, l’organizzazione non può utilizzare termini eccessivamente complicati o indecifrabili. Ciò include il linguaggio giuridico, nonché l’uso di un gergo tecnico superfluo.

Per queste ragioni, le privacy policy devono essere redatte in modo leggibile (leggi ad esempio la nostra privacy policy), utilizzando un linguaggio e delle clausole comprensibili, in modo che gli utenti siano pienamente consapevoli di ciò a cui acconsentono e delle conseguenze del loro consenso.

Le organizzazioni devono essere trasparenti in merito alle finalità della raccolta dei dati e il consenso deve essere “esplicito e libero”. Ciò significa che la modalità di acquisizione del consenso deve essere inequivocabile e prevedere una chiara azione di “opt-in” (il regolamento vieta espressamente il ricorso a checkbox preselezionate o ad altre metodologie alternative di “opt-out”). Il regolamento sancisce inoltre un diritto specifico alla revoca del consenso, che deve essere tanto facile quanto lo è il suo conferimento.

Il regolamento vieta espressamente il ricorso a checkbox preselezionate

Poiché il consenso ai sensi del GDPR è una questione di primaria importanza, è obbligatorio registrare in modo puntuale i consensi ottenuti affinché l’organizzazione sia in grado di dimostrare che l’utente abbia effettivamente prestato il consenso. L’onere della prova del consenso ricade infatti sul titolare del trattamento, per cui è essenziale conservare queste informazioni in modo estremamente accurato. Le prove del consenso devono includere, in particolare, le seguenti informazioni:

  • quando e come il consenso del singolo utente è stato acquisito;
  • un riferimento esatto a ciò che è stato detto all’utente in fase di raccolta del consenso, insieme ad un riferimento alle condizioni in essere nel momento in cui il consenso stesso è stato acquisito.

Seguono degli esempi di archiviazione conforme o non conforme dei consensi.

Archiviazione non conforme Archiviazione conforme
Tenere semplicemente un foglio con i nomi degli utenti e un’indicazione sul conferimento o meno del consenso Conservare una copia del modulo compilato dall’utente, che mostra l’azione intrapresa dallo stesso per prestare il consenso a specifici trattamenti
Annotare semplicemente la data e l’ora in cui il consenso è stato prestato, associate all’indirizzo IP dell’utente e ad un link alle pagine che ospitano il modulo compilato dall’utente e la privacy policy Conservare delle informazioni complete che includano un identificativo univoco dell’utente insieme con la data – certificata con marca temporale – in cui il modulo è stato compilato e ad una copia della versione del modulo stesso e dei documenti legali utilizzati nel momento in cui l’utente ha prestato il consenso

Avvertenza sul consenso: il consenso non è la sola base giuridica per effetto della quale un’organizzazione può trattare i dati degli utenti, ma è solo una delle “basi giuridiche” del trattamento. Ai sensi del GDPR, le organizzazioni possono dunque avvalersi anche di altre basi giuridiche del trattamento. Ciò premesso, è bene chiarire che per alcune attività di trattamento dei dati il consenso resta comunque la soluzione migliore, se non l’unica strada percorribile.

Sempre in materia di consenso, un’altra normativa europea che merita di essere menzionata è la Direttiva ePrivacy (nota anche come Cookie Law). Si tratta infatti di una legge ancora applicabile in quanto non abrogata dal GDPR. In futuro, la Direttiva ePrivacy sarà sostituita dal Regolamento ePrivacy che, in quanto tale, lavorerà a fianco del GDPR. Il nuovo Regolamento ePrivacy dovrebbe comunque mantenere invariate le disposizioni della precedente direttiva.

In estrema sintesi, la Cookie Law richiede il consenso informato degli utenti prima di installare cookie sui loro dispositivi e di iniziare il tracciamento. Per ulteriori informazioni, consulta la guida introduttiva sulla Cookie Law.

La Cookie Law richiede il consenso informato degli utenti prima di installare cookie sui loro dispositivi e di iniziare il tracciamento.

I diritti degli utenti

Il diritto ad essere informati

Le organizzazioni devono fornire agli utenti informazioni sulle attività di trattamento dei dati che svolgono. Tali informazioni possono essere fornite per iscritto, anche per via elettronica, tramite una privacy policy. Le informazioni devono essere concise, trasparenti, comprensibili, facilmente accessibili, scritte in un linguaggio chiaro e semplice (soprattutto se rivolte a un minore) e gratuite.

Se i dati vengono raccolti dall’utente reale a cui si riferiscono, allora devono essere forniti con le informazioni sulla privacy al momento in cui i dati vengono ottenuti. Tuttavia, se i dati personali sono ottenuti da una fonte diversa dal singolo utente, quest’ultimo deve ricevere informazioni sulla privacy entro un “ragionevole periodo” dai dati ottenuti. Questo periodo può essere non più tardi di un mese in generale, o al più tardi quando si verifica la prima comunicazione (se si utilizzano i dati per comunicare con l’utente).

Il diritto di accesso

Gli utenti hanno il diritto di accedere ai propri dati personali e alle informazioni relative alle modalità di trattamento degli stessi. Su richiesta dell’utente, i titolari del trattamento devono fornire una panoramica delle categorie di dati trattati, una copia degli effettivi dati raccolti ed una descrizione delle modalità del trattamento. È necessario chiarire inoltre le finalità del trattamento, il modo in cui i dati sono stati acquisiti e i soggetti con cui i dati sono stati eventualmente condivisi.

Infine, l’organizzazione deve fornire gratuitamente all’utente che ne fa richiesta una copia dei suoi dati personali (qualora l’utente dovesse richiedere più copie, può essere applicato un corrispettivo di ragionevole entità). I dati richiesti devono essere forniti all’individuo senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta; il numero esatto di giorni in cui l’organizzazione deve onorare una richiesta dipende dal mese in cui è stata effettuata.

Il diritto di accesso è strettamente legato al diritto alla portabilità dei dati, sebbene questi due diritti non siano identici. È quindi importante che nell’informativa sulla privacy vi sia una chiara distinzione tra questi due diritti.

Il diritto di rettifica

Gli utenti hanno il diritto di richiedere la rettifica dei loro dati personali se sono imprecisi o incompleti. Questo diritto implica anche che la rettifica debba essere comunicata a tutti i soggetti terzi coinvolti nel trattamento dei dati in questione, a meno che ciò non sia impossibile o particolarmente difficile. Se richiesto dall’utente, l’organizzazione deve anche informare lo stesso sull’identità di tali soggetti terzi.

Le richieste possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste da parte dell’individuo. L’individuo deve essere informato entro un mese dal ricevimento della richiesta con una spiegazione dei motivi per cui l’estensione è necessaria. Le richieste devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento.

Nella maggior parte dei casi le organizzazioni devono soddisfare una richiesta di rettifica senza addebitare una commissione. Tuttavia, se una richiesta viene giudicata “manifestamente infondata o eccessiva”, si può applicare una “tariffa ragionevole” per soddisfarla o rifiutarsi di affrontarla. In entrambi gli scenari, la decisione dovrà essere legittimamente giustificata. Se una richiesta viene rifiutata, l’individuo deve essere informato (insieme alla giustificazione) senza inutili ritardi e entro un mese dal ricevimento della stessa.

Il diritto di opporsi

Ai sensi del GDPR, gli utenti hanno il diritto di opporsi a determinate attività di trattamento dei loro dati personali effettuate dal titolare del trattamento (anche noto come Controller). In sintesi, l’utente può opporsi al trattamento dei suoi dati ogniqualvolta esso si basi su un interesse legittimo o sull’esecuzione di un compito di interesse pubblico/esercizio di pubblici poteri o a fini di ricerca e statistica scientifica/storica. L’utente deve motivare la sua opposizione, a meno che il trattamento non sia effettuato a fini di marketing diretto. In quest’ultimo caso, infatti, non è necessaria alcuna motivazione per esercitare tale diritto

Se si riceve un’obiezione al trattamento dei dati personali e non ci sono motivi per rifiutare, l’attività di elaborazione deve cessare. Mentre l’attività di elaborazione (compresa la memorizzazione) deve essere interrotta per le particolari attività di elaborazione contestate, la cancellazione potrebbe non essere necessaria se i dati vengono elaborati per altri scopi (compreso l’adempimento di obblighi legali o contrattuali), in quanto i dati dovranno essere conservati per questi scopi.

Le richieste devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento. Le richieste possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste da parte dell’individuo. L’individuo deve essere informato entro un mese dal ricevimento della richiesta con una spiegazione dei motivi per cui la proroga è necessaria.

Qualora non sussistano motivi per rifiutare, nella maggior parte dei casi le organizzazioni devono soddisfare la richiesta senza addebitare una commissione. Tuttavia, se una richiesta viene giudicata “manifestamente infondata o eccessiva”, si può applicare una “tariffa ragionevole” per soddisfarla o rifiutarsi di affrontarla. In entrambi gli scenari, la decisione dovrà essere legittimamente giustificata. Se una richiesta viene rifiutata, l’individuo deve essere informato (insieme alla giustificazione) senza inutili ritardi e entro un mese dal ricevimento della stessa.

Il diritto alla portabilità dei dati

L’utente ha il diritto di ottenere (in un formato elettronico leggibile) i propri dati personali allo scopo di trasferirli ad altro titolare, senza che l’attuale titolare crei alcun ostacolo. Rientrano in questa disposizione sia i dati “forniti” dall’utente, che quelli “osservati”. Questo diritto si applica solo ai dati personali e in quanto tale non si applica ai dati autenticamente anonimi (dati che non possono essere ricondotti all’individuo).

Le richieste devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento. Le richieste possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste da parte dell’individuo. L’individuo deve essere informato entro un mese dal ricevimento della richiesta con una spiegazione dei motivi per cui la proroga è necessaria.

Nella maggior parte dei casi le organizzazioni devono soddisfare la richiesta senza addebitare una commissione. Tuttavia, se una richiesta viene giudicata “manifestamente infondata o eccessiva”, si può applicare una “tariffa ragionevole” per soddisfarla o rifiutarsi di affrontarla. In entrambi gli scenari, la decisione dovrà essere legittimamente giustificata. Se una richiesta viene rifiutata, l’individuo deve essere informato (insieme alla giustificazione) senza inutili ritardi e entro un mese dal ricevimento della stessa.

Il diritto alla cancellazione

Quando i dati non sono più utili per le finalità per le quali sono stati raccolti, in caso di revoca del consenso da parte dell’utente o quando i dati personali sono stati trattati in modo illecito, l’utente ha il diritto di chiederne la cancellazione nonché la cessazione di ogni altra forma di diffusione.

Le richieste devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento. Le richieste possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste da parte dell’individuo. L’individuo deve essere informato entro un mese dal ricevimento della richiesta con una spiegazione dei motivi per cui la proroga è necessaria.

Il diritto alla cancellazione può essere negato:

  • quando i dati personali sono trattati per un interesse pubblico (come la ricerca scientifica);
  • quando i dati sono necessari per la difesa in giudizio o per adempiere a un obbligo di legge;
  • per l’esecuzione di un compito di interesse pubblico;
  • per l’esercizio di pubblici poteri di cui il titolare del trattamento è investito;
  • quando i dati sono necessari per esercitare il diritto alla libertà di espressione;
  • quando sono trattati a fini sanitari e di interesse pubblico.

Il diritto a limitare il trattamento

L’utente ha il diritto di richiedere la limitazione del trattamento dei suoi dati personali se:

  • ne ha contestato la loro esattezza;
  • si è opposto al trattamento e l’organizzazione sta valutando se esiste un motivo legittimo che lo escluda;
  • il trattamento è illecito, ma l’utente richiede una limitazione anziché la cancellazione;
  • i dati non sono più necessari, ma l’utente ne ha bisogno per stabilire, esercitare o difendere una rivendicazione legale.

La limitazione deve essere comunicata a tutti i soggetti terzi coinvolti nel trattamento dei dati in questione, a meno che ciò non sia impossibile o particolarmente difficile. Se richiesto dall’utente, l’organizzazione deve anche informare lo stesso sull’identità di tali soggetti terzi.

Le richieste devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento. Le richieste possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste da parte dell’individuo. L’individuo deve essere informato entro un mese dal ricevimento della richiesta con una spiegazione dei motivi per cui la proroga è necessaria.

Nella maggior parte dei casi le organizzazioni devono soddisfare la richiesta senza addebitare una commissione. Tuttavia, se una richiesta viene giudicata “manifestamente infondata o eccessiva”, si può applicare una “tariffa ragionevole” per soddisfarla o rifiutarsi di affrontarla. In entrambi gli scenari, la decisione dovrà essere legittimamente giustificata. Se una richiesta viene rifiutata, l’individuo deve essere informato (insieme alla giustificazione) senza inutili ritardi e entro un mese dal ricevimento della stessa.

Diritti relativi ai processi decisionali automatizzati ed alla profilazione

Gli utenti hanno il diritto di non essere sottoposti a processi decisionali che si basano su un trattamento o una profilazione automatizzati e che producono un effetto legale, o un effetto altrettanto significativo.

Le organizzazioni possono adottare decisioni automatizzate solo se necessarie per l’esecuzione di un contratto, autorizzate dalla legislazione del Paese UE applicabile al titolare del trattamento dei dati, prive di effetti giuridici o di analoga rilevanza per l’utente o basate sul consenso esplicito dell’interessato. È possibile prendere decisioni automatizzate senza il consenso esplicito dell’utente solo se riguardano categorie speciali di dati, o per motivi di rilevante interesse pubblico.

Trasferimento di dati all’estero

Il GDPR consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo (SEE) solo se sono soddisfatte determinate condizioni. In particolare, il Paese in cui i dati vengono trasferiti deve avere un livello “adeguato” di protezione dei dati personali, al pari degli standard dell’Unione Europea. In caso contrario, i trasferimenti possono comunque essere consentiti in presenza di clausole contrattuali standard (SCC) o di norme vincolanti d’impresa (BCR).

Il GDPR consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo (SEE) solo se sono soddisfatte determinate condizioni

Il trasferimento dei dati verso gli Stati Uniti è consentito a patto che il responsabile del trattamento aderisca al Privacy Shield, o a patto che l’utente abbia espresso il proprio consenso informato (in tal caso, il consenso deve essere fornito sulla base di informazioni sufficientemente precise, comprese quelle relative alla eventuale mancanza di protezione nel Paese terzo).

Il Privacy Shield è un quadro giuridico vincolante che è stato istituito per contribuire a proteggere i diritti degli utenti UE consentendo nel contempo alle società statunitensi di trattare i loro dati senza la necessità di raccogliere uno specifico consenso. Per ulteriori informazioni, consulta l’articolo sul Privacy Shield (in inglese).

Privacy by design e privacy by default

Il tema della protezione dei dati dovrebbe essere preso in considerazione sin dall’inizio della progettazione e dello sviluppo dei processi e delle infrastrutture aziendali. Ciò significa che le regole sulla privacy dovrebbero essere pensate di default al fine di garantire agli utenti un livello di protezione “elevato”, e dovrebbero essere messe in atto misure idonee a garantire che il ciclo di vita dei dati trattati sia conforme ai requisiti del GDPR.

La notifica del data breach

Il titolare del trattamento deve informare l’autorità di controllo entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali (data breach). Se il trattamento è effettuato da un responsabile per conto del titolare, il responsabile dovrà darne comunicazione a quest’ultimo immediatamente dopo esserne venuto conoscenza.

Anche gli utenti devono essere informati della violazione (entro lo stesso termine) a meno che i dati violati non siano stati protetti mediante cifratura (e quindi resi illeggibili per l’intruso) o, in generale, a meno che sia improbabile che la violazione comporti un rischio elevato per i diritti e le libertà degli interessati. In ogni caso, il titolare del trattamento deve tenere un registro delle violazioni verificatesi per poter dimostrare all’autorità di controllo il rispetto di tali disposizioni.

Il Responsabile per la Protezione dei Dati (RPD o DPO)

Il Responsabile per la Protezione dei Dati (RPD), o Data Protection Officer (DPO), è un soggetto con una conoscenza approfondita della legislazione in materia di protezione dei dati, il cui ruolo comprende l’assistenza al titolare del trattamento o al responsabile del trattamento per il controllo della conformità interna al GDPR, e per la supervisione e l’attuazione della strategia di protezione dei dati. Il DPO dovrebbe inoltre essere competente nella gestione dei processi informatici, nella sicurezza dei dati e in altre questioni critiche relative al trattamento di dati personali e sensibili.

La nomina del DPO è obbligatoria nei seguenti casi:

  • quando il trattamento è effettuato da autorità o organismo pubblico;
  • quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala”;
  • quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.

La nomina di un DPO non si basa pertanto sul numero dei dipendenti, ma sulla natura dell’attività di trattamento dei dati. Se la tua organizzazione non rientra nelle suindicate categorie, la nomina del DPO non è obbligatoria.

Il Registro del Trattamento

Il GDPR pone in capo ai titolari ed ai responsabili del trattamento l’obbligo di tenere e mantenere aggiornato un registro delle particolari attività di trattamento dati effettuate.

In genere, questo requisito si applica solo alle organizzazioni con più di 250 dipendenti. Tuttavia, il requisito si applica comunque alle organizzazioni con meno di 250 dipendenti se le loro attività di trattamento:

  • non sono occasionali, oppure
  • includono il trattamento di dati sensibili o di categorie speciali di dati, oppure
  • possono comportare un rischio elevato per i diritti e le libertà degli interessati.

Il Registro del Trattamento deve essere tenuto per iscritto. È possibile tenere il registro sia in formato cartaceo che elettronico. Tuttavia, il formato elettronico è considerato una best practice in quanto ne agevola l’aggiornamento.

Il registro tenuto dal titolare del trattamento deve includere:

  • il nome e le informazioni di contatto del titolare del trattamento e, se designati, dei responsabili del trattamento e del DPO;
  • le finalità del trattamento;
  • una descrizione delle diverse tipologie di utenti e di dati trattati;
  • le categorie dei soggetti terzi che accedono ai dati, specificando l’eventuale Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti (in caso di trasferimento di dati verso un Paese extra UE);
  • l’eventuale trasferimento di dati personali verso un Paese extra UE, identificando il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, inclusa una documentazione relativa alle misure di sicurezza adottate (se applicabile);
  • i termini previsti per la cancellazione delle varie categorie di dati (ove possibile);
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (ove possibile).

Il registro tenuto dal responsabile del trattamento deve includere:

  • il nome e le informazioni di contatto del titolare del trattamento e degli ulteriori responsabili del trattamento che agiscono per suo conto e, se del caso, del DPO;
  • le categorie di trattamenti effettuati per conto di ciascun titolare;
  • l’eventuale trasferimento di dati personali verso un Paese extra UE, identificando il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, inclusa una documentazione relativa alle misure di sicurezza adottate (se applicabile);
  • i termini previsti per la cancellazione delle varie categorie di dati (ove possibile);
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (ove possibile).

Per quanto riguarda la tenuta dei registri, può essere utile effettuare audit regolari sui dati in possesso dell’organizzazione. Questa pratica è consigliata non solo al fine di soddisfare prontamente gli obblighi di registrazione, ma anche per facilitare la revisione e l’ottimizzazione delle procedure di elaborazione dei dati.

Il Data Protection Impact Assessment (DPIA)

Il Data Protection Impact Assessment (DPIA) è un processo utilizzato per aiutare le organizzazioni a rispettare efficacemente il GDPR e a garantire che i principi di responsabilità, privacy by design e privacy by default siano effettivamente messi in pratica dall’organizzazione. Il processo di DPIA deve essere documentato per iscritto.

Sebbene la pubblicazione del DPIA non sia un obbligo formale imposto dal GDPR, è auspicabile che i titolari del trattamento prendano in considerazione l’opportunità di pubblicare in tutto o in parte le loro DPIA come segno di trasparenza e responsabilità, soprattutto nei casi in cui siano coinvolti soggetti pubblici (ad esempio, quando la DPIA è effettuata da un ente pubblico).

Porre in essere degli efficaci processi di DPIA è utile per soddisfare il requisito della “privacy by design” in quanto consente alle organizzazioni di individuare e risolvere i problemi in una fase precoce, riducendo così sia i rischi per la sicurezza dei dati degli utenti, sia il rischio di sanzioni e di danni reputazionali che potrebbero altrimenti verificarsi per l’organizzazione.

In generale, la DPIA è obbligatoria solo nei casi in cui l’attività di trattamento dei dati è suscettibile di comportare un rischio elevato per gli utenti (questo vale in particolare per l’introduzione di nuove tecnologie di trattamento). Tuttavia, se non si è sicuri che la propria attività di trattamento rientri o meno in quello che viene considerato un “rischio elevato”, si raccomanda di effettuare comunque una DPIA, in quanto si tratta di uno strumento utile a garantire il rispetto della legge.

Le attività di trattamento dei dati considerate ad “alto rischio” includono:

  • il trattamento di dati sensibili;
  • il monitoraggio sistematico di un’area accessibile al pubblico (ad esempio, tramite video sorveglianza);
  • le situazioni in cui vengono effettuate valutazioni automatizzate e approfondite dei dati personali al fine di influenzare in modo significativo decisioni rilevanti per la vita dell’utente.

Le valutazioni d’impatto (DPIA) possono essere richieste anche in altre circostanze (sulla base di una valutazione caso per caso), tra cui il trattamento dei dati relativi a persone vulnerabili (come bambini o anziani), il trasferimento di dati al di fuori del territorio UE e il trattamento di dati utilizzati per la profilazione. Ulteriori informazioni sui casi in cui è necessario effettuare una DPIA sono disponibili qui.

La relazione prodotta a seguito di un processo di DPIA dovrebbe includere:

  • una descrizione completa dei dati trattati;
  • lo scopo dell’attività di trattamento (e, se del caso, le informazioni sugli interessi legittimi del responsabile del trattamento);
  • una valutazione dell’ambito e della necessità dell’attività di trattamento in relazione alla finalità perseguita;
  • una valutazione del rischio per gli utenti;
  • le misure in atto per far fronte a tale rischio.

Le conseguenze del mancato adeguamento

Le conseguenze legali per il mancato rispetto del GDPR possono consistere in sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione (a seconda di quale sia il maggiore tra questi due valori). Altrettanto rilevanti sono anche gli altri provvedimenti che possono essere attuati nei confronti delle organizzazioni che hanno commesso una violazione.

Le conseguenze legali per il mancato rispetto del GDPR possono consistere in sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione

Tali provvedimenti comprendono:

  • richiami ufficiali (per violazioni avvenute per la prima volta);
  • verifiche periodiche sulla protezione dei dati;
  • danni da responsabilità.

Il GDPR conferisce agli utenti il diritto esplicito di presentare un reclamo presso un’autorità di controllo qualora ritengano che il trattamento dei loro dati personali sia stato effettuato in violazione delle disposizioni del regolamento. Ad esempio, se viene presentata una segnalazione all’autorità in merito a un’istanza di violazione della normativa, l’autorità può scegliere di effettuare una verifica dei processi di trattamento dei dati da parte dell’organizzazione.

Qualora si accerti che alcune attività di trattamento siano state svolte in modo illecito, non solo viene comminata una sanzione pecuniaria, ma all’organizzazione può anche essere vietato di fare un ulteriore uso sia dei dati oggetto del reclamo che dei dati acquisiti utilizzando meccanismi analoghi. Ciò significa che se l’uso improprio riguardava, ad esempio, la raccolta di un indirizzo email, l’organizzazione rischia di non poter utilizzare l’intero database di email in suo possesso.

Il GDPR conferisce inoltre agli utenti il diritto al risarcimento di eventuali danni derivanti dall’inosservanza delle norme da parte di un’organizzazione, rendendo in tal modo i trasgressori suscettibili di essere citati in giudizio.

Come può aiutarti iubenda

Sul fronte della compliance, uno dei primi passi logici è garantire che i propri documenti siano conformi alla normativa. In iubenda adottiamo un approccio onnicomprensivo in materia di adeguamento alla normativa sulla protezione dei dati. Sviluppiamo soluzioni tenendo conto delle disposizioni più severe, offrendo servizi completi e personalizzabili in base alle proprie esigenze.

In questo modo, iubenda ti assiste nel rispetto degli obblighi di legge, riducendo così il rischio di controversie, proteggendo i tuoi clienti ed aiutandoti a consolidare fiducia e credibilità.

Segue un elenco di quanto necessario per adeguarsi.

Predisporre una privacy policy

Questo documento legale deve indicare il modo in cui il tuo sito web o la tua applicazione raccoglie, elabora, memorizza, condivide e protegge i dati degli utenti, insieme con un’indicazione relativa alle finalità del trattamento ed ai diritti degli utenti a tale riguardo.

Il nostro Generatore di Privacy Policy è alla portata di tutti, disponibile in diverse lingue, progettato da un team di avvocati, personalizzabile e aggiornato automaticamente (in quanto è controllato a distanza dai nostri legali).

Ti permette di creare facilmente una privacy policy professionale, legalmente accurata e perfettamente integrata con il tuo sito web o con la tua app. Basta aggiungere con un semplice click una qualsiasi delle tante clausole pre-configurate disponibili o scrivere le proprie clausole personalizzate.

Hai inoltre la possibilità di includere una cookie policy (necessaria se il tuo sito web utilizza cookie). Le policy sono personalizzate in base alle tue esigenze e vengono gestite da remoto dal nostro team legale.

Poiché l’uso dei cookie comporta sia l’elaborazione dei dati dell’utente che l’installazione di tecnologie di tracciamento, è un fattore di notevole importanza nell’ambito della protezione dei dati personali degli utenti. Per questo motivo, se operi nel territorio dell’Unione Europea o ti rivolgi ad utenti europei, devi rispettare la Cookie Law.

In risposta a questa esigenza, abbiamo sviluppato la Cookie Solution, una soluzione completa per adeguarsi alle disposizioni della legge europea sul trattamento mediante cookie. È facile da usare, veloce e non richiede investimenti onerosi.

Gestire la compliance privacy interna

Adeguarsi al GDPR nella pratica rappresenta una vera e propria sfida. Ciò è particolarmente vero per la gestione della compliance privacy interna. Per essere conformi, è necessario tenere traccia e descrivere:

  • i dati che raccogli;
  • le finalità del trattamento;
  • le basi giuridiche del trattamento;
  • le politiche di data retention per ogni attività di trattamento;
  • le parti coinvolte (all’interno e all’esterno della tua organizzazione);
  • le misure di sicurezza;
  • i trasferimenti di dati extra UE, se presenti;
  • altri dettagli a livello aziendale, inclusi quelli relativi ai dati dei dipendenti.

La nostra soluzione di Internal Privacy Management ti aiuta a registrare e gestire facilmente tutte le attività di elaborazione dei dati all’interno della tua organizzazione, così da soddisfare tutti i requisiti e da adempiere agli obblighi di legge.

L’Internal Privacy Management consente di creare un registro del trattamento definendo le attività di elaborazione effettuate scegliendo da oltre 600 opzioni pre-configurate, descrivendo le proprie aree di trattamento (ovvero, le aree all’interno delle quali le attività di trattamento dei dati sono tra loro omogenee), individuando responsabili ed altri soggetti e documentando le basi giuridiche e le altre informazioni richieste dal GDPR.

Importante: come anticipato, il registro del trattamento è tipicamente richiesto per organizzazioni che trattano particolari categorie di dati o che hanno più di 250 dipendenti. Tuttavia, alcuni requisiti di informazione — come i dati che raccogli, le finalità, i soggetti coinvolti nel trattamento e le politiche di data retention — sono obbligatori per tutti.

In più, anche se il GDPR è la ragione principale per cui impegnarsi nella gestione della propria compliance aziendale interna, il nostro strumento non è fatto solo per il GDPR. Può essere infatti utilizzato per la gestione della compliance interna in generale, anche da aziende extra UE che non lavorano con utenti o clienti europei.

Scopri le funzionalità dell’Internal Privacy Management o leggi la nostra guida introduttiva.

Al fine di adeguarsi alle normative sulla privacy, in particolare al GDPR, le organizzazioni devono archiviare una prova del consenso così da poter dimostrare che il consenso è stato validamente raccolto. Tali prove devono includere:

  • quando il consenso è stato prestato;
  • chi ha prestato il consenso;
  • quali preferenze sono state espresse dall’interessato al momento della raccolta del consenso;
  • quali documenti o note legali sono state presentate all’interessato al momento della raccolta del consenso;
  • il modulo di consenso che è stato presentato all’interessato al momento della raccolta del consenso.

La nostra Consent Solution semplifica questo processo permettendoti di registrare e di gestire facilmente le prove del consenso per ogni tuo utente. La Consent Solution ti aiuta a tracciare ogni aspetto del consenso (inclusi documenti o note legali e moduli di consenso presentati all’utente al momento della raccolta del consenso), nonché le preferenze espresse dall’utente.

Per utilizzarla, attiva semplicemente la Consent Solution ed ottieni la tua chiave API. Procedi quindi alla configurazione via HTTP API o tramite widget JS. Potrai subito recuperare i consensi salvati e tenerli aggiornati.

Scopri le funzionalità della Consent Solution o leggi la guida introduttiva.

Attenzione: di tanto in tanto i requisiti di legge cambiano o vengono aggiornati. È pertanto necessario assicurarsi che i propri documenti rispondano ai requisiti più recenti. Per questo motivo, iubenda utilizza una funzione di incorporazione e non il semplice copia e incolla. In questo modo, puoi essere certo che i tuoi documenti siano sempre aggiornati grazie alle revisioni continue effettuate da remoto dal nostro team legale.

Leggi anche