L’ABC del GDPR: una guida pratica alla portata di tutti

Il 25 maggio del 2018 è stata la data in cui il Regolamento (UE) 2016/679, il GDPR – General Data Protection Regulation – ha trovato la sua piena attuazione.

A quattro anni di distanza l’obiettivo è sempre lo stesso: garantire che i dati personali circolino liberamente all’interno dei confini dell’Unione europea, rafforzandone la tutela in termini accountability al punto tale da rovesciare la prospettiva dell’intero impianto della data protection.

GDPR, più danni che benefici? Una prima valutazione degli effetti economici

Si rende dunque ancora attuale, nonostante il quadriennio trascorso, l’opportunità di una guida completa strutturata che intende rivolgersi a chi sa:

• già, offrendo un ripasso;
• ancora poco, accrescendo il suo sapere;
• nulla, fornendo nozioni basilari.

Il GDPR, oggi

Il GDPR ha evoluto notoriamente il concetto di “privacy” — termine che peraltro nel testo normativo non compare nemmeno una volta — verso uno più ampio che abbraccia la protezione del dato (personale).

Il GDPR è stato infatti concepito per regolamentare ogni attività di trattamento (elaborazione, estrazione, consultazione, ecc.) relativa ai dati personali (delle persone fisiche, interessati) salvaguardandone i diritti e le libertà fondamentali.

L’alfabeto del GDPR, dalla A alla Z

Il GDPR dalla A alla Z non è un’utopia. In questa guida pratica tratteremo i concetti più importanti elencandoli in ordine alfabetico, con l’obiettivo di fornire un tascabile di pronta e facile consultazione.

I vocaboli che seguono appartengono al mondo della Compliance GDPR e fanno parte dei macro-argomenti da conoscere per applicare correttamente il testo di legge europeo.

Accountability

L’Accountability è il principio ispiratore e fondante il GDPR.

Nel suo significato più ampio e corretto l’accountability è la “rendicontazione”, qualche cosa di più della semplice dimostrazione.

Infatti, se la Ficcanaso S.p.A. è chiamata a dover provare la conformità al GDPR in sede di Audit o (peggio ancora) di Ispezione, non potrà limitarsi a “dimostrare” la tenuta generale del Sistema, ma dovrà “rendicontare” cioè rendere conto e ragione delle scelte/azioni intraprese in ordine alla coerenza e congruità del Sistema stesso. Sottile è la differenza.

É chiaro ed evidente che il risultato sarà la ricaduta o meno in termini di “responsabilità”.

Da qui, la necessità di dover, attraverso l’accountability, responsabilizzare l’intera Organizzazione.

In altri termini, di primo approccio, è essenziale capire che l’Organizzazione è accountable nella misura in cui è compliant al GDPR.

L’accountability, infatti, va a braccetto con la compliance (cioè conformità normativa) quale capacità di integrare una logica ed un approccio giuridico con una prospettiva di governo e gestione del rischio.

Il tutto condito con una “trasparenza” a garanzia di una completa accessibilità ai dati personali.

In ogni caso, con la lente dell’Interessato, l’accountability è dare “fiducia” sul presupposto che il Dato è “un dono, un regalo” che si fa agli altri, e che prima di farlo è Tuo…ma dopo non più. Insomma, è la “donnée” alla francese.

Adeguamento (al GDPR)

Fare adeguamento al GDPR vuol dire conformarsi alla normativa in questione, “tempo per tempo” e “funzione per funzione”, in modo ciclico e continuativo, secondo lo schema del PDCA o meglio del virtuoso Ciclo di Deming.

Autorizzato al trattamento (art. 4)

L’autorizzato al trattamento, o se più familiare l’ex incaricato, è «l’ultima ruota del carro, senza la quale però il carro non andrebbe avanti» a furor di metafora.

È in pratica il tizio che tratta dati personali, di qualunque specie/natura/tipo per conto del titolare, assumendo precisi compiti, dovendo attuare misure di sicurezza imposte dal titolare. In strutture complesse, possono esserci diversi livelli di autorizzati.

Certificazione GDPR (art. 42)

La certificazione al GDPR è il “bollino” cioè a dire un’attestazione rilasciata da una Terza Parte, Organismo di Certificazione (OdC), relativa ad un prodotto, processo, servizio, persona o sistema, sottoposto a valutazione di conformità rispetto ai requisiti contenuti in una Norma Tecnica (Standard) o in un Disciplinare specifico.

La certificazione è “accreditata” quando è ottenuta, attraverso la verifica di un OdC accreditato; in Italia ad oggi, l’unico Ente a ciò preposto è Accredia.

Codici di Condotta (art. 40)

I Codici di condotta sono buone pratiche o più correttamente regole deontologiche, di buona condotta, valevoli per un intero settore/ambito/élite.

Queste vengono elaborate da Organismi Nazionali e/o Internazionali. Il vantaggio di tali Codici risiede nell’avere uniformità di regole non vincolanti né tassative, ma alle quali è bene attenersi.

Consenso al trattamento dei dati personali (art. 8)

Il consenso al trattamento dei dati personali è una manifestazione di volontà, spesso in sinergia con l’informativa —quale dichiarazione di scienza— che deve essere chiara e leggibile da chiunque.

Fughiamo fin da subito i dubbi: solo alcune informative richiedono l’espressione di un consenso al trattamento dei dati personali esplicito, espresso, non equivoco, ovviamente volontario.

Contitolare (art. 26)

Il contitolare è quella figura non così frequente che insorge quando nel trattamento sia coinvolto più di un soggetto, in qualità di Titolare.

Perché si possa parlare di contitolarità occorre per forza la partecipazione congiunta di due o più soggetti (persone giuridiche) che determinano le finalità e i mezzi in relazione a un’attività di trattamento.

In concreto, ad esempio nel settore dell’automotive è un concessionario con la casa madre.

Data Breach (art. 33)

Il data breach è la violazione di dati personali che si verifica quando anche solo uno dei tre fattori di riservatezza, integrità, e disponibilità – RID, risulti compromesso.

Il data breach è un vero e proprio guaio in termini di protezione dati, se accertato. Anche sul tema l’EDPB ha pubblicato una chiara linea guida.

Data Retention

La data retention o in italiano il “periodo di conservazione” è il tempo (massimo, da doversi indicare) in cui un Dato Personale può essere conservato, e oltre il quale (dall’ultimo trattamento) lo stesso va eliminato.

La data retention deve essere lecita e proporzionata alla qualità e tipologia del dato.

Dati Particolari (art. 9)

Le categorie particolari di dati personali sono gli “ex dati sensibili”.

Oggi, in un’accezione più ampia sono specifici tipi di informazioni riferibili ad una persona.

Rientrano tra questi, quei dati «…che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.».

I diritti degli interessati (artt. 13-22)

Il catalogo dei diritti, esercitabili dall’interessato, il protagonista ovvero il primo portatore di interesse nell’ottica del legislatore europeo, in qualunque momento e senza spiegazioni, prevede appunto una serie di diritti (pretese/aspettative) che sono:

1. informativa, quale pretesa sul perché e il come vengono raccolti i dati;
2. accesso, quale pretesa di poter accedere in qualunque momento ai propri dati personali;
3. rettifica, quale pretesa di modificare/correggere i propri dati personali;
4. cancellazione e oblio, quale pretesa di ottenere l’eliminazione (parziale o totale e definitiva) dei propri dati personali, e l’oscuramento delle proprie informazioni/notizie on-line;
5. limitazione del trattamento, quale pretesa che il trattamento dei propri dati personali sia limitato, specie quando ricorrono le ipotesi dalla a) alla d) dell’art.18 GDPR;
6. portabilità dei dati, quale pretesa di poter ricevere in un formato strutturato (di uso comune e leggibile) i propri dati personali, nonché l’aspettativa che tali dati siano trasferiti senza impedimenti da un Titolare ad un altro;
7. opposizione al trattamento, quale pretesa di opporsi in qualsiasi momento al trattamento dei propri dati personali;

profilazione, quale pretesa di poter determinare le modalità con cui il trattamento possa avvenire, profilando vale a dire ottenere informazioni sulle nostre attitudini/preferenze.

Interessato (art. 4)

L’interessato è come dicevamo il principale “attore” del GDPR, quale persona fisica identifica o identificabile, in via diretta o indiretta, attraverso vari elementi identificativi (nome e cognome, indirizzo e-mail, tratti caratteristici, opinioni attinenti alla sua sfera personale, ecc.).

Ispezioni del Garante Privacy

Le ispezioni da parte del Garante Privacy a differenza degli audit sono verifiche puntuali e a tappeto, compiute dagli ispettori del Nucleo Operativo Privacy della Guardia di Finanza, istituito ad hoc.

É essenziale non farsi trovare impreparati; col che si suggerisce di creare una sorta di “guida ispettiva” utile non tanto a condurre o circoscrivere il campo di azione dei finanzieri, quanto per essere pronti a gestire un’eventuale ispezione.

Nello specifico, le ispezioni dell’Autorità garante possono essere effettuate o perché rientrano nel Piano Ispettivo elaborato dalla medesima; o per via di segnalazioni/reclami/esposti ad Ella rivolti, circostanza questa molto più preoccupante.

In ogni caso, l’Autorità ha, ai sensi e per gli effetti di cui agli artt. 58 ed 83 del GDPR, poteri:

1. di indagine;
2. correttivi;
3. autorizzativi e consultivi;
4. sanzionatori.

Privacy by Design e by Default (art. 25)

Punto dolente, perché tutti ne parlano, ma nessuno lo fa in modo corretto.

Per privacy by design si intende la protezione del dato personale fin dalla sua progettazione, dalle sue origini cioè da quando sorge la necessità di trattare il dato personale.

Non è solo un principio fondante, ma è anche un approccio/forma mentis che deve riguardare ogni nuova attività di trattamento, ovvero variazioni a quelle esistenti.

Comprendere questo è essenziale.

Nella pratica ciò significa ben considerare ciascun elemento previsto dall’art.25 (e sono tanti) e linee guida specifiche predisposte dall’EDPB, calato nel contesto e applicato coerentemente.

Ma non è tutto: il titolare del trattamento, deve altresì mettere in atto «…misure tecniche ed organizzative adeguate a garantire che siano trattati per impostazione predefinita…».

In caso contrario, si disattenderebbero due principi cardine del GDPR, mettendo a rischio i diritti e libertà degli interessati.

Registro dei trattamenti (art. 30)

Il registro dei trattamenti (attività dei trattamenti) in forma scritta, anche elettronica, è un “obbligo generalizzato” da doversi subito esibire, specie se su richiesta al Garante, a prescindere dal numero dei dipendenti che l’organizzazione conta.

Dalla parrucchiera con una sola dipendente e due computer, alla multinazionale con un universo-mondo di lavoratori.

Si tratta di un documento (meglio in excel) che censisce e analizza nello specifico i trattamenti effettuati dal titolare o dal responsabile.

In quanto tale, il Registro (preziosa misura di accountability) deve essere manutenuto e costantemente aggiornato (adempimento dinamico dell’adeguamento).

Responsabile della protezione dei dati- DPO (artt. 37-39)

Il famigerato Data Protection Officer – DPO è una figura centrale all’interno del “nuovo” impianto sulla Data Protection.

Il DPO o RPD (non cambia il significato) «può essere un dipendente del Titolare o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, par. 6) consacrando quel significativo cambio di mentalità.

Responsabile del trattamento (art. 28)

Il responsabile del trattamento è quella persona fisica o più spesso giuridica, altresì autorità pubblica/agenzia/organismo la quale tratta dati personali per conto del titolare del trattamento, (purché sia una entità separata rispetto al titolare). Secondo le istruzioni impartite dal titolare, lasciandogli comunque un certo grado di discrezionalità su come operare.

É bene sapere che il responsabile non può in alcun modo stabilire né finalità né mezzi del trattamento, a differenza del contitolare, mantenendo purtuttavia una quota di accountability da (dover) dimostrare all’occorrenza.

Rischio privacy (art. 32)

Il rischio è un’altra parola d’ordine del GDPR, spieghiamola.

In relazione al contesto, alle specifiche del trattamento nonché ai rischi per i diritti e le libertà degli Interessati, tenendo altresì in conto lo stato dell’arte e i costi di attuazione – si legge nel testo del GDPR – il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate, volte a garantire un livello di sicurezza adeguato al rischio, assicurando la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.

Sanzioni amministrative (art. 83)

Le sanzioni contemplate dal GDPR sono di natura amministrativa e…” fan tremare i polsi” dal momento che il loro ammontare arriva «…fino a 10 milioni di Euro ovvero il 2% del fatturato…» oppure «…fino a 20 milioni di Euro ovvero il 4% del fatturato…». Insomma, cifre assai considerevoli.

Sul calcolo delle sanzioni, l’EDPB lo scorso 12 maggio ha adottato le Linee guida 04/2022 che saranno in consultazione pubblica fino al 27 giugno 2022.

Si tratta di un documento che già da una prima sua sommaria lettura fa intuire il rilevante impatto che lo stesso avrà.

Secondo l’EDPB le autorità dovranno applicare una metodologia di calcolo composta da ben cinque (5) fasi:

1. le operazioni di trattamento nel caso devono essere identificate e l’applicazione dell’art. 83, par. 3, del GDPR deve essere valutata (capo 3);
2. le autorità devono basarsi su un punto di partenza per il calcolo dell’ammenda per la quale il Comitato prevede un metodo armonizzato (capitolo 4);
3. le autorità devono prendere in considerazione fattori aggravanti o attenuanti tali da poter aumentare o diminuire l’importo dell’ammenda, per i quali l’EDPB fornisce un’interpretazione coerente (capitolo 5);
4. la determinazione dei massimi legali delle multe di cui all’art. 83 garantendo che gli stessi importi non siano superati (capitolo 6);
5. le autorità devono analizzare se l’importo finale calcolato soddisfa i requisiti di efficacia, dissuasività e proporzionalità ovvero se sono necessari ulteriori adeguamenti dell’importo (capo 7).

Non solo, occorrerà altresì valutare per tali fini, alcuni dei fattori più importanti tra i quali:

• la classificazione delle infrazioni per natura,
• la gravità dell’infrazione;
• il fatturato di un’azienda.

Lo sforzo dell’EDPB attraverso la realizzazione di questa linea guida è confluito nello stabilire orientamenti comuni costituenti una importante aggiunta all’attuale quadro onde attualizzare una cooperazione più efficace ed efficiente tra le varie autorità specie sui casi transfrontalieri, una priorità strategica di questi anni per l’EDPB.

Per ulteriori approfondimenti sull’ultimissima linea guida, leggi qui.

Titolare del trattamento (art. 24)

Il Titolare del trattamento è chi tratta dati personali, l’altro attore principale del GDPR.

In generale, è l’organizzazione (azienda privata o ente pubblico) che decide gli elementi chiave del trattamento definendo finalità e mezzi (motivo e modalità).

Trattamento dei dati personali (art. 4, n. 2)

Il trattamento dei dati personali è «…qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione». Direttamente dalla definizione testuale del GDPR. In pratica, tutto.

Trasferimenti dati all’estero (artt. 44 – 50)

Il trasferimento di dati all’estero (GDPR) è un altro pandemonio.

Intanto, indaghiamo quando è possibile trasferire i dati all’estero.

Sempre oseremo dire, a condizione che come spiega eloquentemente la nostra Autorità «…l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea».

In assenza di ciò, il trasferimento (che è di per sé un trattamento, ancorché non abbia una definizione ad hoc all’art. 4 GDPR) è sì consentito, ma nella misura in cui il Titolare o il Responsabile del trattamento forniscano garanzie adeguate come:

• strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici;
• norme vincolanti d’impresa;
• clausole tipo cd standard;
• codici di condotta;
• meccanismi di certificazione.

In attesa del nuovo privacy shield, se ti interessa approfondire il tema del trasferimento di dati all’estero, sub specie in USA, leggi qui.

Valutazione d’impatto della protezione dei dati: DPIA (art. 35)

La valutazione d’impatto sulla protezione dei dati (DPIA, acronimo di “Data Protection Impact Assessment”) «…è una procedura che mira a descrivere un trattamento di dati al fine di valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli».

Si tratta di un importante strumento di accountability.

Rammentiamo ancora che l’Autorità Garante ha stilato un elenco, pubblicato in GU, non vincolante e tassativo, ma che vi consigliamo caldamente di seguire, relativo alle tipologie di trattamento che richiedono, a prescindere dalle risultanze dell’analisi dei rischi (non elevate), una valutazione di impatto.

Alcuni degli errori da evitare per una corretta compliance al GDPR

Veniamo all’ultimo punto.

Tutti, specie agli inizi scrivevano di “cosa fare per…”, ma quasi nessuno si soffermava sugli errori da evitare.

Da qui, vi proponiamo un decalogo, non esaustivo vista la complessità della materia come vi abbiamo finora dipinto, delle worst practice riscontrabili, a ben ragione, in tutte le realtà, specie se complesse. In estrema sintesi, per punti potremmo dire che gli errori da evitare più comuni sono: