GDPR: cos’è, come si applica e quali figure prevede

Home PA Digitale Sicurezza Digitale GDPR: cos’è, come si applica e quali figure prevede

In una società di rete, che va verso la completa digitalizzazione, il trattamento dei dati personali è un tema sempre più rilevante. A tal proposito Il GDPR è fondamentale per comprendere la prospettiva europea e nazionale su questo argomento. Ecco un approfondimento sulla normativa e i principali dispositivi a tutela dei dati personali e della privacy

12 Marzo 2020

F

Redazione FPA


Questo approfondimento è stato realizzato da FPA nell’ambito del progetto di formazione avviato con Funzione Pubblica Cgil e rivolto in particolare a chi vuole partecipare alla nuova grande stagione di concorsi nella PA. Sulla piattaforma concorsipubblici.fpcgil.it, online dal 26 novembre scorso, sono disponibili video lezioni, guide e moduli sui saperi di base, le conoscenze necessarie e trasversali adatte ai programmi di tutti i concorsi pubblici. Qui il focus “GDPR e trattamento dei dati personali”, con tutte le videolezioni e le videopillole, a cura di Eleonora Sisci, Legal Affairs Officer
FPA.

Il GDPR: tra definizione e applicazione

Dal 25 maggio 2018 è entrato in vigore il nuovo Regolamento generale europeo sulla protezione dei dati: il GDPR (General Data Protection Regulation). Il GDPR è un’unica serie di norme sulla protezione dei dati per tutte le imprese che operano nell’UE, indipendentemente dalla loro sede e dalle loro attività. Lo scopo di questo regolamento è quello di garantire alle persone un maggiore controllo sui loro dati personali, così come quello di garantire alle imprese condizioni di parità e uniformità all’interno dell’Unione Europea.

Ecco le principali caratteristiche e il funzionamento del Regolamento comunitario

Definizione di dati personali e tipologie

il GDPR definisce “dato personale”, come: qualsiasi informazione riguardante una persona fisica identificata o identificabile. Il GDPR, infatti, non parla più di “dati sensibili”, ma introduce il concetto di “dati giudiziari”. Questi sono identificabili con determinate categorie di dati, che rivelino:

  • L’origine razziale o etnica
  • Le opinioni politiche
  • Le convinzioni religiose o filosofiche
  • L’appartenenza sindacale
  • I parametri genetici, biometrici (es. impronta digitale) e relativi allo stato di salute
  • L’orientamento e la vita sessuale
  • Le condanne penali, i reati e connesse misure di sicurezza

Il Regolamento parte quindi da questa categorizzazione per definire quattro diverse tipologie di dati personali, diversificate in base alla modalità di rilevazione.

I dati possono essere:

1. Provided, cioè forniti consapevolmente dall’utente (es. registrazione)

2. Observed, cioè desumibili dalla navigazione dell’utente

3. Derived, cioè derivati da una precedente raccolta (es. profilazione)

4. Inferred, cioè aggregati su cui vengono fatte previsioni statistiche

Fra i diversi tipi di dati, quelli che potrebbero sembrare più importanti sono quelli economici (es. il PIN, l’IBAN o il numero di carta di credito); ma in realtà questi dati sono modificabili ed è dunque possibile limitare considerevolmente il danno di una loro possibile diffusione.

I dati più rilevanti, invece, sono i nostri dati di navigazione, i gusti, le abitudini e addirittura i dati biometrici di uno smartwatch. Questi sono dati ancora più preziosi, in quanto non sono modificabili e spesso sono indicativi di caratteristiche della persona che possono essere identificate e sfruttate in vario modo senza il consenso dell’interessato.

Principi fondamentali e applicazione del GDPR

È fondamentale, come abbiamo già evidenziato, difendere questi dati da un possibile accesso illecito, così come è estremamente rilevante che il processo di acquisizione sia il più sicuro possibile e che gli errori vengano limitati.

Ecco i sei principi fondamentali ai quali il GDPR prevede che si debba ottemperare per proteggere i dati:

1. Liceità, correttezza e trasparenza nei confronti dell’Interessato.

2. Limitazione delle finalità, ovvero i dati devono essere raccolti per finalità determinate, esplicite, legittime e trattati in base ad esse.

3. Minimizzazione dei dati, che devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità dichiarate.

4. Esattezza, ciò implica che i dati siano precisi ed aggiornati oppure tempestivamente rettificati o eliminati.

5. Limitazione della conservazione, che permette di conservare i dati solo per il tempo necessario alla finalità del trattamento.

6. Integrità e riservatezza, che devono tutelare i dati dalla diffusione, dalla perdita e dalla distruzione.

A questo punto, per applicare concretamente il regolamento ed attuare correttamente le norme sancite dal GDPR, il Titolare del trattamento deve fornire a ciascun Interessato un’informativa, contenente tutti i dettagli relativi al trattamento dei dati personali.

Caratteristiche e tempistiche dell’informativa

Quali sono le caratteristiche fondamentali dell’informativa e le sue modalità di applicazione?

Prima di tutto, l’informativa può essere fornita in forma scritta (in formato cartaceo o elettronico), o con altri mezzi, inclusa la forma orale. Deve essere concisa e trasparente; intellegibile, ovvero compilata con un linguaggio semplice, e accessibile. Dev’essere chiaramente differenziata dalle condizioni contrattuali e comprensibile da un membro medio del pubblico di riferimento previsto.

L’informativa, per essere completa, deve contenere tutti i dettagli del trattamento. In particolare deve essere fatta menzione a:

  • l’identità e i dati di contatto del Titolare del trattamento, del suo Rappresentante e dell’eventuale Responsabile della protezione dei dati (il DPO);
  • le finalità del trattamento e la base giuridica;
  • gli eventuali destinatari e categorie di destinatari dei dati personali;
  • l’intenzione del Titolare di trasferire i dati personali a un Paese extra UE o a un’organizzazione internazionale;
  • il periodo di conservazione dei dati personali;
  • l’esistenza dei diritti esercitabili dall’Interessato;

A questo punto vi è una differenziazione in base alla modalità di raccolta dei dati:

  • se i dati vengono raccolti presso terzi, l’informativa dovrà contenere anche le categorie dei dati personali trattati e la fonte da cui hanno origine i dati, segnalando se essi provengono da fonti accessibili al pubblico;
  • se i dati sono raccolti direttamente presso l’Interessato, l’informativa deve essere fornita contestualmente alla raccolta dei dati e prima del trattamento;
  • se i dati non sono raccolti presso l’Interessato, l’informativa deve essere fornita in un tempo ragionevole e comunque non superiore ai 30 giorni successivi all’acquisizione

Il consenso dell’interessato

Una volta ricevuta l’informativa, l’Interessato può manifestare la sua volontà prestando il suo consenso al trattamento dei dati.

Per evitare confusione il GDPR sancisce al suo interno alcune caratteristiche imprescindibili alla base del consenso. Il consenso, infatti, deve essere sempre:

  • Libero, dunque privo di condizionamento.
  • Informato, ovvero preceduto da un’informativa.
  • Inequivocabile, ovvero deve esserci certezza che sia stato prestato.
  • Specifico per ciascuna finalità.

Infine, bisogna sottolineare che il consenso non è obbligatorio e può essere revocato in ogni momento.

Il regolamento impone al Titolare del trattamento di dimostrare i consensi acquisiti.

Per questo motivo tutti i presunti consensi dei quali non viene conservato un riferimento o basati su una forma di azione più implicita (come ad esempio una casella preselezionata) non sono conformi alla normativa e devono essere rinnovati.

Le figure di riferimento del GDPR

Le figure di riferimento coinvolte dal GDPR sono: l’Interessato, il Titolare o i Contitolari, il Responsabile e il Data Protection Officer (DPO). Vediamo quindi le loro caratteristiche, i diritti e le responsabilità dei soggetti che sono presi in considerazione dal regolamento.

Gli interessati: nuovi diritti e garanzie

Il GDPR nasce con l’obiettivo di tutelare i dati personali delle persone fisiche che nel Regolamento vengono definite “Interessati del trattamento”.

Il Regolamento conferisce agli Interessati una serie di diritti e garanzie, alcuni dei quali sono stati mantenuti dalla precedente normativa, mentre altri sono stati introdotti ex novo.

I nuovi diritti e le garanzie introdotte dal GDPR sono:

  • il diritto ad essere informati. La persona a cui i dati si riferiscono ha cioè il diritto di sapere in modo chiaro e trasparente chi e come tratta i suoi dati personali;
  • il diritto di accedere ai propri dati personali. L’Interessato può quindi riconoscere in ogni momento quali sono i dati personali trattati dal Titolare, per quali finalità e altre informazioni relative;
  • il diritto alla rettifica, ovvero l’Interessato può chiedere modifiche ai propri dati personali qualora ritenga che non siano accurati o aggiornati;
  • il diritto di revoca, in qualsiasi momento il consenso precedentemente concesso;
  • il diritto di opporsi al trattamento, totalmente o parzialmente (per alcuni specifici tipi o finalità di trattamento);
  • il diritto alla cancellazione;
  • il diritto all’oblio. Il diritto di cancellare informazioni rese pubbliche in passato ma per le quali è venuto meno l’interesse iniziale alla diffusione;
  • il diritto alla portabilità dei dati, che conferisce all’Interessato la possibilità di ricevere i propri dati personali o chiederne il trasferimento tra un Titolare e l’altro.

Il titolare e i contitolari

Oltre all’Interessato, l’altra figura protagonista del GDPR è il Titolare.

Il Titolare (o controller) è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che singolarmente (o insieme ad altri) determina le finalità e i mezzi del trattamento dei dati personali.

Qualora due o più soggetti si trovino contemporaneamente, ciascuno per la propria area di competenza, ad agire come titolari del trattamento, questi sono definiti Contitolari. La contitolarità deve essere disciplinata attraverso un accordo interno che ripartisca tra i Contitolari le responsabilità rispetto agli obblighi del GDPR.

L’accountability

L’accountability è uno dei pilastri fondamentali del GDPR, esso infatti cambia il precedente sistema formalistico introducendo la responsabilizzazione (accountability) del Titolare dei dati.

Il Titolare dei dati è infatti colui che ha la responsabilità di decidere le modalità con cui uniformarsi al GDPR. Egli deve essere in grado di dimostrare, attraverso un idoneo sistema documentale di gestione della privacy, la conformità al GDPR e le motivazioni delle scelte effettuate.

Deve quindi tenere conto della natura, dell’ambito, del contesto delle finalità e dei rischi dei trattamenti pianificati. Deve inoltre mettere in atto misure tecniche e organizzative per garantire la conformità al GDPR.

Il responsabile del trattamento il contratto con il titolare

Allo stesso tempo, un’altra figura di rilievo all’interno del Regolamento è il Responsabile del trattamento. Si definisce con questo appellativo la persona fisica o giuridica, l’autorità pubblica, il servizio o l’organismo, che tratta i dati personali per conto del Titolare del trattamento.

Questa figura ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR e a garantire la tutela dei diritti dell’interessato. È per questo che i trattamenti messi in atto dal Responsabile sono tassativamente disciplinati da un contratto (o altro atto giuridico) che lo vincoli al Titolare.

Devono essere determinati contrattualmente:

  • la materia disciplinata;
  • la durata del trattamento;
  • la natura e le finalità del trattamento;
  • il tipo di dati personali e le categorie di interessati;
  • gli obblighi e i diritti del Titolare e del Responsabile.

Oneri del responsabile

Il Responsabile ha quindi un ruolo proattivo nei confronti del Titolare.

Egli, infatti, deve segnalare se ritiene che un’istruzione del Titolare violi il GDPR o altre disposizioni nazionali o comunitarie in termine di protezione di dati.

Inoltre, è il Responsabile che risponde dei danni subiti dagli Interessati, ma esclusivamente in due casi:

1. quando egli ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare;

2. quando non ha adempiuto agli obblighi del regolamento specificatamente diretti ai Responsabili.

Il Data Protection Officer: requisiti e compiti

Oltre al Titolare e al Responsabile, il GDPR sancisce l’obbligo di nominare un Data Protection Officer (DPO), ma solo in tre casi particolari.

Questa figura diviene necessaria se:

1. Il trattamento dei dati è svolto da un’autorità pubblica o da un organismo pubblico.

2. L’attività principale del Titolare o del Responsabile consiste nel monitoraggio regolare e sistematico degli Interessati su larga scala.

3. Il trattamento su larga scala è relativo a categorie particolari di dati o di dati relativi a condanne penali e reati.

Qualora sia dunque necessario, il DPO deve essere nominato sulla base di precisi requisiti specificati dal Regolamento.

Questi sono principi sono:

  • Autonomia e indipendenza.
  • Assenza di conflitto di interessi e capacità di assolvere ai propri obblighi.
  • Risorse finanziare, infrastrutture e (dove opportuno) personale.
  • Tempo per l’espletamento dei compiti e per la formazione.

Il DPO, quindi, diventa il fulcro del nuovo sistema di governance in tema di protezione dei dati personali ed ha per questo compiti definiti per legge.

Egli ha la responsabilità di controllare e supportare l’applicazione degli obblighi della nuova normativa, fornendo quando necessario anche la sua consulenza.

E, allo stesso tempo, è il punto di contatto con le Autorità di controllo e gli Interessati per questioni connesse al trattamento dei dati.

Protezione dai rischi, liceità e sanzioni

Approfondiamo ora gli strumenti atti a proteggersi dai possibili rischi per il trattamento dei dati personali.

Per far questo sarà necessario fare riferimento a quali sono le condizioni di liceità di utilizzo dei dati secondo il GDPR, e a quali sono le eventuali sanzioni in cui si può incorrere se queste condizioni non vengono rispettate.

Possibili rischi e danni: immateriali e materiali

Il trattamento di dati può comportare rischi, più o meno elevati, che possono ledere i diritti e le libertà delle persone fisiche e che possono cagionare danni materiali o immateriali. I possibili rischi riguardano: la distruzione o la modifica; l’accesso accidentale o illegale e la divulgazione non autorizzata dei dati personali trasmessi.

A causa di questi rischi, come dicevamo, le persone possono subire principalmente due categorie di danni: immateriali e materiali.

Per danni immateriali intendiamo: la perdita di controllo sui dati, la limitazione dei diritti dell’Interessato, una discriminazione dell’Interessato e il rischio di un danno alla reputazione.

Per danni materiali si intende invece: la violazione delle misure della sicurezza, perdite finanziarie o perdite di quote di mercato a favore di concorrenti e altri rischi di tipo economico.

Esempi di trattamenti a rischio elevato

Per rendere più chiaro il panorama dei rischi generati dal trattamento dei dati personali, il GDPR indica (art.35) alcuni esempi di trattamenti che possono comportare un rischio elevato. Riproponiamo dunque alcune delle situazioni di rischio evidenziate all’interno del Regolamento:

  • quando il trattamento consiste in una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, attraverso un procedimento automatizzato, che possono avere effetti giuridici o comunque significativi sulle persone fisiche stesse;
  • quando viene effettuato un trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
  • quando si effettua una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Approccio “risk-based”: misure tecniche e organizzative adeguate

Per prevenire, evitare e minimizzare i rischi, il GDPR ha introdotto un nuovo approccio metodologico definito risk-based. Questo è basato sulla protezione dei dati dell’utente e sulla valutazione dell’effettivo rischio per ogni società.

La valutazione del rischio (risk assessment) è un insieme di attività volte a identificare i rischi, calcolarne il livello e decidere se sono accettabili o da mitigare.

Questa diviene quindi fondamentale nel contesto descritto dal Regolamento.

Il GDPR prevede, infatti, che il Titolare e il Responsabile del trattamento mettano in atto misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, basandosi sulla sua valutazione.

In questo devono tenere conto: dello stato dell’arte; dei costi di attuazione; della natura, dell’ambito, del contesto; delle finalità e dei rischi del trattamento.

Ed è quindi necessario capire quali siano le misure adeguate che la situazione concreta richiede di adottare. Osserviamo alcune delle misure tecniche e organizzative che si possono adottare.

Alcuni esempi di misure tecniche possono essere:

  • la pseudonimizzazione;
  • la cifratura;
  • l’inserimento della privacy nei processi e nell’organizzazione aziendale già nella fase di progettazione (privacy by design);
  • la protezione per impostazione predefinita che comporti il trattamento solo dei dati strettamente necessari (privacy by default);
  • la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  • il ripristino tempestivo dei dati e dell’accessibilità in caso di incidente fisico o tecnico.

A proposito delle misure organizzative, invece, dobbiamo evidenziare che esse possono riguardare:

  • la designazione di responsabili del trattamento e referenti interni;
  • la nomina di un DPO;
  • la creazione di policy, di disciplinari e di linee guida;
  • l’esecuzione di corsi di formazione per istruire i soggetti interessati;
  • l’esistenza di procedure interne.

Questi sono solo alcuni esempi. Caso per caso deve essere effettuata una valutazione, scegliendo le misure adatte. Misure che devono essere relative sia alla tipologia di trattamento, sia alle finalità perseguite. Inoltre devono essere coerenti con la natura dei dati trattati, i diritti e le libertà in gioco.

Criteri di valutazione e condizioni di liceità

Per determinare quali misure adottare, si devono tenere in considerazione anche i rischi e i costi che la loro implementazione comporta. Inoltre, periodicamente devono essere verificate e valutate per assicurarne l’efficacia nel tempo.

Una volta ottemperate tutte le misure organizzative e di sicurezza, i dati possono essere trattati secondo le condizioni di liceità sancite dal GDPR.

Affinché il trattamento dei dati sia lecito deve ricorrere almeno una delle seguenti condizioni:

  • l’interessato ha prestato il proprio consenso;
  • il trattamento è strettamente necessario all’esecuzione di un contratto o di misure pre-contrattuali di cui l’Interessato è parte;
  • il trattamento è necessario per adempiere a un obbligo legale di cui è soggetto il Titolare;
  • serve per salvaguardare interessi vitali dell’Interessato;
  • è necessario per l’esecuzione di compiti di interesse pubblico;
  • persegue un legittimo interesse del Titolare del trattamento a condizione che tale interesse legittimo sia perfettamente bilanciato con la libertà e i diritti dell’Interessato.

L’organo competente a irrorare le sanzioni è il Garante che dovrà tenere presenti:

  • la natura, la gravità e la durata della violazione;
  • il carattere doloso o colposo della violazione;
  • le categorie di dati personali interessate dalla violazione;
  • eventuali precedenti violazioni commesse.

Le sanzioni: amministrative e penali

Qualora non vengano ottemperati gli obblighi sanciti dal GDPR si può incorrere in sanzioni amministrative e in sanzioni penali.

Le sanzioni amministrative più alte arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo e si applicano a: violazioni dei principi del trattamento, incluse le condizioni per il consenso; violazioni dei diritti degli Interessati e inosservanza delle norme in tema di trasferimento internazionale dei dati.

Le sanzioni amministrative più basse arrivano fino a 10 milioni di euro o al 2% del fatturato globale annuo e si applicano alla violazione delle obbligazioni di Titolari e Responsabili.

Le sanzioni penali, decretate dal legislatore italiano, riguardano invece:

  • il trattamento illecito di dati personali;
  • l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala;
  • le false dichiarazioni rese al Garante;
  • l’inosservanza dei provvedimenti del Garante.

Dopo aver analizzato i rischi che il trattamento dei dati personali può comportare, le misure di protezione, le condizioni di liceità di utilizzo dei dati e le eventuali sanzioni qualora non fossero rispettate, concludiamo evidenziando nuovamente l’importanza di questo Regolamento.

Nella società contemporanea, che produce incessantemente un’innumerevole quantità di dati, diventano sempre più importanti le modalità attraverso le quali questi dati vengono rilevati e analizzati.

Nel momento in cui si vuole usufruire delle possibilità offerte dai Big Data, la privacy diviene un tema fondamentale e imprescindibile.

È in questo contesto che è stato steso il GDPR, sia per far luce su un processo delicato e per limitarne i rischi, sia per muovere un passo avanti nella regolamentazione delle infrastrutture digitali e delle questioni politico-sociali da esse generate.

Su questo argomento

Sperimentare in anticipo per risolvere i problemi: l’esempio del Comune di Cesena