Cos’è il GDPR? GDPR è l’acronimo di General data protection regulation. Il GDPR è stato emanato dall’UE nell’aprile del 2016 con il regolamento 679/2016 ed è diventato efficace negli Stati membri nel maggio del 2018.
Il Regolamento Europeo sulla Privacy ha come oggetto il trattamento e la libera circolazione dei dati delle persone fisiche e nasce dall’esigenza di adeguare la normativa sulla privacy all’innovazione tecnologica. Il GDPR risponde anche alla necessità di agevolare la circolazione dei dati all’interno dell’Unione Europea attraverso una normativa uniforme.
Quando parliamo di GDPR con riferimento all’Italia dobbiamo prendere in considerazione due normative:
- il D.lgs. 10 agosto 2018 n. 101 che ha modificato il Codice privacy del 2003 per adeguare la normativa nazionale a quella europea;
- il D.lgs. 196/2003 che rimane un punto di riferimento laddove la normativa europea lascia spazio all’autonomia decisionale nazionale, ad esempio, per quanto riguarda la determinazione dell’età in cui il minore può dare il consenso al trattamento dei dati personali o in relazione all’estensione delle violazioni del regolamento e delle relative sanzioni.
La ratio del regolamento per la privacy è dare ai cittadini gli strumenti che permettano di avere un maggior controllo sui loro dati. La legislazione è finalizzata a disciplinare le modalità con cui i dati vengono raccolti, condivisi e utilizzati.
In questo articolo vediamo insieme cosa significa GDPR, cosa significa GDPR privacy e cosa è necessario fare per essere conformi.
CONTENUTO DELL'ARTICOLO
- 1 Cos’è il GDPR? Scopriamo il Regolamento generale sul trattamento dei dati
- 2 GDPR chi deve adeguarsi al regolamento?
- 3 Quali sono i soggetti previsti General Data Protection Regulation?
- 4 Quali dati protegge il GDPR?
- 5 Quali sono i principi fondamentali del GDPR?
- 6 Quali sono gli obblighi previsti dal GDPR?
- 7 GDPR e inbound marketing
- 8 Quali sono le sanzioni per chi non si adegua al GDPR?
- 9 Cos’è il GDPR? Vediamolo in consulenza!
Cos’è il GDPR? Scopriamo il Regolamento generale sul trattamento dei dati
Cos’è il GDPR? Il Regolamento (UE) 2016/679 è il punto di riferimento per tutte le legislazioni in materia di privacy dei dati, elaborate a livello mondiale dopo la sua entrata in vigore.
Il GDPR è il frutto di quattro anni di trattative fra gli Stati membri che hanno portato all’elaborazione del regolamento privacy e della direttiva del 2016.
Le novità rispetto alla legislazione precedente sono due:
- le persone vengono rese consapevoli dei propri diritti rispetto al trattamento dei dati e diventano parti attive nel consentire o meno il trattamento;
- il sistema di adeguamento da parte delle imprese è incentrato sulla sicurezza – dato che la maggior parte dei dati viaggia online -, ma anche sulla forte responsabilizzazione del titolare del trattamento.
Guarda il video
GDPR chi deve adeguarsi al regolamento?
Gli obblighi previsti dal GDPR sono a carico di due soggetti:
- le imprese che hanno sede all’interno dell’Unione Europea, a prescindere dal luogo in cui i dati vengono trattati;
- le aziende che non hanno sede in Europa, ma che trattano i dati di cittadini dell’Unione Europea.
Il regolamento definisce “impresa” una qualsiasi persona fisica o giuridica che esercita un’attività economica.
Quali aziende devono essere conformi al GDPR?
Facciamo chiarezza su due punti fondamentali.
- Tutte le imprese che trattano dati sono soggette agli obblighi GDPR.
Non ci sono differenze fra liberi professionisti, piccole-medie imprese e grandi imprese, né fra pubblica amministrazione e imprese private. La distinzione operata dal GDPR non è relativa a chi tratta i dati ma alla tipologia di dati trattati.
- Tutte le persone fisiche godono della tutela dei dati, a prescindere dal rapporto che hanno con l’impresa.
Il diritto alla protezione dei dati vale per dipendenti, collaboratori, clienti o prospect; di conseguenza tutte le imprese sono soggette all’obbligo di adeguamento.
La PA e le imprese private
In merito agli adempimenti normativi, il GDPR non distingue le imprese pubbliche dalle imprese private, ma l’interesse pubblico è uno dei parametri con cui si stabilisce la liceità del trattamento: per questo motivo le PA hanno obblighi differenti rispetto alle imprese private.
Il GDPR consente il trattamento di alcuni dati – in particolare quelli sensibili – quando è necessario per motivi di interesse pubblico o per eseguire un compito connesso all’esercizio dei poteri pubblici. Per quanto riguarda la diffusione dei dati, cioè la loro pubblicazione online, è possibile solo nei casi previsti dalla legge.
“Alessandro e il suo team sono veramente competenti e disponibili nell’aiutarti a trovare la soluzione migliore per le tue esigenze.Ho conosciuto sui Social Alessandro quando ho avviato la mia attività da assistente virtuale, l’ho seguito e ho sempre tratto preziosi consigli dai suoi contenuti fino a quando ho deciso di affidarmi a lui per la redazione del mio contratto e per essere a norma sul GDPR.Consiglio vivamente il team di Legal For Digital!”
Alessandra Barbera
Assistente virtuale freelance
Quali sono i soggetti previsti General Data Protection Regulation?
Il regolamento europeo privacy distingue più soggetti in funzione del ruolo che svolgono nel trattamento dei dati. Dalla normativa emerge un fitto ginepraio di figure che vale la pena conoscere per comprendere meglio il funzionamento del GDPR.
Vediamo insieme il ruolo del titolare del trattamento, responsabile del trattamento, autorizzato al trattamento, responsabile della protezione dati e interessato al trattamento.
Il Titolare del trattamento
Il GDPR definisce il titolare del trattamento dei dati come la persona fisica o giuridica che decide finalità e mezzi del trattamento. Se ci sono più titolari, parliamo di contitolarità. In questo caso deve essere redatto un regolamento interno per suddividere le responsabilità fra contitolari, in particolare rispetto al trattamento dei dati degli interessati. Gli interessati possono comunque rivolgersi indifferentemente all’uno o all’altro.
In riferimento al titolare del trattamento è necessario ricordare il principio di accountability, che stabilisce la piena responsabilità del titolare nell’organizzazione del proprio sistema di gestione della privacy.
Il Responsabile del trattamento
Il responsabile è la persona fisica o giuridica che tratta i dati per conto del titolare. La nomina a responsabile deve essere fatta tramite contratto o altro atto giuridico, che definisca quali dati vengono trattati, per quanto tempo e con quale finalità.
Attraverso l’atto sorgono gli obblighi in capo al responsabile del trattamento sia per quanto riguarda i dati dell’interessato, sia rispetto al titolare dei dati, nei cui confronti il responsabile ha un obbligo di assistenza.
Ogni professionista che tratta i dati degli interessati è responsabile del trattamento, perché è la realtà dei fatti che determina la responsabilità: ad esempio, un freelance che si occupa di marketing digitale e invia le newsletter per conto del suo cliente, è responsabile del trattamento.
La responsabilità nasce dal tipo di relazione che intercorre fra professionista e azienda cliente.
L’Autorizzato al trattamento
L’autorizzato al trattamento è colui che ha accesso ai dati e può trattarli solo se ha ricevuto specifiche istruzioni da parte del titolare o del responsabile del trattamento e sostituisce la figura dell’incaricato prevista nella legislazione precedente.
Il Responsabile della protezione dati, DPO
Il DPO è una persona qualificata in ambito giuridico con una conoscenza specialistica del GDPR perché assiste e supporta il titolare e il responsabile del trattamento nelle loro attività.
Il DPO deve:
- essere consultato dal titolare prima di prendere decisioni relative alla valutazione d’impatto;
- avere un ruolo attivo sulla formazione di tutti coloro che trattano i dati;
- avere gli strumenti per sorvegliare l’osservanza del regolamento.
Può essere nominato Responsabile del Trattamento un soggetto interno o esterno all’azienda, l’importante è che ne sia garantita l‘indipendenza e l’autonomia di spesa. Il DPO è anche il referente per le autorità di controllo.
Nonostante il Responsabile della Protezione dati rappresenti una figura essenziale per l’adeguamento delle aziende alla normativa, il regolamento europeo ne obbliga la designazione solo in tre casi specifici:
- quando vengono trattati dati su “larga scala”. Con questa espressione ci riferiamo all’estensione geografica, alla quantità di dati trattati e alla durata temporale del trattamento;
- quando il trattamento è effettuato da soggetti pubblici, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni;
- quando vengono trattati, sempre su “larga scala”, i dati sensibili o i dati giuridici.
GDPR: l’Interessato al trattamento
È la persona fisica soggetta al trattamento dei dati. Nel GDPR troviamo i diritti dell’Interessato.
Il Diritto di trasparenza e informativa privacy
L’Interessato ha il diritto di conoscere tutte le informazioni relative al trattamento dei dati personali prima della raccolta e del trattamento degli stessi.
Il Diritto di accesso ai dati personali
L’Interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e a tutte le informazioni.
Il Diritto di rettifica
L’Interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.
Il diritto di cancellazione
L’Interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
Il diritto alla portabilità dei dati personali
L’Interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti al titolare del trattamento.
Il Diritto di opposizione
L’Interessato ha il diritto di opporsi in qualsiasi momento – per motivi connessi alla sua situazione particolare -, al trattamento dei dati personali che lo riguardano quando il trattamento è basato sul perseguimento di scopi di pubblico interesse e/o sul legittimo interesse del titolare del trattamento.
La profilazione dell’Interessato
All’Interessato è riconosciuto il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo e significativo sulla sua persona
Tutti questi diritti si traducono nei rispettivi obblighi a carico del titolare del trattamento che deve rispondere in maniera tempestiva all’interessato e fornire i dati richiesti entro un mese dal ricevimento della richiesta.
Corso GDPR
22 lezioni di teoria e pratica
Cosa imparerai?
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Quali dati protegge il GDPR?
Non tutti i dati sono oggetto di protezione da parte del regolamento europeo privacy. Sono soggetti alla tutela della normativa GDPR soltanto i dati attraverso i quali una persona fisica può essere identificata, ovvero i dati personali.
All’interno della categoria dei dati personali, possiamo fare un’ulteriore distinzione che determina una diversa disciplina di tutela da parte del regolamento per i dati personali, dati particolari e dati giudiziari.
GDPR e dati personali
I dati personali sono quelli che consentono l’identificazione di una persona e si riferiscono a:
- nome associato al cognome;
- indirizzo;
- targa della macchina o di altro autoveicolo;
- e-mail identificativa;
- numero di telefono;
- foto;
- indirizzo ip;
- cookie;
GDPR e dati particolari
I dati particolari corrispondono ai dati sensibili e godono di una maggior tutela rispetto agli altri. Il GDPR stabilisce il divieto generale di trattare i dati particolari. Appartengono a questa categoria di dati:
- le convinzioni politiche;
- le credenze religiose;
- i dati biometrici;
- l’origine etnica;
- i dati sanitari.
Il regolamento europeo prevede casi eccezionali in cui anche questi dati possono essere trattati, per esempio in riferimento all’interesse pubblico degli stati membri; a situazioni specifiche come il trattamento necessario per finalità di medicina preventiva e di medicina del lavoro, all’interesse pubblico relativo ai motivi di sanità pubblica. In questi casi le ragioni di sicurezza prevalgono sul diritto alla privacy.
In ogni circostanza devono essere trattati i dati minimi indispensabili e per il tempo strettamente necessario al raggiungimento delle finalità.
GDPR e dati giudiziari
Sono tutti quei dati che rivelano l’esistenza di provvedimenti soggetti ad iscrizione nel casellario giudiziale in riferimento a:
- misure alternative alla detenzione;
- condanne penali definitive.
Questi dati rientrano nel novero dei dati sensibili, a cui però il GDPR dedica una disciplina a parte. I dati giudiziari possono essere trattati solo sotto controllo dell’Autorità pubblica e, rispetto a tutti gli altri dati, ricevono una tutela maggiore.
Quali sono i principi fondamentali del GDPR?
Alla base del GDPR ci sono i principi chiave che stabiliscono le modalità con cui possono essere trattati i dati personali. La privacy GDPR poggia su alcuni punti dai quali non è possibile prescindere. In assenza di questi asset il trattamento dei dati personali avverrebbe in contrasto al dettato del regolamento europeo privacy e richiederebbe un intervento dell’Autorità Garante Privacy.
Vediamo insieme quali sono i principi fondamentali su cui poggia il GDPR.
Principio di liceità e correttezza
Il GDPR elenca le basi giuridiche che determinano la liceità del trattamento. Queste possono essere suddivise in tre categorie.
- Interesse legittimo del titolare del trattamento. Contrariamente a quello che si potrebbe pensare, questa categoria non rappresenta l’escamotage per trattare tutti i dati: l’interesse va valutato caso per caso e il titolare deve essere in grado di dimostrare che l’interesse è prevalente rispetto ai diritti dell’interessato e lo deve fare documentando il processo decisionale che lo ha portato a questa scelta.
- Consenso dell’interessato che deve essere esplicito, informato e specifico per le finalità del trattamento.
- I casi di necessità espressamente previsti dal regolamento europeo.
Principio di trasparenza
Oltre a essere un diritto dell’interessato, determina anche la modalità con cui i dati possono essere trattati. Le finalità del trattamento devono essere trasparenti e i dati del titolare e tutte le informazioni relative al trattamento stesso devono essere accessibili.
Principio di limitazione dello scopo
I dati devono essere trattati solo per lo scopo legittimo per cui sono stati raccolti. Per questa ragione, devono essere rese note in maniera puntuale le finalità della raccolta dei dati.
Principio di minimizzazione dei dati
Il principio di minimizzazione dei dati non è nuovo, ma continua a essere importante in un’epoca in cui stiamo creando una grande quantità di informazioni. Il principio è pensato per garantire che le organizzazioni non chiedano più dati di quelli di cui hanno bisogno. Ad esempio, quando realizziamo una promozione per chiedere alle persone di iscriversi alla newsletter, è necessario chiedere solo l’indirizzo e-mail e non il numero di telefono.
Principio di esattezza
Devono essere trattati solo i dati esatti e aggiornati. Eventuali inesattezze devono essere corrette tempestivamente o cancellate.
Principio di limitazione della conservazione
I dati possono essere conservati solo per il tempo utile all’adempimento delle finalità per cui sono stati raccolti, dopodiché devono essere cancellati.
Principio di integrità e riservatezza
Il Titolare del trattamento deve utilizzare tecnologie in grado di garantire la protezione dei dati contro l’uso non autorizzato o illecito. Il principio di sicurezza dei dati era già stabilito nella legislazione precedente e il GDPR privacy non ha fatto altro che mettere per iscritto le pratiche migliori adottate nell’ultimo ventennio in materia di riservatezza del trattamento dei dati.
I dati personali devono essere protetti da “trattamenti non autorizzati o illeciti”, nonché da perdita, distruzione o danni accidentali. In parole povere, ciò significa che devono essere messe in atto protezioni adeguate alla sicurezza delle informazioni per assicurare che le informazioni non siano accessibili agli hacker o trapelino accidentalmente.
Il GDPR non impone l’adozione di specifiche misure di sicurezza, perché sono diverse in funzione del tipo di organizzazione. Una banca deve proteggere le informazioni in maniera più accurata di quanto deve fare il negozio di ferramenta che abbiamo sotto casa. Tuttavia, in generale, dovrebbero essere messi in atto controlli specifici di accesso alle informazioni, i siti web dovrebbero essere crittografati e la pseudonimizzazione dovrebbe essere incoraggiata.
Eccezioni
Il diritto degli interessati al controllo e alla gestione dei propri dati soccombe di fronte agli obiettivi di interesse pubblico generale dell’UE o degli Stati membri. Facciamo riferimento a ragioni di sicurezza nazionale, difesa, prevenzione o perseguimento di reati. Ma anche interessi economici e finanziari rilevanti.
Guida GDPR
GDPR senza segreti – Dai uno sguardo, clicca sull’immagine per l’anteprima della tua nuova guida legale
Quali sono gli obblighi previsti dal GDPR?
Gli obblighi GDPR hanno come obiettivo centrale la sicurezza dei dati trattati, perché questi sono esposti a un rischio fisiologico di violazione.
A differenza della precedente legislazione, il GDPR utilizza come parametri di adeguamento il budget e le misure adottate, che devono essere proporzionati alla quantità e alla tipologia dei dati trattati. Gli adempimenti sono gli stessi per le PMI come per le grandi imprese, ma non possiamo applicare il GDPR in maniera standardizzata perché ogni trattamento dei dati richiede un’analisi specifica e la predisposizione di misure personalizzate.
Per agevolare le aziende nell’adempimento degli obblighi che spesso sono troppo generici, il Garante della Privacy ha emesso delle linee guida di supporto.
Il GDPR e la valutazione del rischio
Per garantire un livello di sicurezza adeguato l’impresa deve fare un’analisi del rischio in relazione alla natura, all’oggetto, al contesto e alla finalità del trattamento, sia all’inizio dell’adeguamento sia periodicamente. Quest’obbligo è legato al principio di accountability a carico del Titolare: la valutazione del rischio è il presupposto necessario per l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati trattati, in relazione al rischio a cui sono esposti durante il trattamento.
In casi specifici, è obbligatorio utilizzare il Data Protection Impact Assessment (DPIA). Con l’acronimo DPIA ci riferiamo alla valutazione d’impatto, uno strumento obbligatorio quando il trattamento dei dati presenta un rischio elevato per i diritti e le libertà delle persone. La valutazione d’impatto serve a calcolare i danni potenziali alla privacy che si avrebbero se i dati fossero trattati con un determinato software, processo o qualsiasi altro strumento per il trattamento dei dati.
Il DPIA deve essere utilizzato in fase di progettazione del trattamento e la sua adozione permette di essere adempienti per quanto riguarda il rispetto dei principi di privacy by design e privacy by default.
I requisiti minimi del DPIA sono elencati nella normativa GDPR. L’adozione di questo strumento da parte del titolare anche nei casi in cui non sia obbligatorio, permette di dimostrare di aver agito in conformità al Regolamento europeo privacy.
Il GDPR e la redazione di un registro dei trattamenti
Il registro del trattamento è un documento interno nel quale inserire i dati trattati specificando finalità del trattamento e durata. Il GDPR elenca i contenuti minimi da inserire nel registro e stabilisce che il Responsabile del trattamento debba avere un registro separato da quello del Titolare. L’obbligatorietà di questo documento è legata al fatto che è il Titolare che deve sempre essere in grado di dimostrare la legittimità della raccolta dei dati.
Le piccole imprese possono beneficiare di alcune misure di semplificazione nella redazione del registro.
Il documento, cartaceo o elettronico, deve essere costantemente aggiornato.
Il GDPR e l’Informativa privacy
L’informativa è un documento da fornire all’utente ancor prima che diventi interessato. È il mezzo attraverso cui il titolare adempie agli obblighi di trasparenza e correttezza. Se la base giuridica del trattamento è il consenso, l’informativa è anche una condizione di legittimità del consenso. L’informativa è dovuta ogni volta in cui c’è un trattamento dei dati.
Secondo quanto stabilito dal GDPR, il documento deve specificare:
- quali dati sono trattati, con quali finalità e per quanto tempo saranno conservati;
- la base giuridica che legittima il trattamento dei dati;
- le generalità e recapiti del DPO, ove presente;
- l’eventuale cessione a terzi per iscritto.
Spesso c’è la prassi di terminare l’informativa con la richiesta di accettazione da parte dell’interessato. In realtà non sussiste nessun obbligo di accettazione: l’obbligo del titolare finisce con la messa a disposizione della policy.
Ascolta il podcast sul GDPR dell’avvocato Martino
Il GDPR e il Data breach
Il titolare ha sempre l’obbligo di registrare la violazione accidentale dei dati. In caso di grave rischio per la privacy degli interessati, ha l’obbligo anche di notifica al garante e agli interessati stessi. Nella valutazione della gravità del rischio vige il principio di accountability per cui sarà il Titolare del trattamento a decidere se è necessario oppure no notificare al garante e all’interessato.
Nomina di un Responsabile per la protezione dei dati o Data Protection Officer (DPO)
La nomina del DPO è obbligatoria solo in determinati casi, ma è sempre opportuna, vista la maggior competenza nel settore da parte del responsabile del trattamento. Il GDPR considera questa figura come un punto di riferimento essenziale per garantire il corretto trattamento dei dati.
GDPR e inbound marketing
Oltre agli obblighi appena citati, qualora si eserciti attività di marketing digitale bisogna attenersi a determinate regole che facilitano il rispetto della legge privacy e rendono più agevole lo svolgimento dell’attività online.
Vediamo quali sono le regole più importanti per chi si occupa di web marketing.
Il Form di contatto
Il form di contatto deve elencare in modo chiaro e trasparente tutte le finalità specifiche per cui saranno trattati i dati e l’interessato dovrà dare esplicito consenso per ognuna delle finalità.
Non possiamo richiedere più dati rispetto a quelli necessari per il raggiungimento della finalità (ad esempio, chiedere il numero di telefono quando è sufficiente l’indirizzo e-mail o l’indirizzo e-mail se il form serve per aderire ad un gruppo Facebook). Il form deve poi contenere il link alla privacy policy.
Il Sito web
Gli obblighi del GDPR per i siti web cambiano in base alla natura del sito: e-commerce, blog o sito vetrina. Così come cambiano in relazione al tipo di profilazione che viene effettuata attraverso il sito. Ci sono però adempimenti comuni a tutti i siti.
- Il cookie banner: in base al GDPR i dati acquisiti attraverso i cookie sono dati personali. Al primo accesso al sito internet gli utenti devono visualizzare il banner dei cookie per rilasciare il consenso al trattamento dei dati. Il banner deve rispettare le caratteristiche specifiche previste dalla Cookie Law. Il titolare deve raccogliere il consenso informato dell’utente prima di installare i cookie sul sito e il consenso deve essere esplicito, libero ed espresso con un’azione positiva: le caselle non possono essere flaggate di default, ad eccezione dei cookie tecnici e statistici per cui non è necessario il consenso preventivo. Il banner deve poi contenere il link di rinvio all’informativa dove ci sarà una sezione dedicata alla cookie policy.
- Privacy policy: necessaria solo qualora il sito tratti i dati personali degli utenti. Il sito deve contenere una pagina dedicata all’informativa sulla privacy dove in maniera chiara, completa e trasparente devono essere indicate tutte le finalità per cui vengono trattati i dati: quali dati vengono raccolti, per quanto tempo sono conservati, la modalità di conservazione, se vengono ceduti a soggetti terzi. In base al tipo di advertising è necessario prevedere i rinvii alle policy delle relative piattaforme.
La policy è un documento da personalizzare sulle esigenze del sito specifico.
L’e-mail marketing
Per quanto riguarda le liste di e-mail, non è vietata né l’acquisizione attraverso i form di contatto né l’acquisto. L’importante è che vengano rispettati alcuni requisiti:
- l’associazione all’informativa privacy dello stato attuale, i consensi acquisiti e la prova del consenso;
- la conservazione della copia del form a cui va assegnato un id univoco.
In quanto interessato al trattamento, l’utente deve sempre poter accedere ai dati, visionarli e modificarli. L’utente deve poi avere la possibilità di revocare il consenso in maniera agevole, per questo le e-mail devono sempre contenere un link per la disiscrizione.
Quali sono le sanzioni per chi non si adegua al GDPR?
L’impianto sanzionatorio è uno dei capisaldi del regolamento europeo.
È possibile ricevere sanzioni:
- per il mancato adeguamento al regolamento anche se i dati non sono stati violati;
- per la mancata nomina del DPO;
- per violazione della sicurezza.
La normativa europea è di difficile interpretazione e per avere un quadro esaustivo della disciplina bisogna prendere in considerazione anche il d.lgs. 101/2018 e il regolamento privacy del 2003 nelle parti in cui non è stato abrogato.
Sanzioni amministrative e sanzioni penali
Il GDPR prevede sanzioni amministrative per le imprese che non si adeguano al regolamento.
Il regolamento suddivide le sanzioni in due gruppi in base alla gravità dell’inadempimento:
- per le sanzioni meno gravi l’importo della sanzione può arrivare a 10 milioni di Euro o fino al 2% del fatturato con riferimento all’anno precedente;
- per le inadempienze più gravi si arriva fino a 20 milioni di Euro o 4% del fatturato, considerato sempre sull’anno precedente. Se oggetto della sanzione è una multinazionale si fa riferimento al fatturato de gruppo.
Il GDPR non stabilisce l’importo minimo delle sanzioni e criteri di calcolo, per i quali ci affidiamo alla giurisprudenza.
Oltre alla disciplina europea, il regolamento dà la facoltà agli Stati membri di prevedere ulteriori sanzioni. Per quanto riguarda l’Italia, il codice Privacy ha ampliato le ipotesi di illeciti amministrativi.
Il regolamento sulla privacy non prevede le sanzioni penali in modo diretto, ma lascia liberi gli Stati membri di stabilire sanzioni penali per violazione del GDPR. Il decreto 101 del 2018 ha ampliato le fattispecie già previste nel 2003.
L’autorità di controllo, o Autorità Garante Privacy
Il Garante della Privacy è l’autorità preposta all’erogazione delle sanzioni per violazione del GDPR. La figura del Garante Privacy Europeo è stata disciplinata dalla Legge sulla Privacy del 1996 e dal d. lg. 196 del 2003.
Cosa fa il Garante? Si occupa dell’esame dei reclami e dell’irrogazione delle sanzioni disciplinari, ha inoltre il potere di sospendere, limitare e vietare il trattamento dei dati effettuato in violazione delle norme.
Con il GDPR la sua funzione di controllo si svolge soprattutto ex post, visto che le valutazioni preliminari di conformità alla normativa europea vengono fatte direttamente dal titolare in virtù del principio di accountability.
Responsabili della violazione
Il titolare delle violazioni è il responsabile che risponde per primo, ma può essere chiamato in causa anche il responsabile del trattamento qualora sia legato al titolare da un rapporto contrattuale e qualora l’illecito sia dovuto a un suo inadempimento grave.
Il DPO non ha responsabilità in merito agli illeciti amministrativi o penali, perché i suoi obblighi sono limitati alle responsabilità contrattuali con il titolare dei dati. Il DPO non ha nessun obbligo nei confronti dell’interessato del trattamento.
La responsabilità rimane in capo al Titolare e, in virtù del principio di accountability, non è delegabile.
Cos’è il GDPR? Vediamolo in consulenza!
Il regolamento GDPR è una normativa complessa e di difficile interpretazione.
Costituisce un punto di riferimento di cui l’Europa può andare fiera, in virtù dei principi su cui si fonda. Sono da apprezzare le indicazioni tecniche con cui il regolamento europeo suggerisce di dare attuazione alla normativa, anche se la sua applicazione richiede sforzi enormi soprattutto da parte delle PMI.
Nonostante per alcune imprese l’adeguamento risulti un investimento economico importante, oggi è impensabile poter trattare i dati senza tener conto a priori della tutela della privacy.
Bisogna entrare nell’ottica di concepire il GDPR on-line e off-line come parte integrante dell’impresa. L’intervento normativo a livello europeo è volto a prevenire il più possibile le violazioni dei dati, quindi l’adeguamento tecnologico va fatto prima di raccogliere i dati stessi.
Gli utenti sono sempre più consapevoli delle modalità di trattamento dei dati e numerosi sondaggi dimostrano, ad esempio, il maggior engagement su consumatori nuovi, da parte di e-commerce che si sono adeguati alla normativa sulla privacy.
Dovremmo concepire l’adeguamento alla normativa sulla privacy come una vera e propria strategia di marketing che porta a incrementare il fatturato.
Non possiamo pensare di strutturare da soli l’adeguamento al regolamento GDPR, ma è bene rivolgersi a uno studio legale specializzato sulla materia, come Legal for Digital.
In studio, attraverso la consulenza GDPR, proponiamo un’analisi delle necessità di adeguamento GDPR on-line e off-line e vediamo insieme se è necessario prevedere anche una formazione one-to-one per tutti coloro che sono coinvolti nel trattamento dati.