Informativa sul GDPR

Cos’è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) è un quadro giuridico progettato per proteggere la privacy delle persone nell’Unione europea (UE) e dare loro un maggiore controllo su come i propri dati personali vengono raccolti, elaborati e utilizzati.

Il GDPR si applica al trattamento dei dati personali in qualsiasi parte del mondo da parte di aziende costituite all’interno dell’UE. Si applica inoltre a livello globale a qualsiasi azienda al di fuori dell’UE che tratti i dati personali delle persone nel corso dell’offerta di beni e servizi all’interno dell’UE o del monitoraggio del comportamento dei consumatori nell’UE.

Il GDPR è stato recepito nelle leggi nazionali in tutta l’UE e nel Regno Unito.

Quali sono i requisiti fondamentali del GDPR?

Il GDPR è un passo positivo verso la creazione di maggiore fiducia e trasparenza tra organizzazioni e individui. Alcune delle aree che copre sono le seguenti:

• I dati personali relativi agli individui all’interno dell’UE: includono qualsiasi informazione relativa a un individuo o a un “interessato” che possa essere utilizzata per identificare direttamente o indirettamente tale persona. Ciò include non solo informazioni come nome, indirizzo e-mail o foto, ma anche carta di credito o dettagli bancari, informazioni sanitarie, affiliazioni politiche, religiose o di altro genere, casellario giudiziale o l’indirizzo IP di un computer. Non vi è alcuna distinzione ai sensi del GDPR tra i dati personali raccolti in un contesto business to consumer o business to business, tuttavia esistono altre leggi su come le comunicazioni elettroniche possono essere utilizzate, che differiscono quando si tratta direttamente con i consumatori.
• Come vengono trattate le informazioni personali: le informazioni personali possono essere raccolte ed elaborate solo se esiste una base giuridica per farlo. Il consenso è una base che può essere utilizzata per scopi di marketing diretto, tuttavia non è l’unica base giuridica. Altri motivi per il trattamento lecito dei dati personali ai sensi dell’articolo 6 del GDPR includono l’esecuzione di un contratto, il rispetto di un obbligo legale o quando esiste un “interesse legittimo” dell’azienda o di una terza parte che, a conti fatti, non violi i diritti alla privacy dell’individuo.
• I diritti delle persone: gli individui hanno il diritto di richiedere l’accesso ai loro dati personali, la correzione di errori nei loro dati personali, la cancellazione dei loro dati personali e/o l’esportazione dei loro dati personali. Possono anche opporsi al trattamento dei loro dati personali o chiedere che le attività di trattamento siano limitate.
• Violazioni dei dati: sussiste l’obbligo di segnalare determinati tipi di violazioni dei dati all’autorità di vigilanza competente e alle persone interessate (per il Regno Unito l’autorità competente è l’Information Commissioner’s Office (ICO)).
• Sicurezza dei dati e del sistema: i dati personali devono essere protetti utilizzando misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato ai rischi per la privacy associati a un particolare dato personale durante tutto il suo ciclo di vita.
• Trasferimenti all’estero: i dati personali possono essere trasferiti al di fuori dell’Europa solo in determinate circostanze, tra cui: i) in paesi non europei che la Commissione europea abbia ritenuto in grado di offrire un livello adeguato di protezione dei dati;
  (ii) laddove le clausole standard di protezione dei dati approvate dalla Commissione europea siano utilizzate dalle parti interessate dal trasferimento; (iii) qualora siano in vigore codici di condotta o certificazioni approvati; o (iv) quando le “Norme vincolanti d’impresa” approvate dalla Commissione europea siano state adottate da gruppi societari.
• Trasparenza: le informative sulla privacy e i contratti con gli utenti devono essere semplici, chiari e facili da comprendere. Al momento della raccolta dei dati personali, dovrebbe essere chiarito, tra gli altri aspetti, a quale scopo saranno utilizzati i dati, come e per quanto tempo saranno conservati, sotto quale base giuridica verranno trattati e quali siano i diritti dell’individuo interessato. Una volta raccolti legalmente, i dati personali devono essere utilizzati solo per gli scopi per cui sono stati raccolti e rigorosamente in conformità alle informazioni fornite all’interessato.

Cosa implica il GDPR per le aziende?

Il GDPR implica chiarezza, onestà, trasparenza ed eticità nel trattamento dei dati personali. Si applica alle aziende che sono titolari del trattamento dei dati (la persona o azienda che determina come vengono trattati i dati personali) o responsabili del trattamento dei dati (la persona o azienda che tratta i dati personali in base alle istruzioni ricevute dal responsabile del trattamento dei dati). Le organizzazioni che rivestono questi ruoli devono assicurarsi di proteggere i dati che utilizzano e la privacy di coloro dai quali li hanno raccolti, come si farebbe con qualsiasi altra risorsa.

Ecco cinque semplici passaggi nella direzione della conformità al GDPR:

1. Proteggere i propri sistemi: assicurarsi che i sistemi che raccolgono, trattano e archiviano i dati personali siano sicuri. Vanno considerati aspetti come la sicurezza fisica (ad esempio l’uso di serrature), la sicurezza informatica (ad esempio programmi antivirus), la sicurezza del sistema (ad esempio un firewall), la sicurezza dei dati (ad esempio l’impiego di crittografia) e la sicurezza dei dispositivi (ad esempio l’autenticazione).
2. Documentare i propri flussi di dati: mappare i propri dati e i flussi di informazioni per poter eseguire una valutazione adeguata dei propri rischi per la privacy. Controllare quali dei propri prodotti e servizi raccolgono e trattano dati personali. Identificare quali informazioni personali vengono raccolte, per quale motivo vengono raccolte, come vengono utilizzate, condivise, archiviate, protette, conservate e smaltite. Identificare se i dati sono dati personali sensibili e se si è un controllore o un responsabile del trattamento di tali dati.
3. Avere una base giuridica per il trattamento: determinare la base giuridica per il trattamento dei dati personali e documentarla. Esistono sei tipologie di basi giuridiche su cui si può fare affidamento:
   • Consenso: quando si tratta di reale scelta e controllo. Il consenso deve essere inequivocabile, liberamente dato, informato ed essere conferito attraverso una chiara azione affermativa.
   • Interesse legittimo: può applicarsi laddove le informazioni personali vengano utilizzate in modi che l’interessato si aspetterebbe ragionevolmente, vi sia un impatto minimo e vi sia un interesse legittimo necessario affinché il trattamento abbia luogo.
   • Contratto: per adempiere agli obblighi contrattuali o in caso di richiesta di qualche azione, come ad esempio fornire un preventivo prima di stipulare un contratto.
   • Obbligo legale: per adempiere a una legge o a un obbligo di legge.
   • Interesse vitale: per proteggere la vita di qualcuno.
   • Incarichi pubblici: per funzioni pubbliche o incarichi di interesse pubblico.
   L’Information Commissioner’s Office dispone di uno strumento di orientamento interattivo sulla base giuridica che può aiutare a determinare quella più appropriata per il trattamento dei dati personali.
4. Rivedere le proprie comunicazioni e divulgazioni: rivedere e aggiornare le proprie informative sulla privacy per assicurarsi che riflettano le proprie attività di trattamento dei dati personali. Queste comunicazioni dovrebbero descrivere la base giuridica per il trattamento dei dati personali e divulgare chiaramente le terze parti con cui vengono condivisi i dati personali.Se si fa affidamento sul consenso, assicurarsi che le proprie richieste di consenso siano chiare e non comportino caselle di controllo preselezionate. Rivedere e aggiornare o determinare se sono necessarie altre dichiarazioni o divulgazioni relative alla raccolta, all’uso e al trattamento delle informazioni personali.
5. Stabilire politiche e procedure interne: stabilire linee guida e processi formalizzati per poter gestire situazioni come reclami sulla privacy, violazioni dei dati e richieste di accesso alle informazioni personali.

Sarebbe opportuno anche interpellare i propri consulenti legali su ciò che è necessario fare per la conformità al GDPR.

Altre risorse sul GDPR

È possibile ottenere ulteriori informazioni utili sul GDPR dall’ Information Commissioner’s Office (ICO) del Regno Unito nella Guida al GDPR.

Questo materiale è fornito a titolo informativo generale e non ha lo scopo di offrire consulenza legale. Per comprendere il pieno impatto del GDPR su qualsiasi attività di trattamento dei dati, consultare un professionista legale e/o della privacy indipendente.