• Privacy

6 marzo 2019

GDPR, adempimenti, controlli, sanzioni: cosa devono fare le imprese per essere in regola con la nuova normativa?

di Fabia De Bono

L'entrata in vigore, lo scorso 25 maggio 2018, del Regolamento europeo in materia di dati personali (GDPR)[1], ha posto nuovi oneri a carico di professionisti e aziende, ed ha dato nuova linfa al tema della privacy. In questi primi mesi di applicazione del GDPR si è detto tanto sull'interpretazione delle nuove disposizioni, tuttavia, anche a causa dell'assenza di specifiche indicazioni nel Regolamento delle misure concrete da porre in essere dalle imprese, rimane una generale confusione sui profili applicativi della norma.

È allora opportuno procedere a dei chiarimenti e tentare, per quanto possibile, di fornire delle informazioni pratiche sulle attività da espletare per adempiere al GDPR ed evitare le temute sanzioni del Garante.

In primo luogo è bene ricordare che la protezione dei dati personali e l'inviolabilità della privacy quale sfera personale dell'individuo, proprio per l'importanza del diritto tutelato, è stata già oggetto di numerose disposizioni, nazionali e comunitarie, tutt'oggi vigenti, come ad esempio gli artt. 2, 13, 14 e 15 della Costituzione Italiana[2], gli artt. 7 e 8 della Carta dei diritti UE[3], il noto Codice della Privacy (D. Lgs. n. 196/2003 come da ultimo modificato dal D. Lgs. n. 101/2018) e la direttiva 95/46/CE, che è stata invece abrogata in seguito all'entrata in vigore del GDPR.

Nell'ambito della tutela della privacy, quindi, si dovrà tener conto dell'intero sistema normativo esistente e non solo del Regolamento comunitario.

Il GDPR si occupa di disciplinare il trattamento dei dati personali, prevedendo una serie di adempimenti da porre in essere a tutela degli stessi, e definendo ruoli e figure chiave in ambito di privacy.

Si analizzeranno le nozioni più importanti contenute nel Regolamento, con particolare riguardo agli strumenti necessari per adeguarsi alla normativa.

Il punto di partenza è necessariamente la definizione di "dato personale" che, ai sensi dell'art. 4, par. 1, n. 1 del GDPR consiste in: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale

La protezione dei dati personali ha quindi lo scopo di tutelare un diritto soggettivo che, come tale, riguarda i dati relativi alle sole persone fisiche.

I dati personali non devono, quindi, essere confusi con altre categorie di dati, come le informazioni commerciali delle aziende, che si possono tutelare con altre norme (es. con il know-how o come segreti aziendali) ma che non rientrano nell'ambito di applicazione del GDPR.

Tale precisazione, che può sembrare ovvia, è invece necessaria, in quanto molti soggetti ritengono applicabili le disposizioni del GDPR anche ai dati aziendali (ad es. quelli riportati in fattura o nella visura, ovvero i dati di vendita) o ai dati di clienti persone giuridiche.

Per una corretta implementazione del GDPR è poi necessario comprendere appieno i compiti e le funzioni delle figure chiave del processo del trattamento dei dati e cioè del Titolare e del Responsabile del Trattamento.

Il primo è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4. par. 1, n. 7 GDPR).

Il Responsabile del Trattamento è invece la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR).

Infine è opportuno chiarire la definizione di "Trattamento dei dati" che, di fatto, consiste in "qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali"[4].

In sostanza, ogni volta che si effettua un'operazione sui dati personali (ad es. salvataggio dei dati su pc, utilizzo dei dati per mailing list etc.) ci si muove nel campo del GDPR e si dovrà quindi seguire la normativa comunitaria in materia.

In questo caso le indicazioni su come e perché effettuare il trattamento saranno dettate dal Titolare del trattamento, che sarà anche il soggetto che risponderà di eventuali inadempimenti.

L'obiettivo del GDPR, infatti, non è quello di vietare o limitare il trattamento dei dati personali, ma di fare in modo che il trattamento avvenga lecitamente, ossia che rispetti le disposizioni normative.

A riguardo è fondamentale trattare i dati previa individuazione di una base giuridica, che normalmente è il consenso dell'interessato ma che può anche essere costituita dal contratto di prestazione d'opera/servizio, da un obbligo legale o da un legittimo interesse.

In particolare, il consenso al trattamento dei dati, ottenuto in forma scritta o digitale dall'interessato, è necessario per dimostrare la liceità del trattamento, posto che l'onere della prova di aver ottenuto il consenso spetta al Titolare del Trattamento; nella prassi, tuttavia, si registrano ancora molti inadempimenti proprio sotto questo profilo, con conseguenti multe da parte dell'Autorità.

Una delle principali novità introdotte dal GDPR, che determinano un'implicazione diretta e pratica nella realtà aziendale, è l'introduzione del principio dell'accountability (responsabilizzazione), che ha determinato l'inversione dell'onere probatorio dall'Autorità al Titolare del trattamento.

In altre parole mentre prima dell'entrata in vigore del GDPR era obbligo del Garante della Privacy provare l'inadempimento del titolare, ora dovrà essere il Titolare a dimostrare di aver correttamente adempiuto.

Tra le altre novità vi sono l'ampliamento della nozione di "dato personale"; la previsione di informative più dettagliate; la limitazione dell'uso di dati personali come impostazione predefinita (privacy by default); la progettazione di sistemi per limitare l'uso dei dati personali (privacy by design), una stretta sulla profilazione che sarà possibile solo previo espresso e separato consenso dell'interessato, l'introduzione della figura del Responsabile dei dati personali, del Registro dei Trattamenti e della Valutazione d'Impatto.

I cambiamenti sono numerosi e possono avere un impatto sensibile sulla ordinaria amministrazione di una società. È dunque consigliabile adottare un sistema di gestione che preveda un'integrazione della privacy nella stabile organizzazione aziendale, agendo su due livelli:

  • dotando la propria azienda di tutta la documentazione formale necessaria per tutelare gli interessati del trattamento;
  • integrando gli strumenti già esistenti in azienda con la privacy (codici di condotta, certificazioni, istruzioni, procedure, formazione del personale etc.).

Nei successivi contributi si analizzeranno i documenti necessari e le attività da espletare all'interno della struttura aziendale sotto il profilo organizzativo per adempiere al GDPR.


[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

[2] Articolo 2: La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo, sia nelle formazioni sociali ove si svolge la sua personalità […]; Articolo 13: Non è ammessa forma alcuna di detenzione, di ispezione o perquisizione personale, né qualsiasi altra restrizione della libertà personale, se non per atto motivato dell'autorità giudiziaria e nei soli casi e modi previsti dalla legge; Articolo 14: Non vi si possono eseguire ispezioni o perquisizioni o sequestri, se non nei casi e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della libertà personale; Articolo 15: La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell'autorità giudiziaria con le garanzie stabilite dalla legge.

[3] Cfr. Carta Dei Diritti Fondamentali Dell'unione Europea (2012/C 326/02) Articolo 7: Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni; Articolo 8: Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica […].

[4] "… come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione" (art. 4, par. 1, n. 2 GDPR).

 


Avv. Fabia De Bono Studio Legale Barzanò & Zanardo