Protezione dei dati – GDPR

Requisiti del Regolamento Generale sulla Protezione dei Dati

Introduzione

Il cosiddetto Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore il 25 maggio 2018. Doveva essere rispettato “da un giorno all’altro” in tutti gli stati membri dell’Unione Europea. Il GDPR ha un’importanza pratica per praticamente tutte le aziende. Le autorità di controllo sulla protezione dei dati hanno il potere di imporre multe sostanziali, che possono arrivare fino al 4% del fatturato annuo globale di un’azienda. È necessario un esame dettagliato dei requisiti ora imposti alle aziende. Ci sono già vari procedimenti in cui non solo si minacciano misure di supervisione e multe in caso di violazioni, ma soprattutto avvertimenti da concorrenti o associazioni di avvertimento. Questo articolo mira a fornire un orientamento iniziale su quali questioni possono essere particolarmente critiche e devono essere affrontate urgentemente.

Panoramica delle normative

Il regolamento è ancorato ai dati personali. Questo include tutte le informazioni che si riferiscono a persone fisiche identificate o identificabili, dove l’identificazione avviene attraverso una combinazione di informazioni. Entrambi i gruppi di persone sono chiamati cosiddetti interessati. Si tratta sempre della protezione delle cosiddette persone “fisiche”, cioè esseri umani, non della protezione delle cosiddette persone giuridiche, come le società come SRL o SpA.

Il termine di riferimento è il “trattamento dei dati personali”, indipendentemente dal fatto che sia fatto in modo completamente o parzialmente automatizzato o non automatizzato. Chi elabora i dati è chiamato il cosiddetto titolare del trattamento. Il concetto di trattamento include la raccolta, l’archiviazione, la modifica, la trasmissione, il collegamento e la cancellazione dei dati personali.

Il trattamento dei dati è soggetto a un divieto con riserva di autorizzazione. L’autorizzazione esiste se è presente una delle basi di liceità menzionate nel regolamento (in alternativa):
• il consenso dell’interessato informato per un caso specifico;
• trattamento per l’adempimento di un contratto;
• trattamento per proteggere gli interessi legittimi del titolare del trattamento o di un terzo, mentre gli interessi dell’interessato non prevalgono.

Il consenso deve essere dato per un caso specifico ed è efficace solo dopo che il titolare del trattamento ha informato in modo chiaro e comprensibile sullo scopo concreto del trattamento. Deve essere indicata anche la possibilità di revocare il consenso. Infine, il consenso dell’interessato deve essere dato almeno con un’azione chiaramente confermativa.

La fornitura di dati personali ai fini dell’adempimento del contratto non è soggetta a nessuno dei requisiti di forma generalmente riconosciuti nelle transazioni legali. L’uso dei dati personali o la richiesta di questi dati è lecito se è necessario per l’adempimento di un contratto.

Il concetto di “trattamento per proteggere gli interessi legittimi del titolare del trattamento” acquisirà un’importanza significativa. La maggior parte del trattamento dei dati dovrà probabilmente basarsi su questo concetto piuttosto vago. Questo implica il trattamento dei dati per marketing diretto, ricerche di mercato o analisi dei dati dei clienti. Dovrebbero essere considerate le “ragionevoli aspettative di un interessato”.

Oltre ai tre prerequisiti sopra menzionati per la liceità del trattamento, devono essere osservati ulteriori principi, non tutti introdotti dal GDPR. Da menzionare sono:
• limitazione delle finalità;
• esattezza dei dati;
• necessità di conservazione.

Le finalità del trattamento dei dati personali devono essere stabilite in anticipo, indipendentemente dal fatto che il trattamento si basi sul consenso, sull’adempimento di un contratto o su interessi legittimi. La definizione del motivo deve essere fatta dal titolare del trattamento. Garantire l’esattezza dei dati deve essere fatto con uno sforzo ragionevole. Questo vale anche per la disponibilità a modificare i dati entro un tempo ragionevole su richiesta dell’interessato. La necessità di conservare i dati cessa quando i dati non sono più necessari per lo scopo e non ci sono altre norme di conservazione. In tali casi, i dati devono essere cancellati o almeno modificati in modo da rimuovere qualsiasi riferimento personale. Tuttavia, il rispetto di questi principi sopra menzionati non è sufficiente per soddisfare i nuovi requisiti del GDPR. Viene introdotto l’obbligo di tenere un registro, in cui devono essere elencati i passaggi essenziali del trattamento. C’è un contenuto minimo prescritto per questo registro. Però, questo contenuto minimo non copre ancora le informazioni di cui le aziende devono rendere conto alle autorità di controllo. In futuro, i responsabili del trattamento dovranno essere in grado di fornire in qualsiasi momento una rendicontazione che vada oltre il contenuto minimo dei registri da tenere. In caso di dubbi, bisogna dimostrare presentando documenti scritti quali dati personali vengono trattati su quale base giuridica, per quale scopo e per quanto tempo devono ancora essere conservati. In particolare, la rispettiva base giuridica non è inclusa nel contenuto minimo.

Poche esenzioni dall’obbligo di registro:

Il registro delle attività di trattamento deve essere tenuto dai responsabili del trattamento di quasi tutte le aziende e istituzioni. Un’esenzione si applica solo se il trattamento avviene solo occasionalmente e non vengono trattate categorie speciali di dati come quelli sulla salute o religiosi. Tuttavia, non appena una persona, azienda, istituzione, ecc. assume personale, vengono trattati dati nelle categorie menzionate, ad esempio per determinare i giorni di malattia.
Il registro rimane interno e non deve essere tenuto pubblicamente. I registri devono essere tenuti regolarmente in italiano, anche se è facoltativo se ciò viene fatto per iscritto o elettronicamente. I registri devono essere sempre aggiornati. Gli aggiornamenti dovrebbero essere effettuati mantenendo la versione precedente.

Contenuto minimo:

Nella parte obbligatoria del registro, le singole attività di trattamento, i loro rispettivi scopi e ulteriori contenuti, che risultano dall’Art. 30 Par. 1 GDPR, devono essere registrati in modo descrittivo.

Registro esteso:
Si raccomanda vivamente di ampliare il contenuto minimo e di nominare inoltre le basi giuridiche contenute nel GDPR per ogni fase di trattamento, annotare i periodi di cancellazione e includere altri contenuti rilevanti per la responsabilità al fine di poter rispondere facilmente a eventuali richieste delle autorità di controllo.

Accordo sul trattamento dei dati:
Nel campo degli accordi sul trattamento dei dati, rimane valido anche con il GDPR che devono esistere contratti scritti con il responsabile del trattamento. Tuttavia, questi ora devono essere adattati ai possibili cambiamenti dovuti alla nuova situazione legale.

Obbligo dei dipendenti:
Poiché il trattamento viene spesso effettuato dai dipendenti, è necessario obbligare i dipendenti per iscritto (per verificabilità) a trattare i dati personali loro affidati e accessibili in conformità con la legge e secondo le istruzioni. Va notato che i dipendenti possono trattare i dati solo su istruzione del responsabile del trattamento. Ciò dovrebbe essere incluso di conseguenza nell’obbligo.

Responsabile della protezione dei dati:
Le aziende in cui almeno dieci persone sono impiegate per trattare automaticamente i dati personali (cioè hanno accesso a computer/rete/IT) devono nominare un Responsabile della protezione dei dati (interno o esterno) per la loro azienda. Va notato che questo non si applica solo alla contabilità del personale, ma a ogni dipendente che, ad esempio, è in contatto email con i clienti. Inoltre, anche gli imprenditori o le aziende al di sotto di questa soglia devono nominare un Responsabile della protezione dei dati se i dati e il loro trattamento rappresentano il nucleo delle attività dell’azienda.

Diritti degli interessati:
I diritti degli interessati esistevano già prima. L’unico diritto dell’interessato veramente nuovo è il diritto alla portabilità dei dati. Regola il diritto dell’interessato di ricevere i dati personali che lo riguardano, che ha fornito a un responsabile del trattamento, in un formato comune o di farli trasferire a un altro responsabile del trattamento. Un cliente può chiedere che i dati che ha fornito a un negozio online, ad esempio, siano trasferiti a un altro negozio online.

L’interessato deve essere informato che può opporsi al trattamento dei dati in qualsiasi momento. Ciò è particolarmente rilevante se il responsabile del trattamento basa il diritto al trattamento dei dati su un bilanciamento degli interessi. In linea di principio, l’interessato deve giustificare la sua opposizione. Tuttavia, ciò non si applica alle misure pubblicitarie, e anche questo dovrebbe essere sottolineato.

Sicurezza IT:
La sicurezza IT era anche una parola chiave nota prima del GDPR. Le questioni relative alla protezione contro gli attacchi hacker, la crittografia della comunicazione elettronica, la stabilità e il recupero dei dati rimangono attuali.

L’argomento richiede ora un’attenzione approfondita e un’azione tempestiva da parte di tutte le aziende. Non è previsto un periodo di transizione. Le ispezioni da parte delle autorità di controllo sono facilitate, in particolare a causa dei registri obbligatori con contenuto minimo. I siti web devono fornire istruzioni intensive su tutta la raccolta di dati durante la visita al sito web. Questo richiede istruzioni molto più complete rispetto al passato, preferibilmente sotto un pulsante “Protezione dei Dati” separato.

Riassunto delle cose da fare:

In sintesi, si può dire che ci sono tre aree che ogni azienda deve affrontare urgentemente:
1. Impostare il registro (o i registri) delle attività di trattamento
2. Verificare la necessità di un Responsabile della Protezione dei Dati
3. Adattare le istruzioni sui siti web.
4. Considerazioni sui diritti degli interessati

Il trattamento dettagliato potrebbe sollevare domande. Come partner competente, siamo al tuo fianco con consigli e supporto.