GDPR 2018 Privacy Italiano

PRIMA SEZIONE INFORMATIVA

Tutti devono rispettare il nuovo regolamento europeo sulla protezione dei dati personali!

Il nuovo GDPR (General Data Protection Regulation) è un aggiornamento finale sulla protezione dei dati personali e legge sulla privacy degli ultimi 15 anni a livello europeo.

Tutto questo dopo la Legge sui Cookie del 2015 entra in vigore il 25-05-2018 e riguarda tutte le aziende che devono rispettare le normative sulla protezioni dei dati personali dei cittani europei.

In altre parole, non si tratta di una preferenza da seguire essendo un obbligo di legge normativo che intertessa anche le piccole aziende italiane a livello europeo.

Il regolamento completo è fatto di 99 articoli e vorrei scrivere solo una guida online sulla realizzazione e protezione di un sito aziendale sotto l'aspetto dei dati personali trattati.


Le aziende che non rispettano il GDPR si auto-escludono dal mercato online!

Infatti solo per utilizzare gli strumenti di marketing e analisi offerti dai motori di ricerca e social network bisogna rispettare le nuove direttive. La questione non è solo evitare problemi legali con dei clienti o rischiare delle sanzioni amministrative in caso di controllo.

Il mio obiettivo è solo quello di fare una panoramica con le giuste informazioni dove focalizzare l'attenzione, per evitare di perdersi in un lungo regolamento sulla privacy a livello europeo, fatto di 100 articoli che interessa sia il mondo analogico che quello digitale.

Sappiate anzitutto che questo nuovo regolamento europeo interessa i processi di tutte le piccole, medie o grandi aziende, che in qualche modo trattano dati personali di cittadini europei sia che avvenga online che offline.


Il nuovo regolamento GDPR online in sintesi

Siamo di fatto responsabili come webmaster insiame al titolare del sito o cliente!

Inoltre consideriamo che puo esserci una corresponsabilità dei dati personali trattati anche quando non siamo titolari del trattamento dati degli utenti di un dominio o sito web gestito per conto di qualsiasi cliente.

Si tratta quindi di valutare se operare in autonomia o tramite la consulenza di un professionista (avvocato) quando la gestione dei dati personali ricopre un ruolo centrale nel business online!

Il nuovo Regolamento UE 2016/679 della Commissione Europea è quindi un vasto intervento normativo in materia di protezione dati personali, allo scopo di garantire una maggior tutela ai diritti dei cittadini e residenti nei confini della Eurozona.

Si tratta di un intervento generale che non riguarda solo Internet o solo la Privacy online ma in generale tutto il trattamento dei dati personali in entrambi gli ambienti analogico e digitale, sia online che offline di qualsiasi soggetto privato.


Cosa cambia rispetto alla 196/2003 Italiana

Nel caso dell'Italia, il GDPR andrà ad inserirsi nel quadro normativo tracciato dal D.lgs 196/2003 che, attualmente, costituisce le norma di riferimento in materia di trattamento di dati personali. Con l'avvento del GDPR la norma citata verrà integrata da nuovi obblighi ed, in parte, derogata (ove non compatibile col nuovo regolamento europeo).

Vediamo, di seguito, quali sono le principali innovazioni che verranno introdotte a seguito dell'entrata in vigore del Regolamento 2016/679.


La Privacy by design e Privacy by default

In linea di massima possiamo dire che il GDPR anche se con approssimazione (e qualche dubbio in fase applicativa) traccia un perimetro molto netto e rigoroso con alcuni principi che risultano essere davvero innovativi.

Tra queste direttive online troviamo la "Privacy by design" insieme alla "Privacy by default" che impongono al Titolare del trattamento una protezione (anche con la criptazione dei dati) iniziando dal database per impostazione predefinita, come previsto nell'art. 25 del Regolamento:

Articolo 25 - Protezione dei Dati dalla progettazione e protezione per impostazione predefinita.

  • Privacy by design: per chi costruisce un database di informazioni personali, di organizzarli e strutturarli avendo bene in mente gli obblighi imposti dalla nuova normativa. Eventuali problemi legati alla riservatezza dei dati, vanno prevenuti e non corretti utilizzando tecniche adeguate come la pseudonimizzazione. In altre parole, bisogna prevedere un sistema che dall'inizio dell'attività online riduca al minimo i rischi di una possibile violazioni dei dati raccolti.
  • Privacy by default: la quantità di dati raccolti e tempo di conservazione non deve eccedere il minimo necessario all'espletamento delle finalità perseguite dal trattamento. In questo ambito diventa centrale il concetto di minimizzazione cioè quel principio che impone la riduzione al "minimo indispensabile" dei dati richiesti in fase di iscrizione ad un servizio secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità dichiarate.

La Responsabilità del Trattamento (Accountability)

Uno degli elementi centrali della nuova normativa introdotta dal GDPR è il principio di Accountability che è stato impropriamente tradotto in italiano come "Responsabilità del Titolare" come principio dettato dall'articolo 24:

Articolo 24 - Responsabilità del Titolare il trattamento dati personali di utenti o clienti.

Tutto il principio di accountability parla soltanto di misure tecniche e organizzative adeguate. Titolare del trattamento quindi è libero di decidere quali soluzioni adottare per la protezione dei dati personali. Infatti lo stesso GDPR non offre nessun elenco, anche se bisogna comunque dimostrare in caso di controllo le motivazioni alla base delle scelte.


Notifica delle violazione (data-breach) al Garante

Un altro elemento innovativo del GDPR riguarda il data-breach (non tradotto) ossia il comportamento da tenersi in caso di violazioni dello spazio web (hosting) o database, in caso di perdita o compromissione dei dati personali degli utenti.

Il riferimento normativo del Data-Breach è contenuto nell'articolo 33 del regolamento europeo.

In caso di violazione dei dati personali online, il titolare del trattamento notifica la violazione alle autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo entro 72 ore (3 giorni) dal momento in cui ne è venuto a conoscenza.

L'obbligo di notifica non sussiste solo quando è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Se la notifica alle autorità di controllo non viene effettuata entro 72 ore bisogna giustificare i motivi del ritardo.

E quindi il nuovo GDPR impone al titolare o respomsabile di effettuare un controllo costante e di comunicare tempestivamente alle autorità competenti eventuali violazioni dei dati personali, come ad esempio nel caso di hacker e furto di credenziali di accesso.


Quando entra in vigore il GDPR in Italia?

Il GDPR diventerà operativo a partire dal 25 maggio 2018. La norma in questione, essendo contenuta in un Regolamento UE, sarà direttamente operativa negli stati membri senza necessità di recepimento da parte dei parlamenti nazionali. Si tratta, pertanto, di un atto giuridico direttamente vincolante non solo per gli Stati ma anche per i singoli individui e le altre persone giuridiche (enti, società, ecc.) che, a partire dal 25 Maggio, dovranno adeguarsi obbligatoriamente alla nuova normativa.


Cosa succede se non mi adeguo al regolamento?

Adeguarsi al GDPR non è una opzione ma un obbligo! Il GDPR è una norma imperativa di natura comunitaria, assolutamente efficace e vincolante nei confronti di tutti i soggetti residenti in uno degli stati membri della UE.

Il mancato adeguamento al GDPR può comportare sanzioni notevoli con multe massime di 10 o 20 milioni di €uro oppure fino al 4% del fatturato dell'anno precedente, se dalla percentuale scaturisce una somma maggiore ai 20 milioni.

Tutto questo significa che una semplice ditta individuale che fattura € 30,000 annuali nel regime dei minimi puo ritrovarsi applicando il 4% una bella multa di 1.200 €uro da pagare.

Inoltre come altro provvedimento, il Garante potrebbe anche sospendere o vietare il trasferimento dei dati personali all'estero, escludendo di fatto qualsiasi azienda italiana dal business nel mercato internazionale.


Il nuovo regolamento UE interessa 500 milioni di persone

Consideriamo che il GPDR è un nuovo regolamento sulla Privacy europeo completo e non una semplice direttiva come quella del 2015 sui cookie. Non sarà quindi sufficiente modificare una semplice informativa o consenso a installare cookie.

In questo nuovo scenario qualunque cittadino europeo dei 28 Stati membri UE potrebbe inviare segnalazioni anomime, anche se residente in un altro stato o nazione europea.

Quindi di fatto questo regolamneto interessa 500 milioni di persone, includendo anche minorenni quando si trattano loro dati personali.

A proposito lo stesso Garante ha smentito pubblicamente alcune notizie fasulle che circolavano su internet riguardo un differimento di 6 mesi.

Tutto il regolamento entra in vigore il 25 Maggio 2018 senza ritardo solo perchè siamo italiani!

www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8469593


Cosa intende per DATI personali la normativa europea

Tutto il concetto di "dati personali" è cambiato nel tempo e oggi si definisce come qualsiasi informazione personale (nome cognome, codice fiscale, indirizzo, numero telefonico, fotografia) riguardanti una persona fisica identificabile, anche indirettamente, con delle informazioni che combinate insieme possono identificare una persona.

Inoltre secondo nuove definizioni, possono essere qualificati come dati personali anche informazioni usate soltanto nel mondo digitale, come ad esempio Email, numero telefonico, IP di connessione, oltre ai Cookie e Fingerprint.

In sintesi, si puo affermare che il 90% dei Siti (in qualche modo) sono interessati al trattamento di dati personali che siamo obbigati a proteggere secondo il nuovo regolamento europeo.


Importanza del consenso nel trattamento dati personali

Il nuovo GDPR definisce il Consenso (articolo 4) come una "manifestazione di volontà libera, specifica, informata e inequivocabile dei ogni interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva, che i dati personali che lo riguardano siano oggetto dello stesso trattamento".

L'articolo 7 (par. 4) prevede che "Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto".

In altre parole: il consenso al trattamento non puo essere valido quando l'esecuzione di un contratto o la prestazione di un servizio è subordinata al consenso, anche non essendo lo stesso indispensabile per l'esecuzione di qualsiasi richiesta.


Il nuovo GDPR riguarda soltanto le persone fisiche

Tutti i dati di imprese, ditte individuali, liberi professionisti e società di persone non sono “dati personali” soggetti allo stesso trattamento in quanto persone giuridiche.

Solo per trattare i dati di una società in Italia non serve la stessa informativa o consenso sulla privacy in generale. Infatti, le imprese non possono esercitare i diritti previsti dalla Privacy o ricorrere al Garante in caso di violazione delle loro informazioni.

La legge di stabilità nel 2011 ha semplificato l'articolo (5) del codice della Privacy 196/2003 escludendo l’applicazione delle disposizioni relative al trattamento dei dati personali qualora riferiti a soggetti nell'esercizio di attività di impresa.

Lo stesso regolamento europeo nella definizione "dato personale" oppure "interessato" esclude qualsiasi riferimento alle persone giuridiche, perché si riferisce soltanto alle persone fisiche, come soggetti del trattamento.

Tutti quei dati relativi alle imprese restano quindi fuori dal GDPR comprese le ditte individuali.


Il consenso sempre preventivo esplicito e informato

Il regolamento GDPR sottolinea che il consenso di ogni interessato al trattamento (oltre a essere libero ed incondizionato) deve essere preventivo, esplicito ed informato.

  • Preventivo: l'interessato deve prestare il proprio consenso prima che il trattamento abbia inizio e non successivamente;
  • Esplicito: l'accettazione del trattamento deve essere esplicita e non può ritenersi sottintesa;
  • Informato: l'interessato deve essere adeguatamente informato sui suoi diritti e sulle finalità del trattamento, in particolare il titolare del sito web deve fornire all'interessato, in modo chiaro e intellegibile, le seguenti informazioni:

Un altro obbligo previsto dal GDPR riguarda la prova del consenso e quindi il titolare del Sito deve essere in grado di dimostrare l'avvenuto consenso da parte dell'interessato (ad esempio registrando IP e momento del click sul pulsante "accetto").

Tale prova deve essere disponibile per tutto il periodo del trattamento e una volta cessato può essere conservata per il tempo strettamente necessario a rispondere ad obblighi di legge e/o per far valere in giudizio un proprio diritto.

Infine il GDPR prevede che l'interessato possa negare e/o ritirare il consenso in ogni momento!


GDPR per Siti Web sulla protezione dei dati personali

Infine il GDPR prevede relativamente alla raccolta, elaborazione e conservazione online, che il titolare secondo la privacy riconosca 3 diritti basilari all'interessato dietro la semplice richiesta.

  • Diritto all'accesso - L'interessato deve essere messo nella condizione di poter accedere, in ogni momento, ai propri dati, al fine di poterne verificare la correttezza ed, eventualmente, modificarli.
  • Diritto di cancellazione - Come già detto all'inizio, il GDPR prevede un vero e proprio diritto all'oblio, cioè il diritto dell'interessato di ottenere la cancellazione dei propri dati in modo semplice o, meglio ancora, automatico mediante apposite funzioni disponibili online.
  • Diritto di portabilità - L'articolo 20 del GDPR prevede il dititto per l'interessato di chiedere e ottenere una copia dei dati personali per trasportarli presso un altro gestore del servizio.

In conclusione, non sembra molto chiaro in che modo dovrebbe avvenire la portabilità e secondo che modalità o standard applicare il diritto. Il riferimento sulla normativa resta comunque il testo di legge in inglese, anche quando tradotto in italiano.

Regolamento completo IT (UE) 2016/679 del Parlamento Europeo