L’entrata in vigore del nuovo Regolamento Europeo relativo alla protezione dei dati personali il 25 maggio 2018 ha segnato un passo avanti rispetto al vecchio Codice Privacy. Trattandosi di un Regolamento, quello ormai noto come GDPR ha avuto efficacia immediata per tutti gli Stati membri, diventando direttamente esecutivo per tutti i soggetti giuridici che, per un motivo o per un un altro, abbiano a che fare con il trattamento dei dati personali.
La nuova normativa si ispira al principio di accountability (ossia di responsabilizzazione), nell’intento che i soggetti interessati non si limitino semplicemente al rispetto delle regole, ma si adoperino per assicurare la massima protezione della privacy e dei dati personali, in un’ottica costruttiva e partecipativa. Per quanto riguarda l’Italia, la vecchia normativa ha dovuto adeguarsi al nuovo quadro normativo europeo, coinvolgendo piccole, grandi e medie imprese, ma anche associazioni e persone fisiche. Cerchiamo di capire cos’è il GDPR e in che modo le aziende hanno dovuto adeguarsi alla nuova normativa dopo la sua entrata in vigore.
Che cos’è il GDPR?
Entrato in vigore il 25 maggio 2018, il GDPR è il Regolamento Europeo che ha introdotto la nuova disciplina sul trattamento dei dati personali e sulla privacy. Fino a questa data, nel nostro paese la materia era regolata dal Codice della Privacy, il quale, pur non essendo stato abrogato, ha subito gli effetti dell’adeguamento alla normativa europea, in un contesto di armonizzazione e di eliminazione delle normative in contrasto.
Ma chi sono i soggetti che devono adeguarsi al GDPR? Al momento, il nuovo Regolamento rappresenta il principale e unico riferimento per tutte le aziende e trova applicazione anche in tutti i casi in cui una persona fisica o giuridica si trovi a trattare dati personali. Per trattamento dei dati personali si intende quel complesso di operazioni, compiute con o senza sistemi automatizzati, per “la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.”
Non sono previste esenzioni dunque, né per aziende di piccole dimensioni, né per associazioni. Il motivo di ciò risiede nella definizione stessa di dato personale, inteso come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (che il GDPR definisce «interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.” Da questa definizione si evince il perché della necessità di estendere la nuova normativa GDPR a uno spettro di soggetti più ampio rispetto al passato.
Adeguamento GDPR: gli adempimenti per le piccole imprese
Il nuovo Regolamento Europeo sul trattamento dei dati personali, come già detto, non ammette eccezioni. Sono previsti adempimenti GDPR anche per le piccole imprese, nel rispetto dei seguenti principi:
principi di liceità, correttezza e trasparenza;
principio di limitazione della finalità: la raccolta dei dati deve essere finalizzata a obiettivi espliciti e legittimi;
principio di minimizzazione dei dati: il trattamento deve essere ridotto al minimo indispensabile, raccogliendo solo dati adeguati, limitati e pertinenti all’obiettivo;
principio della limitazione della conservazione: i dati devono essere conservati per un periodo di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
principio di esattezza: la correttezza dei dati raccolti è imprescindibile, tutti dati devono essere esatti e aggiornati tempestivamente o rettificati se inesatti rispetto alle finalità;
principio di integrità e riservatezza: il trattamento deve garantire un’adeguata sicurezza dei dati, nonché una protezione mediante una serie di misure tecniche e organizzative, volte a tutelare anche in caso di trattamenti non autorizzati, illeciti, in caso di perdita, distruzione o danno accidentale.
Per rendere più semplice e efficace l’adeguamento alla normativa GDPR, le piccole imprese dovrebbero nominare un responsabile della protezione dei dati personali scelto tra i dipendenti o anche un consulente esterno, detto DPO, in tutti i casi previsti dal regolamento stesso, ossia:
quando il titolare del trattamento è un soggetto pubblico;
quando le principali attività svolte dal titolare del trattamento consistono in trattamenti che, per natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
le attività principali del titolare del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (i cosiddetti dati sensibili: etnia, orientamento sessuale, fede religiosa, affiliazione sindacale, etc.) o di dati relativi a condanne penali e a reati.
Il titolare del trattamento è tenuto a utilizzare un registro del trattamento, all’interno del quale si tiene traccia di tutti i trattamenti dei dati personali posti in essere, utile anche per monitorare e annotare le attività rilevanti ai fini della privacy.
La consegna dell’Informativa sulla privacy ai soggetti interessati rappresenta il principale obbligo posto a carico delle aziende da parte del GDPR. Nel caso specifico delle piccole imprese, l’informativa viene consegnata ai dipendenti, ai collaboratori, ai consulenti, ai fornitori di beni e/o servizi; se l’azienda dispone un sito web occorre prevedere una Informativa privacy sull’uso dei dati di navigazione nel sito e sui cookies. Se l’azienda dispone di un circuito di videosorveglianza, deve redigere anche un’informativa privacy per coloro che potrebbero essere ripresi dalle videocamere.
Infine, qualora un soggetto terzo si trovi a dover trattare i dati personali di cui la piccola azienda è titolare, il GDPR impone la sottoscrizione di accordi di nomina del responsabile del trattamento. Anche i dipendenti che trattano dati personali per conto del titolare (es. dipendenti che lavorano nell’ufficio del personale) devono essere nominati come persone autorizzate al trattamento. La nomina avviene consegnando loro una lettera contenente tutte le istruzioni su come come debba avvenire il trattamento dei dati, quali principi seguire e quali regole interne consultare.
Adeguamento GDPR: adempimenti per aziende e professionisti
L'adeguamento al GDPR per imprese e professionisti comporta numerosi adempimenti, con specificità a seconda delle diverse realtà professionali
(es. siti web e portali di e-commerce, artigiani, studi professionali, negozi). Ciascun soggetto interessato, è tenuto a verificare la propria conformità al Regolamento, tenendo conto del tipo di attività svolta e del reale trattamento dei dati. Il GDPR prevede anche adempimenti consigliati, non necessari per aziende con meno di 250 dipendenti. Ricapitolando, ogni soggetto che si trovi a trattare dati sensibili e su larga scala è tenuto a:
Nominare di un Responsabile della Protezione dei Dati (RDP) o di un Protection Officer (DPO) con una specifica formazione, incaricato dell’attuazione del regolamento da parte del titolare del trattamento, che a sua volta è tenuto a ottenere il consenso libero e informato da parte di tutti gli utenti interessati.
Tutelare la riservatezza dei dati mediante crittografia per evitare la fruizione da parte di soggetti non autorizzati.
Rispettare le procedure standard di protezione (cifratura dei dati e pseudonimizzazione) e verificare le misure tecniche adottate per garantire la piena integrità dei sistemi e dei servizi di trattamento;
Ripristinare prontamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico, dando notizia tempestivamente al Garante Privacy in caso di fuga di dati o attacco esterno.
Redigere un registro delle attività, con l’indicazione dettagliata di tutte le policy aziendali e le procedure adottate (obbligatorio per le aziende con più di 250 dipendenti e per tutte le imprese che effettuano trattamenti considerati rischiosi o relativi a specifiche categorie di dati sensibili). Per agevolare le PMI, infine, sono stati predisposti due schemi di registro pronti alla compilazione.