Cosa devo sapere sul Regolamento GDPR?

Legislazione sulla privacy

La legislazione sulla privacy non è una novità. Nell'Unione Europea (UE) ogni Stato membro ha ancora una propria legge sulla privacy. Queste leggi nazionali sono tutte basate sulla direttiva europea sulla privacy del 1995. Nei Paesi Bassi, l'attuazione nazionale di questa direttiva è la Wet bescherming persoonsgegevens (Wbp).

Dal 25 maggio 2018 è applicabile il Regolamento generale sulla protezione dei dati (GDPR). Ciò significa che da tale data vige un'unica legge sulla privacy in tutta l'UE. La Wbp non è più in vigore, ma i principi fondamentali di quella legislazione costituiscono ancora il nucleo del nuovo GDPR. L'Autorità per la protezione dei dati personali vigila sul rispetto delle norme di legge in materia di protezione dei dati personali.

Qual è l'obiettivo generale del GDPR?

L'obiettivo generale del Regolamento generale sulla protezione dei dati è proteggere i cittadini dell'UE in materia di normativa sulla privacy e dati personali. Il GDPR attribuisce diritti relativi ai dati personali condivisi con organizzazioni che raccolgono, archiviano e trattano tali dati personali.

A chi si applica il GDPR?

Il GDPR si applica a qualsiasi organizzazione che raccoglie dati personali di cittadini dell'UE. Un'organizzazione non deve essere costituita nell'UE per rientrare nelle condizioni del GDPR. Se un'organizzazione ha sede al di fuori dell'UE e raccoglie dati personali dall'UE, il GDPR si applica a tale organizzazione.

Cosa cambierà?

Il nuovo regolamento GDPR inasprisce le regole della vigente Wet Bescherming Persoonsgegevens. In definitiva, molto rimane invariato. La minimizzazione dei dati, the-right-to-be-forgotten, gli obblighi informativi e gli accordi di elaborazione erano già presenti nella legge, sebbene talvolta con nomi diversi.
Anche una buona politica sulla privacy, un'informativa sulla privacy comprensibile, accordi chiari tra incaricati del trattamento e responsabili e una procedura per le violazioni dei dati rimangono importanti.

Molte delle regole esistenti sono state notevolmente inasprite nel nuovo GDPR e sono stati aggiunti nuovi obblighi. Viene posto un maggiore accento sulla responsabilità delle organizzazioni stesse nel rispettare la legge e nel dimostrare di conformarsi ad essa.

Cosa posso fare personalmente?

Come organizzazione, puoi già adottare misure per essere pronto al GDPR. Per aiutarti in questo, l'Autorità per la protezione dei dati personali ha elencato i 10 passi più importanti.

Cosa sono i dati personali?

Il GDPR stabilisce che un dato personale è qualsiasi informazione relativa a una persona fisica identificata o identificabile. Esistono molti tipi di dati personali. I dati più ovvi sono il nome, l'indirizzo e la città di residenza di una persona. Ma anche i numeri di telefono e i codici postali con numeri civici sono dati personali. I dati sensibili come la razza, la religione o la salute di una persona sono anche chiamati dati personali particolari. Questi sono protetti in modo speciale dalla legge.

Cosa significa trattare dati personali?

Per trattamento si intende: tutte le operazioni che un'organizzazione può eseguire con i dati personali, dalla raccolta alla distruzione. La legge cita come esempi di trattamento: la raccolta, la registrazione, l'organizzazione, la conservazione, l'aggiornamento, la modifica, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione, la messa a disposizione, il collegamento, la correlazione, la limitazione, la cancellazione e la distruzione dei dati.
La legge stabilisce che un'organizzazione può trattare dati personali solo se ciò è necessario per uno scopo specifico.

Principi del trattamento

Il GDPR introduce principi fondamentali cui deve conformarsi ogni trattamento di dati personali:

• i dati personali devono essere trattati in modo lecito, corretto e trasparente;
• i dati personali possono essere trattati solo per uno scopo determinato ed esplicitamente specificato;
• possono essere trattati solo i dati personali necessari per lo scopo;
• i dati devono essere esatti e aggiornati;
• qualora l'identificazione non sia più necessaria per lo scopo, i dati personali devono essere cancellati o anonimizzati; e
• i dati personali devono essere protetti mediante misure tecniche e organizzative.

Terminologia titolare del trattamento/responsabile del trattamento

Il GDPR utilizza i concetti di 'titolare del trattamento' e 'responsabile del trattamento' al posto dei concetti di 'responsabile' e 'incaricato del trattamento' della Wbp. Nella traduzione italiana del GDPR sono fornite le seguenti definizioni:

Titolare del trattamento
Una persona fisica o giuridica, un'autorità pubblica, un servizio o un altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Questi sono i clienti di Teqa che utilizzano i-Reserve come prodotto.

Responsabile del trattamento
Una persona fisica o giuridica, un'autorità pubblica, un servizio o un altro organismo che tratta dati personali per conto del titolare del trattamento. Questo siamo noi come organizzazione in qualità di fornitore di i-Reserve e il nostro amministratore di server per quanto riguarda l'hosting di i-Reserve.

L'interessato
È colui i cui dati personali vengono trattati da un'organizzazione. Si tratta quindi della persona cui si riferiscono i dati personali. Questi sono i vostri clienti, gli utenti finali.

Il trattamento di dati personali particolari
Oltre ai dati personali comuni, la legge prevede anche dati personali particolari. Si tratta di dati così sensibili che il loro trattamento può compromettere gravemente la privacy di una persona. Secondo il GDPR, il trattamento di dati personali particolari è vietato, salvo che si applichi un'eccezione.

I dati personali particolari sono dati personali riguardanti l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici, i dati biometrici ai fini dell'identificazione univoca di una persona, i dati relativi alla salute, alla vita sessuale o all'orientamento sessuale. Tali dati possono quindi essere trattati solo a condizioni molto rigide.

Quali sono i principali cambiamenti per le organizzazioni?

Quando si applica il regolamento generale sulla protezione dei dati, le organizzazioni che trattano dati personali hanno maggiori obblighi.

Consenso
Una novità è che l'organizzazione deve essere in grado di dimostrare di aver ottenuto il consenso valido delle persone per trattare i loro dati personali. E che deve essere altrettanto facile per le persone revocare il loro consenso come darlo. Questo deve essere una manifestazione di volontà 'inequivocabile'. Quindi niente più caselle pre-selezionate! La richiesta di consenso deve essere chiara e comprensibile e presentata in un linguaggio semplice.
Come organizzazione, devi in definitiva poter dimostrare che l'interessato ha dato il proprio consenso. L'interessato ha in qualsiasi momento il diritto di revocare il consenso e deve essere informato di tale possibilità.

ATTENZIONE:
Richiedere il consenso per la registrazione dei dati personali non è sempre necessario. Ad esempio, fintanto che i dati registrati si limitano a ciò che è necessario per l'esecuzione del contratto stipulato. In altri casi è necessario richiedere il consenso. Per scoprire cosa si applica al vostro caso, trovate qui ulteriori informazioni.

Obbligo amministrativo
Il GDPR impone un obbligo di documentazione, che implica la necessità di poter dimostrare che l'organizzazione agisce in conformità con il GDPR. Si pensi al consenso, alle informazioni fornite, ai diritti degli interessati, alla sicurezza dei dati, alla minimizzazione dei trattamenti e agli accordi con gli incaricati del trattamento. Quindi: mappate i trattamenti dei dati nell'organizzazione. Molte organizzazioni dovranno adattare la propria informativa sulla privacy e questo non è affatto irrilevante. Non avere un'informativa sulla privacy (completa) comporterà in futuro sanzioni molto pesanti.

Una volta applicato il GDPR, viene meno l'obbligo Wbp di notificare i trattamenti dei dati all'autorità di controllo. In sostituzione, le organizzazioni devono tenere autonomamente un registro delle attività di trattamento ('registro dei trattamenti') che avvengono sotto la loro responsabilità.

Accordo di trattamento
Stipulare un accordo di trattamento non è di per sé una novità, poiché era già obbligatorio nell'ambito della Wbp. Con il GDPR prenderà il nome di accordo con il responsabile del trattamento e si applica tra il titolare del trattamento dei dati personali e la parte che li tratta per suo conto (ora nota come incaricato del trattamento, in futuro responsabile del trattamento). La novità è che il GDPR elenca una serie di elementi obbligatori di questo accordo, tra cui:

• la finalità del trattamento;
• il tipo di dati personali trattati;
• le categorie di interessati;
• l'adozione di adeguate misure di sicurezza;
• la cooperazione dell'incaricato del trattamento agli audit per verificare il rispetto di tutti gli obblighi; e
• la distruzione o restituzione dei dati personali al titolare al termine del trattamento.

L'incaricato del trattamento non potrà più coinvolgere una terza parte esterna per il trattamento dei dati personali senza la previa autorizzazione scritta del titolare.

Privacy Impact Assessment (PIA)
In italiano 'valutazione d'impatto sulla protezione dei dati', la PIA è uno strumento indispensabile per le organizzazioni per stimare o valutare l'impatto sulla privacy. Grazie all'utilizzo della PIA, la protezione dei dati personali può essere integrata in modo strutturato nella valutazione degli interessi e nel processo decisionale all'interno delle organizzazioni.

Nella PIA viene documentato il perché, il modo e la durata del trattamento dei dati personali. L'esecuzione di una Privacy Impact Assessment è obbligatoria quando il trattamento di dati personali, in particolare con l'ausilio di nuove tecnologie, comporta rischi per gli interessati.

Obbligo di notifica delle violazioni dei dati
Questo lo conosciamo già nella legge olandese: l'obbligo di notifica delle violazioni dei dati. È incluso anche nel GDPR e rimane in gran parte invariato. Il GDPR impone tuttavia requisiti più severi per la propria registrazione delle violazioni dei dati verificatesi nella propria organizzazione. È necessario documentare tutte le violazioni dei dati.

Prevenite lo stress pensando in anticipo a come agire in caso di rischio per la sicurezza. Ad esempio, in alcune situazioni dovete notificare una violazione dei dati all'Autorità per la protezione dei dati entro 72 ore in qualità di titolare del trattamento. Se la violazione comporta probabilmente un rischio elevato per le persone cui i dati si riferiscono, anche queste devono essere informate della violazione. Stabilite pertanto in anticipo un flusso di lavoro per gli incidenti di sicurezza, in cui le persone competenti possano prendere tempestivamente decisioni sulle azioni da intraprendere.

L'Autorità per la protezione dei dati personali ha pubblicato le linee guida sull'obbligo di notifica delle violazioni dei dati.

Potrebbe essere necessario un responsabile della protezione dei dati
Un data protection officer (DPO), ovvero responsabile della protezione dei dati (RPD), è una persona indipendente all'interno dell'organizzazione che fornisce consulenza e riferisce in merito alla conformità al GDPR. Il responsabile della privacy non era obbligatorio nell'ambito della Wbp, ma lo è in alcune situazioni ai sensi del GDPR. Secondo la legge è obbligatorio quando si trattano su larga scala dati personali sensibili come i dati sanitari, o quando si monitorano sistematicamente le persone (fisicamente o digitalmente). Un RPD può essere una persona nominata internamente, ma può anche essere una persona nominata esternamente.

Diritti dell'interessato
I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. La trasparenza è prioritaria: l'interessato deve essere informato di ciò che accade con i suoi dati personali. Tutto deve essere comunicato in un linguaggio semplice e chiaro.
Oltre al noto diritto di accesso, rettifica e opposizione, ai sensi del GDPR l'interessato ha anche:

• il diritto all'oblio,
• il diritto alla portabilità dei propri dati (anche nota come: dataportabilità),
• il diritto di limitare il trattamento e
• il diritto di opporsi a determinati trattamenti. L'interessato ha in qualsiasi momento il diritto di opporsi al trattamento dei propri dati per finalità di marketing diretto. Se l'interessato presenta tale opposizione, i suoi dati non possono più essere trattati per finalità di marketing.

Diritto di accesso
L'interessato ha il diritto di sapere dal titolare del trattamento se i propri dati personali vengono trattati. Quando i dati personali vengono trattati, l'interessato ha diritto a ricevere informazioni su tali dati. L'interessato ha diritto, tra l'altro, a informazioni su:

• le finalità del trattamento;
• le categorie di dati personali coinvolte;
• i destinatari a cui vengono comunicati i dati personali;
• il periodo di conservazione;
• il fatto che l'interessato ha il diritto di presentare una richiesta di rettifica, una richiesta di cancellazione o limitazione dei dati e il diritto di opposizione;
• il fatto che l'interessato può presentare un reclamo.

Diritto di rettifica e diritto di opposizione
L'interessato ha il diritto di ottenere dal titolare del trattamento la correzione dei dati personali inesatti. Ciò deve avvenire senza ingiustificato ritardo. Nei confronti di determinate forme di trattamento dei dati l'interessato può opporsi, con la conseguenza che il trattamento dei suoi dati personali potrebbe dover essere interrotto. Si pensi a un'organizzazione che utilizza i dati personali per finalità di marketing. (Al momento esiste già un diritto assoluto di opposizione per il marketing diretto. Se un interessato ne fa uso, non è più possibile contattarlo per finalità di marketing).

Diritto all'oblio
In alcune situazioni l'interessato ha il diritto di far cancellare completamente i propri dati. Nel GDPR sono stati aggiunti ulteriori motivi per quest'ultimo diritto. Il GDPR introduce il diritto all'oblio. Ciò significa che il titolare del trattamento deve cancellare i dati personali senza ingiustificato ritardo, ad esempio quando i dati personali non sono più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati. Diventa inoltre obbligatorio, in caso di tale richiesta, informare le parti con cui i dati sono stati condivisi. I nomi di tali parti devono essere comunicati anche all'interessato. Il titolare del trattamento deve adottare misure ragionevoli per cancellare i dati, nonché per eliminare qualsiasi collegamento, copia o riproduzione.

Consultate a tal proposito anche la possibilità di anonimizzare automaticamente i dati in i-Reserve.

Diritto alla portabilità dei dati
Il GDPR introduce il diritto alla portabilità dei dati, ovvero la trasferibilità dei dati personali. Ciò significa che potete ricevere richieste dai vostri clienti per mettere a disposizione i loro dati personali. Si tratta di tutti i dati digitali che un'organizzazione tratta con il consenso dell'interessato, più i dati necessari per eseguire un contratto. Anche una cronologia delle ricerche o i dati di localizzazione rientrano nel diritto alla portabilità. Come organizzazione siete quindi legalmente obbligati a fornire i dati in un formato 'strutturato, di uso comune e leggibile meccanicamente'. Potete prepararvi a questo riflettendo già su come rendere disponibili i dati. Ad esempio tramite uno strumento con cui i vostri clienti possono scaricare direttamente i propri dati in modo sicuro.

Se tecnicamente possibile, il titolare del trattamento deve trasmettere i dati direttamente a un altro titolare del trattamento. Ciò può avvenire ad esempio tramite un'Application Programming Interface (API), che consente di stabilire una connessione tra il vostro sistema e un'applicazione e quelli di un'altra parte.

In i-Reserve è possibile che il cliente scarichi autonomamente i propri dati scaricandoli, che l'amministratore esporti i dati del cliente o che i dati vengano trasmessi tramite una API.

Privacy by default e Privacy by design
Il GDPR introduce un obbligo di protezione dei dati tramite impostazioni predefinite (Privacy by default) e tramite funzionalità configurabili (Privacy by design) all'interno del software.

L'obbligo di Privacy by default implica che è necessario adottare misure tecniche e organizzative per garantire che per impostazione predefinita vengano trattati solo i dati personali necessari per lo scopo specifico che si desidera raggiungere. Laddove gli utenti possano modificare autonomamente le proprie impostazioni sulla privacy, queste devono ad esempio essere impostate al livello più alto per impostazione predefinita.

L'obbligo di Privacy by design implica che già in fase di progettazione di prodotti, servizi e processi organizzativi è necessario garantire la protezione dei dati personali.

Esempi:

• Quando si offre un'app, non richiedere agli utenti di registrare la propria posizione se non è necessario;
• Sul sito web, non pre-selezionare la casella 'Sì, voglio ricevere offerte';
• Se qualcuno vuole iscriversi a una newsletter, non richiedere più dati del necessario.

Scopri qui cosa fa i-Reserve per la sicurezza e la protezione dei dati personali.

La sicurezza deve essere garantita - e mantenuta
La sicurezza dei dati personali è fondamentale. Senza crittografia, autenticazione a due fattori e la possibilità di separare e cancellare in modo sicuro le informazioni personali, la vostra organizzazione si assume un rischio molto elevato.

Violazioni e sanzioni
La sanzione massima per violazione della vigente legge sulla privacy (Wbp) è attualmente di 900.000 euro. Con il GDPR, le autorità di controllo nazionali ottengono maggiori poteri per sanzionare le violazioni del GDPR. Le sanzioni sono consistenti e possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo mondiale qualora un'organizzazione non soddisfi i requisiti previsti dalla legge. Le sanzioni in Italia vengono irrogate dall'autorità di controllo designata. In Olanda da: Autoriteit Persoonsgegevens (AP).
Cercate i dettagli? Su autoriteitpersoonsgegevens.nl trovate anche le risposte alle domande più frequenti.

Cookie, spam, e-mail, telemarketing e GDPR
Le regole per il trattamento delle comunicazioni elettroniche come cookie, Wi-Fi tracking, e-mail ecc. non sono disciplinate dal GDPR. Le trovate nella direttiva ePrivacy - una legislazione europea esistente che ha ricevuto un aggiornamento nel 2018. La direttiva ePrivacy è anche nota come legge sui cookie. L'Unione Europea spera di poter lanciare le regole aggiornate insieme al GDPR, per offrire ai cittadini in un'unica soluzione una maggiore protezione delle loro informazioni personali. In termini più generali, questo testo legislativo definisce le regole che le organizzazioni devono seguire per garantire la riservatezza delle comunicazioni digitali.