GDPR, tre anni dalla sua applicazione: cos’è importante sapere per evitare sanzioni 

«Affermare che non si è interessati al diritto alla privacy perché non si ha nulla da nascondere è come dire che non si è interessati alla libertà di parola perché non si ha nulla da dire».

È così che Edward Snowden, l’ex informatico della CIA che ha svelato al mondo i programmi di sorveglianza di massa dei governi statunitense e britannico, riassume il valore e l’importanza della privacy.

La norma fondamentale in materia di trattamento dei dati personali è il Regolamento UE 2016/679 (più noto come “GDPR”, ossia General Data Protection Regulation), che è divenuto pienamente applicabile il 25 maggio 2018.

Tuttavia, quasi alla vigilia del terzo anniversario dell’applicazione del GDPR, ci sono ancora molte imprese e pubbliche amministrazioni impreparate e non adeguate.

Ecco perché, ancora oggi, diviene utile analizzare brevemente le novità più significative introdotte con il GDPR e cosa è importante sapere per evitare sanzioni.

GDPR: perché questo regolamento

È indubbio che l’avvento delle nuove tecnologie abbia trasformato l’economia e le relazioni sociali, rendendo così necessario un quadro normativo solido e coerente in materia di protezione dei dati personali nell’Unione Europea. Il tutto al fine di tutelare le persone e creare un clima di fiducia, suscettibile, a sua volta, di consentire lo sviluppo dell’economia digitale nell’intero mercato interno.

Per tali ragioni e in un contesto sempre più proteso verso un’economia digitale, è opportuno che le persone fisiche abbiano il controllo dei propri dati personali e che vi sia certezza giuridica e operativa tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.

Ebbene, il GDPR nasce proprio dalla necessità di far fronte allo sviluppo tecnologico e alle sue sfide per la protezione dei dati personali, assicurando certezza giuridica, armonizzazione e protezione delle persone fisiche attraverso la protezione dei loro dati.

Come affermato dal Garante Privacy italiano, il GDPR rappresenta la prima e più importante risposta che il diritto abbia espresso nei confronti della rivoluzione digitale.

Un nuovo approccio: accountability 

Il GDPR conferma e potenzia i principi del precedente quadro normativo (tracciato dalla direttiva comunitaria del 1995 e, in Italia, dapprima, dalla legge 675/1996 e, poi, dal Codice privacy del 2003), ma è caratterizzato da importanti elementi di novità.

Prima di entrare nel merito delle novità più rilevanti, è opportuno ricordare che il GDPR trova applicazione non solo nei confronti delle imprese che si trovano nel territorio dell’Unione Europea, ma anche a quelle situate al di fuori ma che offrono servizi o prodotti a persone fisiche che si trovano nell’Unione Europea.

La novità più importante della nuova normativa europea è rappresentata dalla forte responsabilizzazione (o “accountability” nella più nota accezione inglese) di titolari e responsabili del trattamento, rispetto a quanto avveniva in passato.

Difatti, mentre nel contesto normativo precedente l’imprenditore era tenuto a rispettare un preciso disciplinare tecnico indicante le misure minime di sicurezza da osservare in modo acritico, il GDPR impone all’imprenditore di pensare in anticipo le modalità, le garanzie e i limiti di trattamento dei dati personali e di costruirne correttamente e in modo documentabile l’impianto giuridico e organizzativo, nel rispetto dei criteri specifici previsti dal regolamento.

In altre parole, il GDPR lascia libero l’imprenditore di decidere come trattare i dati personali degli interessati, a fronte della piena assunzione di responsabilità (responsabilizzazione) e del conseguente obbligo di essere in grado di dimostrare la conformità al GDPR del proprio operato (rendicontazione).

Un nuovo approccio: risk-based thinking 

Nello svolgimento di tale attività, l’imprenditore deve sempre avere un approccio basato sul rischio (si parla di “risk-based thinking”), che consiste, sostanzialmente, in un approccio proattivo volto a valutare in ogni momento il rischio riferito al trattamento dei dati nello specifico contesto di riferimento, al fine di tendere ad una sua sempre maggiore riduzione.

Un nuovo approccio: data protection by design and by default

Tra i criteri previsti dal regolamento, fondamentale è quello dell’articolo 25 e sintetizzato nell’espressione inglese “data protection by design and by default”. Ossia la necessità di configurare il trattamento dei dati prevedendo le garanzie indispensabili alla protezione dei dati sin dall’inizio (quindi sin dalla progettazione) e come impostazione predefinita, tenendo conto del contesto complessivo dove avviene il trattamento e degli specifici rischi per i diritti e le libertà degli interessati.

Dunque, accountability, risk-based thinking e data protection by design and by default sono chiaramente i tre pilastri della nuova normativa introdotta con il GDPR.

Nuove regole GDPR: no centralità del consenso, informativa più rigida e nuovi diritti

Il GDPR non introduce “solo” un nuovo approccio al trattamento dei dati personali, ma anche ulteriori importanti elementi di novità, oltre ad un inasprimento delle sanzioni, che può arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo.

Una prima rilevante novità è costituita dal venire meno della centralità del consenso quale base giuridica per il trattamento dei dati personali, nonché dalla previsione di nuove condizioni per il medesimo.

Vengono, inoltre, maggiormente definiti i contenuti dell’informativa sul trattamento dei dati personali, nonché le modalità e le tempistiche da rispettare per l’assolvimento di tale obbligo gravante sul soggetto che effettua operazioni di trattamento di dati personali.

Un’altra novità riguarda l’ampliamento delle tutele degli interessati mediante l’introduzione di nuovi diritti e di tempistiche precise per ricevere riscontro dal soggetto che effettua trattamento dei suoi dati.

Tra questi nuovi diritti il più innovativo è il “diritto alla portabilità dei dati”, che, in presenza di alcune condizioni, attribuisce all’interessato il diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che lo riguardano, nonché di trasmetterli ad altro titolare del trattamento.

Nuovi adempimenti GDPR: registro, notifica data breach, valutazione di impatto e DPO

Il GDPR prevede anche nuovi adempimenti in capo al soggetto che tratta dati personali, che, in caso di mancato rispetto, portano a sanzioni piuttosto elevate.

Importante adempimento per i soggetti con più di 250 dipendenti o che effettuano trattamenti definiti “a rischio” (a tal fine, si veda l’articolo 30, par. 5, GDPR) o che, comunque, abbiano almeno un dipendente (così come precisato dal Garante privacy italiano nelle relative FAQ) è l’adozione del “Registro delle attività di trattamento”, i cui precisi contenuti sono indicati nell’articolo 30 GDPR e che, in sintesi, consente di disporre di un quadro aggiornato dei trattamenti in essere.

Il GDPR prevede poi quale significativo obbligo in capo a tutti i titolari del trattamento, quello di notificare al Garante Privacy le violazioni di dati personali suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, entro 72 ore dalla scoperta dell’evento (meglio conosciuto con l’espressione “data breach”).

Ulteriore adempimento previsto dal GDPR in capo ai titolari che svolgono trattamenti con un possibile rischio elevato per i diritti e le libertà delle persone fisiche è rappresentato dall’obbligo di effettuare la cosiddetta “Valutazione di impatto sulla protezione dei dati”, ossia una procedura, prevista e disciplinata dall’articolo 35, volta a descrivere un trattamento per valutarne la necessità, la proporzionalità e i relativi rischi, al fine di approntare misure idonee ad affrontarli.

Infine, un’altra importante novità (che, in alcuni casi, si configura come obbligo dei titolari e dei responsabili del trattamento) è costituita dalla figura del DPO (Data Protection Officer), un soggetto individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa, che svolge una funzione consultiva, di sorveglianza sulla corretta osservanza del GDPR e di cooperazione e punto di contatto con il Garante Privacy.