GDPR - Dubbi e domande frequenti

Si avvicina l’entrata in vigore del nuovo GDPR, il Regolamento Europeo per la Protezione dei dati personali: il 25 maggio 2018 diventerà ufficialmente la nuova normativa di riferimento in materia, perciò diventa sempre più urgente dare risposta a dubbi e perplessità in merito al nuovo decreto.

Cosa accade dopo il 25/05/2018 e come gestire la transizione dal Codice Privacy al GDPR?

A partire dal 25/05/2018 troverà piena applicazione il Regolamento Generale per la Protezione dei Dati personali, Reg. (UE) 2016/679, noto anche come GDPR. Occorre gestire questo momento di transizione dalla vecchia norma, D.Lgs. 196/2003, a valore esclusivamente nazionale, a quella nuova di portata europea e prevalente su ogni indicazione nazionale con essa in contrasto.

Va immediatamente chiarito che tale data non è prorogabile da parte del Governo o del Parlamento italiani o di qualunque altro paese: pertanto la data limite rimarrà il 25 maggio.

Purtroppo il quadro normativo (che oltre al regolamento comprende le leggi di adeguamento nazionali, le linee guida e le indicazioni operative compresi i modelli standard) non è ancora completo e ben definito, non solo in Italia ma anche in altri paesi; pertanto ci vorrà ancora del tempo prima di ragionare su una situazione chiara e definire compiutamente quanto è necessario predisporre.

Anche alcune autorità di controllo, i cosiddetti “Garanti”, compreso quello italiano, con la consapevolezza della situazione, pur senza poter determinare una vera proroga, hanno ritenuto di differire l’applicazione dei provvedimenti di loro competenza, tra l’altro, in merito al monitoraggio e vigilanza sulla corretta applicazione del Regolamento fino a 6 mesi (si veda a tal proposito, il relativo documento del Garante). Ad esempio l’Autorità garante francese (CNIL) ha dichiarato l’istituzione di un “periodo di grazia” durante il quale non sanzionerà le aziende che, a seguito di ispezioni, dovessero risultare inadempienti rispetto ai nuovi obblighi introdotti dal GDPR, purché i titolari siano in buona fede, dimostrino di avere avviato un processo di adeguamento e uno spirito di collaborazione con l’Autorità. Secondo questa indicazione, comunque, resteranno sanzionabili le condotte che violano regole già consolidate da tempo nella normativa nazionale e confermati dal GDPR.

Per questo motivo, abbiamo preparato un piccolo vademecum sulle principali informazioni da conoscere sul nuovo regolamento.

Ci siamo soffermati in particolare su:

la classificazione dei dati;
le modifiche da fare sulle informative privacy esistenti, per adeguarle rapidamente al GDPR;
quando è necessario nominare un Responsabile per la protezione dei dati (RPD).

1 – Come si possono classificare i dati?

Esistono diverse categorie di dati personali.

Le categorie particolari di dati personali, che rivelano aspetti più “delicati” della vita di un individuo, sono quelli a cui occorre prestare attenzione con il nuovo Regolamento.

Questi riguardano:
(S1) l’origine razziale o etnica;
(S2) le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale;
(S3) la salute;
(S4) la vita sessuale;
(S5) l’orientamento sessuale della persona.

Sono altresì compresi i dati genetici e biometrici.
(G) I dati genetici sono quei dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.
(B) I dati biometrici sono quei dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

A questi si aggiungono:
(C) i dati relativi a condanne penali e reati o a connesse misure di sicurezza;
(I) i dati personali identificativi (es. Documenti di identità, certificati di firma, carte nazionali dei servizi, codici fiscali, matricole del Libro unico del lavoro, matricole universitarie, ecc.);
(IMG) immagini e video di persone identificate o identificabili (es. Primi piani o gruppi ravvicinati);
(E) i dati personali economici (es. Reddito, proprietà, rating finanziari, RAL, ecc.);
(P) i dati personali non rientranti nelle categorie precedenti.

2 – Come adeguare rapidamente le informative privacy esistenti al nuovo GDPR?

Molte delle informative privacy esistenti sono valide con il Decreto Legislativo 196/03, ma saranno da adeguare al nuovo Regolamento Europeo in materia di protezione dei dati personali. Come farlo rapidamente?

Premesso che occorrerebbe una revisione completa delle informative, sulla base della revisione della mappatura dei trattamenti e dei relativi rischi per i diritti e le libertà fondamentali delle persone, in particolare per quanto riguarda:

la base giuridica dei trattamenti, nel caso in cui il consenso non sia più il presupposto principale di legittimità;
il periodo di conservazione;
il trasferimento di dati fuori dallo spazio economico europeo (Unione Europea ed alcuni altri paesi);
le decisioni automatizzate e la profilazione.

Ecco una rapida guida per adattare le informative pre-esistenti, conformi al D.Lgs 196/03.

Sostituire i riferimenti al D.Lgs.196/03 con quelli al Reg.(UE) 2016/679, avendo cura di non citare più gli articoli del previgente regolamento (ad es. Articoli 7, 13, 23, 24, 31, 34, ecc.)
Inserire, dopo il paragrafo relativo alle modalità di trattamento, una frase che indichi fino a quando saranno conservati i dati. Ad esempio: “I dati saranno conservati fino al termine della prescrizione legale per difendersi, ovvero far valere un diritto in sede giudiziaria, dopo che si sarà esaurito lo scopo (finalità del trattamento) per il quale i dati sono stati raccolti”.
Inserire, all’interno del paragrafo relativo alla comunicazione o diffusione dei dati, un’indicazione che definisca le modalità di trasferimento dei dati all’estero. Ad esempio: “I dati personali non saranno trasferiti a un destinatario in un paese terzo o a un’organizzazione internazionale al di fuori dell’Unione Europea (UE) o dello Spazio Economico Europeo (SEE)”.
Nel caso in cui il trasferimento all’estero avvenga, occorre distinguere:
- se avviene solo nella UE / SEE, si ricade nel caso espresso al punto n. 3.
- se avviene al di fuori della UE / SEE, la frase dovrà indicare che “i dati personali saranno trasferiti a un destinatario in un paese terzo o a un’organizzazione internazionale al di fuori dell’Unione Europea (UE) o dello Spazio Economico Europeo (SEE), nella fattispecie in […]: è cura del Titolare garantire che, in assenza di una decisione di adeguatezza della Commissione, sussistano garanzie adeguate per i diritti e le libertà fondamentali degli interessati”.
Aggiornare il paragrafo relativo ai diritti degli interessati, rimuovendo la citazione all’articolo 7 ed eventualmente a tutto il suo contenuto, sostituendolo con la seguente dicitura: “In ogni momento l’interessato potrà: esercitare i suoi diritti (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, assenza di processi di decisione automatizzati), secondo quando previsto nei confronti del titolare del trattamento, ai sensi degli artt. dal 15 al 22 del GDPR; proporre reclamo al Garante (www.garanteprivacy.it); e qualora il trattamento si basi sul consenso, revocare tale consenso prestato, tenuto conto che la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca”.

Quanto sopra indicato, è un’estrema semplificazione del processo da seguire, per aggiornare rapidamente i propri documenti e aver modo di revisionarli in seguito con calma.

3 – Quando si deve nominare un Responsabile per la Protezione dei Dati?

Il Responsabile della Protezione dei Dati (RPD, in inglese DPO – Data Protection Officer), ai sensi del Reg. (UE) 2016/679 art. 37, è una nuova figura che affianca sia il titolare, sia il responsabile del trattamento dei dati, e in alcuni casi è obbligatoria.

Vige l’obbligo di nominare il DPO quando:

Il trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali.
Le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
Le attività principali, del titolare o del responsabile del trattamento, consistono nel trattamento su larga scala di categorie particolari di dati personali (sensibili, genetici, biometrici identificativi) o di dati giudiziari, relativi a condanne penali e reati.
Nei casi previsti dalle leggi nazionali e UE (attualmente mancanti), è ulteriormente specificato.

Esistono alcune linee guida interpretative emanate dal Gruppo WP29, in cui sono chiariti e definiti i seguenti termini e le entità sopra citate:

Autorità o organismo pubblico
Attività principale
Monitoraggio regolare
Monitoraggio sistematico

Per “autorità pubblica” o “organismo pubblico”, vanno intesi:
- Le persone fisiche o giuridiche, di diritto pubblico o privato, che svolgono funzioni pubbliche e/o esercitano pubblici poteri. Ad esempio: trasporti pubblici, forniture idriche ed elettriche, infrastrutture stradali, emittenti radiotelevisive pubbliche, istituti per l’edilizia pubblica o organismi di disciplina professionale.
- Gli “enti pubblici” e “organismi di diritto pubblico” contenuti nell’art. 2, paragrafi 1 e 2, della direttiva 2003/98/CE del Parlamento europeo e del Consiglio del 17 novembre 2003, relativa al riutilizzo dell’informazione del settore pubblico, cioè:
  1. “ente pubblico”: le autorità statali, regionali o locali, gli organismi di diritto pubblico e le associazioni formate da una o più di tali autorità oppure da uno o più di tali organismi di diritto pubblico;
  2. “organismo di diritto pubblico”, qualsiasi organismo:
    - istituito per soddisfare specificatamente bisogni di interesse generale, aventi carattere non industriale o commerciale;
    - dotato di personalità giuridica;
    - in cui si ritrova almeno una delle seguenti condizioni:
      1. la cui attività è finanziata in modo maggioritario dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico;
      2. la cui gestione è soggetta al controllo di questi ultimi;
      3. il cui organo d’amministrazione, di direzione o di vigilanza è costituito da membri più della metà dei quali è designata dallo Stato, da autorità regionali o locali o da altri organismi di diritto pubblico.
Per “attività principale” si devono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento, che non escludono quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte.
Per “monitoraggio regolare” si intende almeno uno dei seguenti significati:
- avviene in modo continuo;
- avviene a intervalli definiti per un arco di tempo definito;
- è ricorrente o ripetuto a intervalli costanti;
- avviene in modo costante o a intervalli periodici.
Per “monitoraggio sistematico” si intende almeno uno dei seguenti significati:
- avviene per sistema;
- è predeterminato, organizzato o metodico;
- ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
- è svolto nell’ambito di una strategia.

Sono esempi di “monitoraggio regolare e sistematico”:

tracciamento e profilazione su Internet (anche per finalità di pubblicità comportamentale);
curare il funzionamento di una rete di telecomunicazioni;
prestazione di servizi di telecomunicazioni;
reindirizzamento di messaggi di posta elettronica;
profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);
tracciamento dell’ubicazione, per esempio da parte di app su dispositivi mobili;
programmi di fidelizzazione;
pubblicità comportamentale;
monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
utilizzo di telecamere a circuito chiuso;
dispositivi connessi quali contatori intelligenti, automobili intelligenti;
dispositivi per la domotica;
internet of things, industria 4.0;
altro.

Il regolamento non dà invece una specifica definizione del concetto di “larga scala”, spetta quindi al singolo soggetto stabilire se il proprio trattamento possa essere considerato “su larga scala”, tenendo conto dei seguenti fattori:

il numero di soggetti interessati dal trattamento in termini assoluti, cioè espressi in percentuale della popolazione di riferimento;
il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
la durata, cioè la persistenza, dell’attività di trattamento;
la portata geografica dell’attività di trattamento.

Nel caso non si ricada nell’obbligo del DPO, il Garante ne raccomanda comunque la designazione alla luce del principio di “accountability” che permea il Regolamento. Per maggiori informazioni, si veda la pagina dedicata con le relative FAQ.

Se si deve o si decide di nominare il DPO, occorre procedere al suo incarico mediante il modello qui linkato.

Infine, si deve procedere alla comunicazione dei dati del DPO al Garante mediante la presente procedura telematica, che prevede l’utilizzo della firma elettronica del legale rappresentante del titolare del trattamento.

Per evitare spiacevoli inconvenienti, visto la correttezza e il rispetto degli adempimenti in materia di privacy, consigliamo di:

prenotare un appuntamento con un consulente di Spaziottantotto, esperto di data-protection, per adeguare la documentazione e verificare le misure tecniche ed organizzative che potrebbero risultare necessarie oltre a quelle che già attuate;
attivare il percorso di formazione di aggiornamento degli incaricati del trattamento, sfruttando il nostro corso e-learning di 2 ore, cioè di formazione a distanza on-line, che abbiamo predisposto per soddisfare tale obbligo e che può essere assolto in autonomia e quanto prima;
attivare lo strumento di autocompilazione on-line su gdpr.spazio88.com, per dimostrare la propria buona fede e iniziare ad inserire le informazioni necessarie al consulente, per chiudere rapidamente l’attività di adeguamento della documentazione e di valutazione di eventuali misure tecniche ed organizzative ancora da adottare;
adottare la dichiarazione di conformità (compliance) che forniremo nelle more della realizzazione della documentazione definitiva, a seguito dell’adeguamento che sarà realizzato in collaborazione con il nostro consulente.

Non vi resta che contattarci tramite il nostro sito e indicarci il vostro interesse a ricevere il nostro servizio, indicando il mese in cui gradirebbe ricevere la visita del consulente.

La segreteria organizzativa, in base alle disponibilità, proporrà la data e l’orario della riunione e trasmetterà la modulistica per l’attivazione dei corsi di aggiornamento e dell’utenza per l’autocompilazione del questionario, con l’indicazione dei costi. Infine, ricevuta la conferma dell’appuntamento e delle iscrizioni, vi saranno inviati:

la dichiarazione di conformità che dovrete compilare e firmare;
le lettere di attivazione del corso con le credenziali nominative per accedere al portale e-learning;
le credenziali di accesso per accedere al questionario su gdpr.spazio88.com

In questo modo, potrete concentrarvi tranquillamente sulla vostra attività, senza dovervi preoccupare dei messaggi, a volte terrorizzanti, sul GDPR e sulla sua adozione, perché a quello ci penseremo noi!

Cookie	Durata	Descrizione
_GRECAPTCHA	6 months	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_gcl_au	3 months	Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services.
sbjs_current	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_current_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_migrations	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_session	1 hour	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_udata	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.

Cookie	Durata	Descrizione
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.

Blog