Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la guida

GDPR, tutto ciò che c’è da sapere per essere in regola

Ancora imprese ed enti pubblici sono impreparati ad accogliere le novità del maggio 2018, con il nuovo regolamento sulla protezione dei dati personali. Questo articolo contiene tutte le informazioni e i link alle risorse utili per potersi destreggiare nella rivoluzione

09 Ott 2019

Alessandro Longo

Raffaella Natale


A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici (a inizio ottobre il WP29 ha adottato tre fondamentali provvedimenti che avranno importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue. Vedi anche le novità previste in Legge di Bilancio 2018. A preoccupare sono, però, le disposizioni di ratio sostanzialmente opposte che hanno attribuito agli Stati membri la possibilità di legiferare in autonomia al fine di “precisare” le norme contenute nel GDPR. In qualche modo si è “tradita” l’iniziale visione dell’Ue e potrebbero sorgere contrasti tra il Regolamento e le leggi nazionali adottate per allinearsi alle nuove indicazioni.

Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa

In estrema sintesi col GDPR:

  • Si introducono regole più chiare su informativa e consenso;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Poste le basi per l’esercizio di nuovi diritti;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • Fissate norme rigorose per i casi di violazione dei dati (data breach).

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Gdpr e normativa italiana, il decreto legislativo

Il Gdpr è entrato in vigore prima che il Governo esercitasse la delega. Ora ha tempo fino al 22 agosto per fare il decreto legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali. Fino a quando non avremo il decreto, il Gdpr in Italia equivale al regolamento europeo. COn il decreto il GDPR sarà esplicitamente e chiaramente integrato anche dalla normativa nazionale nelle materie che la regolazione europea consente agli Stati di regolare. Le sanzioni penali gpdr è uno di questi aspetti che arriveranno con il decreto italiano.

One stop shop (sportello unico)

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire per avviare l’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

  1. La designazione in tempi stretti del Responsabile della protezione dei dati;
  2. L’istituzione del Registro delle attività di trattamento;
  3. La notifica dei data breach.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamentoa un altro. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personaliverso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale.

Data breach Gdpr

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante. Rispondere in modo efficace a un data breach per il Gdpr (qui la guida completa) richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR.

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone:

  • Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni;
  • Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con una comunicazione pubblica;
  • L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

Le responsabilità e le sanzioni per le aziende

Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro. Ecco tutto ciò che c’è da sapere sulle sanzioni GDPR.

La figura del DPO (Data Protection Officer)

Non a caso è stata prevista la figura del Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

  1. Riferisce direttamente al vertice,
  2. E’indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
  3. Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

LEGGI QUI UN APPROFONDIMENTO SU DPO

Quanto costa il Gdpr per le aziende italiane, quanto sono pronte e consigli per ottimizzare la spesa

Le stime dicono che un percentuale importante di aziende italiane (Idc, Capgemini) non è pronta per il Gdpr al 25 maggio e persino a dicembre 2018. I costi di adeguamento sono di 200 milioni di euro per le aziende italiane, secondo Idc, anche se Confesercenti arriva a stimare 2 miliardi di euro. Leggi qui l’approfondimento su costi del Gdpr per le aziende italiane e i consigli per ottimizzare la spesa.

I dodici nuovi diritti per il cittadino con il Gdpr

I cittadini devono conoscere meglio i diritti e gli strumenti che il Gdpr conferisce loro per tutelare i dati personali. Questo articolo è una guida sui nuovi diritti Gpdr per i cittadini ue e in generale l’impatto delle nuove regole su di loro.

I poteri dell’autorità di controllo (Garante privacy)

All’autorità di controllo, il nostro Garante Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie. Ecco che c’è da sapere sui poteri del garante privacy nel GDPR.

Adeguare la PA al GDPR

Diventa prioritario per ciascuna amministrazione definire internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR, poi definire il DPO (responsabile trattamento dati) la trasparenza del responsabile trattamento dati e altre misure. Ecco la guida completa per GDPR e PA.

Privacy e Trasparenza con il GDPR

Tra le molte novità, il GDPR potrà aprire una nuova pagina sul tema del rapporto tra privacy e trasparenza, anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse. In questo contesto, è importante sottolineare come il nuovo regolamento non modifichi direttamente le norme nazionali in materia di accesso ai documenti amministrativi, né quelle attualmente applicate alle innumerevoli istituzioni europee. Si preoccupa invece di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e di “tutela efficace della riservatezza” sono considerati entrambi meritevoli di efficace protezione.

GDPR e diritto all’oblio

La vera novità che arriva con il Gdpr sul diritto all’oblio è nell’articolo 17: la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano. L’impatto sui diritti dei cittadini è importante, ecco perché: LEGGI LE NOVITA’ GDPR SUL DIRITTO ALL’OBLIO

Perché il GDPR è un investimento necessario per il futuro di aziende e PA

Le imprese e le PA devono considerare l’attuazione del GDPR non come un costo ma come un investimento. Necessario a sostenere il proprio futuro nel mercato e istituzionale. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e intelligenza artificiale. Approfondisci qui.

Codice di condotta per i per i sistemi di informazione creditizia (SIC): nuove regole

Dopo un complesso lavoro di revisione del vecchio “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (Allegato A.5 del Codice Privacy), reso inattuale dalle modifiche introdotte dalla normativa europea (GPDR) e nazionale in materia di privacy, il Garante Privacy ha approvato con il Provvedimento n. 163 del 12 settembre 2019 il nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (i cosiddetti “SIC”).

La verifica di conformità del vecchio codice di deontologia, demandata al Garante dall’art. 20 del D.lgs. 101/2018 (decreto di adeguamento della normativa nazionale al GDPR), ha dunque portato alla definizione di nuove regole per la tutela dei dati dei consumatori relativi a mutui, prestiti e piattaforme Fintech.

Il nuovo codice, proposto all’Autorità Garante dall’Associazione Italiana Società di Referenza (AISReC), insieme all’Associazione Italiana Leasing e al Consorzio per la Tutela del Credito, include diciannove articoli e quattro allegati.

L’obiettivo della revisione era di regolare il mercato creditizio e quello finanziario per garantirne il corretto funzionamento nell’ottica della data protection. I dati censiti potranno quindi essere trattati senza il consenso degli interessati, sulla base del cosiddetto legittimo interesse delle società partecipanti ai SIC, garantendo però i più ampi diritti previsti dal GDPR.

In particolare, potranno essere trattati solo dati necessari, pertinenti e non eccedenti le finalità di valutazione del rischio creditizio, fornendo informazioni complete e puntuali agli interessati. A garanzia di ciò, i modelli di analisi statistica e gli algoritmi di valutazione verranno sottoposti a verifiche e aggiornamenti almeno due volte all’anno.

L’approvazione del nuovo codice di condotta dei SIC, inoltre, ha focalizzato l’attenzione sulle misure di sicurezza da adottare per la protezione dei dati personali degli utenti, al fine di proteggere i dati da accessi illeciti e garantire l’affidabilità dei sistemi.

Le altre novità del codice di condotta dei SIC prevedono, inoltre:

  • diritti rafforzati a tutela della privacy delle persone interessate;
  • l’obbligo di informative più complete sui trattamenti dei dati posti in essere dalle società aderenti;
  • l’istituzione di un organismo di monitoraggio indipendente che vigili sull’operato dei SIC;
  • nuove forme di contatto che, previo accordo con gli interessati, consentiranno di inviare “preavvisi di segnalazione” anche tramite sistemi di messaggistica istantanea che garantiscano la tracciabilità della consegna;
  • un’estensione dei dati censiti alle varie forme di leasing, al noleggio, ai prestiti tra privati (peer to peer lending);
  • l’allungamento delle serie storiche positive più lunghe a tutela del credito e per rispondere alle richieste degli organismi di vigilanza: i dati storici positivi sui clienti potranno essere conservati per 60 mesi;
  • un maggiore trasparenza nelle decisioni prese dai sistemi SIC: in caso di negazione del credito sulla base di analisi automatizzate l’interessato potrà richiedere informazioni in merito alla logica di funzionamento degli algoritmi;
  • gli stessi algoritmi, infine, potranno essere “allenati” esclusivamente con dati pseudonimizzati, quindi non più riferibili a un soggetto specifico.

Il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali

Con il Provvedimento n. 127 del 12 giugno 2019, il Garante privacy ha approvato anche il Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali proposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic) e che aggiorna il vecchio Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (Allegato A.7 del Codice Privacy).

In questo caso, vengono introdotte una maggiore tutela delle persone censite, la valutazione di impatto sulla protezione dei dati, l’adeguamento alle best practice europee e un nuovo organismo di monitoraggio sulle imprese aderenti al Codice.

Il nuovo codice di condotta garantisce, dunque, la concreta applicazione del principio di accountability introdotto dal GDPR che impone alle associazioni di categoria e alle imprese un’applicazione consapevole, trasparente, effettiva delle norme regolamentari.

Il nuovo testo del codice di condotta consente ora alle società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager di trattare i dati personali dei soggetti censiti senza richiederne il consenso, basandosi sul legittimo interesse.

Le stesse società, però, dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e garantendo loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.

Il nuovo codice di condotta, inoltre, impone ai fornitori aderenti di operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali.

Oltre ad osservare le linee guida, le raccomandazioni e le best practice adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti, ogni fornitore dovrà designare, quando previsto, un responsabile per la protezione dei dati (RPD/DPO).

Il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali istituisce, infine, un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità, che dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.

Ulteriori approfondimenti

Articolo 1 di 4