SOMMARIO
Introduzione al Regolamento Generale dell'UE sulla Protezione dei Dati (GDPR)
Cos'è il GDPR e perché tutti ne parlano? Il Regolamento Generale sulla Protezione dei Dati ha lo scopo di offrire ai cittadini dell'UE un approccio uniforme e armonizzato sulla privacy nell'Unione europea e intende rafforzare i diritti delle persone alla protezione dei dati, come stabilito all'articolo 8 della Carta dei Diritti Fondamentali dell'UE. Dopo quasi quattro anni di deliberazioni e dibattiti, il Regolamento è stato finalmente approvato dal Parlamento europeo il 14 aprile 2016.
Anche se il documento è diventato valido 20 giorni dopo la data di approvazione, la data di entrata in vigore è stata stabilita per il 25 maggio 2018. Può sembrare molto tempo per prepararsi, ma la verità è che ci sono molte cose da fare, a causa di alcuni importanti cambiamenti. In questo articolo, puoi trovare spiegato il GDPR.
Il Regolamento a confronto con la direttiva
Uno dei primi cambiamenti, e un cambiamento fondamentale, rispetto al precedente quadro normativo in materia di protezione dei dati (direttiva UE sulla protezione dei dati - direttiva 95/46 / UE), è che dopo molti discussioni il Parlamento europeo ha deciso che il nuovo quadro normativo sulla privacy dovesse avere la forma di un regolamento piuttosto che di una direttiva.
Perché un regolamento? La risposta è semplice: un regolamento è un atto legislativo vincolante direttamente applicabile a tutti gli Stati membri dell'UE, eliminando la necessità di elaborare atti legislativi locali. Tuttavia, nonostante la necessità di una legislazione locale, è probabile che vi siano differenze nel modo in cui il Regolamento Generale sulla Protezione dei Dati viene interpretato e applicato nei diversi Stati membri.
Oltre alla necessità di un quadro normativo comune sulla privacy, adottando il Regolamento Generale sulla Protezione dei Dati, l'UE invia un messaggio forte sul suo impegno a proteggere i dati personali dei soggetti fisici dell'UE (un soggetto fisico è un individuo a cui si riferiscono i dati personali) e non solo dalle aziende che operano all'interno dell'UE.
La portata extraterritoriale del Regolamento Generale sulla Protezione dei Dati
Oltre alla domanda su cosa sia il GDPR, una delle domande più frequenti è in che casi si applica il GDPR dell'UE? La portata extraterritoriale del Regolamento Generale sulla Protezione dei Dati è una delle nuove caratteristiche che contribuiscono in modo significativo al maggiore livello di protezione dei dati personali. Ma cosa significa extraterritoriale? Probabilmente uno dei cambiamenti più importanti, il GDPR potrà godere di un'applicabilità estesa che influenzi soggetti che non abbiano sede nell'UE. Naturalmente, alcune condizioni devono essere soddisfatte affinché l'extraterritorialità sia applicabile. Il GDPR dell'UE si applica al trattamento dei dati personali dei soggetti fisici dell'UE, indipendentemente dal fatto che le attività di trasformazione avvengano nell'UE o meno. Il GDPR dell'UE si applica anche a realtà con sede al di fuori dell'UE se offrono beni o servizi a persone che si trovano all’interno dell'Unione o se monitorano il comportamento di individui residenti nell'Unione (vale a dire attività di profilazione, attività di monitoraggio delle attività degli individui su Internet, ecc.).
La chiave per capire quando il GDPR dell'UE sia applicabile è comprendere il significato dell'espressione "all'interno dell'Unione". Il GDPR dell'UE si applicherà solo ai dati personali riguardanti soggetti fisici che si trovano all'interno dell'Unione, mentre la nazionalità o la residenza abituale di tali soggetti è irrilevante. Ad esempio, una società con sede nell'UE che tratta i dati di soggetti fisici giapponesi che si trovano in Giappone dovrà comunque essere conforme al GDPR dell'UE. Di conseguenza, i soggetti giapponesi beneficeranno di tutti i diritti previsti dal GDPR dell'UE, anche se tali diritti non esistono nelle leggi della propria nazione.
Quando i dati dei cittadini dell'UE vengono trattati al di fuori dell'UE da aziende che sono anch'esse al di fuori dell'UE, questo processo non è considerato "all'interno dell'Unione". Ad esempio, il GDPR dell'UE non sarà applicabile a una scuola che ha sede negli Stati Uniti solo perché esiste la possibilità che uno o più dei suoi studenti siano cittadini dell'UE. In questo caso il trattamento non ha luogo "nell'Unione", né l'individuo si trova "all'interno dell'Unione".
Una delle conseguenze della portata extraterritoriale è che le società che non hanno sede nell'UE devono nominare un rappresentante. Tale rappresentante deve avere sede in uno Stato membro in cui si trovano i soggetti interessati. È consentita una limitata deroga solo quando il trattamento è occasionale, non comporta un'elaborazione su larga scala di dati personali sensibili e non è probabile che il fine e il risultato del processare i dati costituiscano un rischio per gli individui.
Checklist della documentazione obbligatoria richiesta dal GDPR dell'UE (in inglese)
Trasferimento di dati personali attraverso le frontiere
Nel trasferimento dei dati, il GDPR impone restrizioni rigorose sui trasferimenti in luoghi al di fuori dell'Unione Europea. Ciò è fatto per garantire la protezione dei dati personali a un livello adeguato. Quando possono essere effettuati trasferimenti di dati verso località al di fuori dell'UE? Come spiega il GDPR, il trasferimento di dati dall'UE può avvenire se c'è:
- una decisione di adeguatezza presa dell'UE (l'UE ha stabilito che un determinato paese ha leggi di protezione dei dati equivalenti a quelle dell'UE)
- esistono garanzie appropriate (ad esempio, contratti che includono le clausole modello UE per il trasferimento di dati personali)
- deroghe specifiche (ad esempio, consenso informato del soggetto interessato)
I trasferimenti di dati sono un'area complicata del GDPR, in particolare perché la questione del consenso è contestata dall'UE e il consenso è ampiamente utilizzato per giustificare il trasferimento transfrontaliero di dati personali. In quanto tali, le organizzazioni che si sono storicamente protette attraverso il consenso dell'utente possono trovarsi nella condizione di dover rielaborare il proprio quadro normativo di trasferimento dati o subire multe elevate.
Tenere protetti i dati personali
Il GDPR dell'UE richiede alle aziende di proteggere i dati personali, come avviene nell'attuale direttiva. Anche se questo obbligo è espresso in termini generali, esso fornisce alcune indicazioni relative alle misure intese a proteggere i dati personali quali:
- crittografia e pseudonimitazione
- garantire e mantenere la riservatezza, l'integrità, la disponibilità e la resilienza dei propri sistemi IT
- la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali
- effettuare regolarmente assistenza e verificare l'efficacia delle misure di sicurezza implementate per proteggere i dati
Le misure sopra menzionate sono solo esempi - non sono obbligatorie - e dovrebbero essere applicate solo "se rilevanti". Quindi, è responsabilità dell'azienda dimostrare che le misure di sicurezza sono adeguate.
Una buona prassi in termini di misure di sicurezza sarebbe la norma ISO 27001, in modo che le aziende possano utilizzarla come punto di partenza per costruire le misure di sicurezza della protezione dei dati.
Checklist della documentazione obbligatoria richiesta dal GDPR dell'UE (in inglese)
Controllori vs processori
Il GDPR dell'UE impone anche nuove sanzioni sui processori di dati. Questo è un grande cambiamento dalle precedenti leggi sulla protezione dei dati, in cui tutti gli obblighi erano incentrati sul controllore (o titolare del trattamento) dei dati. Per una migliore comprensione di cosa sia il GDPR, è importante sapere che, tra le altre cose, i processori (o responsabili del trattamento) di dati devono ora tenere traccia delle attività di trattamento.
Cosa fa un responsabile del trattamento dei dati? Come prima, un processore di dati è un'entità (come una persona giuridica, un'autorità pubblica, un'agenzia o qualsiasi altro organismo) che elabora dati personali per conto di un controllore.
Nuovi diritti per i soggetti fisici
In un aggiornamento importante, il GDPR dell'UE ha introdotto nuovi diritti per i soggetti fisici. Questi sono:
- iritti di accesso, rettifica e portabilità
- il diritto di opporsi
- diritti di cancellazione e restrizione dell'elaborazione
Il più alto profilo di questi cambiamenti è il "diritto di essere dimenticato" (attualmente chiamato "diritto di cancellazione") ampiamente discusso. Questo diritto di cancellazione può essere attivato in determinate situazioni specifiche, come quando l'interessato ritira il proprio consenso o se non esiste più alcuna giustificazione per il trattamento dei dati personali.
Il responsabile dei dati deve rispondere "senza indebito ritardo" quando riceve queste richieste e deve comunicarle a tutte le entità con le quali ha condiviso questi dati. È chiaro che per tutti i diritti dei soggetti fisici esiste un obbligo rigoroso per i responsabili dei dati di censire e mappare i dati personali detenuti per poter rispondere alle richieste di accesso dei soggetti fisici (in tutte le forme) senza ritardi ingiustificati.
Avere o non avere un responsabile della protezione dei dati
All'interno del GDPR c'è anche l'obbligo per alcune organizzazioni di nominare un responsabile della protezione dei dati, anche se solo in casi specifici:
- quando il controllore o il processore è un'autorità pubblica
- quando le attività fondamentali del controllore o del processore di dati consistono in "un monitoraggio regolare e sistematico dei soggetti interessati su larga scala"
- quando il responsabile del trattamento o il processore esegue un'elaborazione su vasta scala di categorie speciali di dati personali (come l'etnia, l'origine razziale, le opinioni politiche, le credenze religiose, ecc.)
Violazioni dei dati e sicurezza
Oltre all'introduzione di nuovi diritti per i soggetti fisici, il GDPR dell'UE introduce anche nuove regole per le violazioni dei dati. Rispetto alla precedente direttiva, il GDPR impone obblighi sia ai controllori di dati che ai processori di dati. Il GDPR offre inoltre orientamenti e esempi per rendere più facile alle organizzazioni di mitigare il rischio. Tra questi sono:
- la pseudonimizzazione dei dati personali (ovvero trattamento dei dati personali in modo che questi non possano più essere attribuiti a un soggetto specifico senza l'uso di informazioni aggiuntive)
- la capacità di ripristinare la disponibilità di dati personali (e di accedere a loro) in modo tempestivo a seguito di incidenti fisici o tecnici
- la capacità di garantire la riservatezza, l'integrità e la resilienza dei sistemi di elaborazione
- aggiungere processi per garantire test regolari e valutazione di misure tecniche e organizzative per garantire la sicurezza dei dati personali trattati
Inoltre, le organizzazioni devono ora rispettare gli standard quando si tratta di violazione delle notifiche. In primo luogo, le organizzazioni che hanno subito una violazione dei dati devono ora comunicare all'autorità di vigilanza (autorità pubblica indipendente stabilita da uno Stato membro a norma dell'articolo 51 del GDPR) "senza indebito ritardo" a meno che la violazione non costituisca alcun rischio per i soggetti interessati. Se esiste un rischio per i singoli individui interessati, le organizzazioni devono anche comunicarlo ai soggetti interessati, di nuovo "senza indebito ritardo".
Multe e sanzioni ai sensi del GDPR
Al fine di spiegare il GPDR, è estremamente importante sapere che una cattiva gestione delle violazioni dei dati sarà punibile con il massimo livello di sanzioni ai sensi del GDPR.
Un altro modo per affermare il proprio impegno a favore della privacy sono le nuove sanzioni, che sono significativamente superiori a quello della precedente direttiva. Le sanzioni possono ora arrivare fino al 4% del fatturato globale della società trovata in violazione. La logica dietro le enormi multe antitrust è abbastanza semplice: le sanzioni più elevate per la non conformità sono intese a produrre livelli di conformità più alti. Sarà sempre più difficile per le aziende accettare un certo livello di rischio quando si tratta di dati personali, perché le sanzioni sono ora molto elevate e potrebbero mettere in ginocchio un'azienda.
Le sanzioni previste dal GDPR ricadono in due categorie in termini di importo dell'ammenda:
- Fino al 2% del fatturato annuo globale o 10 milioni di euro, in caso sia superiore, per l'infrazione nei casi in cui vi sia:
- mancata comunicazione di una violazione dei dati
- mancato rispetto dei principi di privacy secondo i principi di progettazione, come stabilito all'articolo 25 del GDPR
- la mancata nomina di un rappresentante (quando l'entità ha sede al di fuori dell'UE)
- mancato consenso all'elaborazione dei dati dei bambini
- la mancata istituzione di clausole di protezione dei dati adeguate nei contratti con i processori
- mancata nomina di un responsabile della protezione dei dati
- mancata conservazione delle registrazioni scritte
- Fino al 4% del fatturato annuo globale o 20 milioni di euro, in caso questo sia superiore, per reati più gravi come:
- la mancata osservanza dei principi dell'elaborazione legale dei dati stabiliti nel GDPR
- il mancato rispetto delle disposizioni relative ai trasferimenti di dati personali al di fuori dell'UE
- il mancato rispetto dei diritti dei soggetti interessati
Le nuove sanzioni sono inoltre integrate da poteri aggiuntivi facilmente accessibili alle autorità di vigilanza in materia di protezione dei dati, quali l'emissione di avvisi di non conformità, l'esecuzione di verifiche, la necessità di specifiche azioni correttive entro un termine specificato, l'ordinamento di cancellazione dei dati e la sospensione dei trasferimenti di dati a un paese terzo.
L'impatto del GDPR nelle varie giurisdizioni
Che dire dell'impatto del GDPR nelle varie giurisdizioni? L'impatto del GDPR potrebbe essere leggermente diverso per le organizzazioni che operano in giurisdizioni come la Germania, la Francia o i Paesi Bassi dove la legislazione in materia di protezione dei dati è storicamente severa e, in alcuni casi, supera anche la direttiva in vigore. La conformità al GDPR sarà raggiunta più facilmente dalle aziende che operano in queste aree, in quanto le autorità di vigilanza di questi paesi hanno già lavorato diligentemente per proteggere i diritti e le libertà dell'individuo.
Tuttavia, per le altre giurisdizioni in cui le autorità di protezione dei dati "sono dormienti" a causa della mancanza di poteri amministrativi e delle sanzioni quasi insignificanti, le organizzazioni hanno ignorato i rischi per i diritti e le libertà degli individui, sapendo che le autorità di vigilanza non avevano le risorse o la forza per imporre sanzioni ai violatori. I processori, in particolare, saranno colpiti in queste giurisdizioni perché, finora, non sono mai stati il bersaglio delle indagini delle autorità di protezione dei dati.
Un passo in avanti . . . ?
Nel complesso, qual è il significato del GDPR? È indiscutibilmente un passo in avanti necessario per portare nel 21° secolo il quadro giuridico per la protezione dei dati e, combinato con l'emanazione della direttiva sull’E-privacy, non c'è mai stato un cambiamento più radicale nella legislazione sulla protezione dei dati, forse da quando Louis Brandeis ha sostenuto che la privacy era un diritto, e non un privilegio.
In altre parole, se la tua organizzazione non ha iniziato a rivedere il proprio quadro sulla protezione dei dati già, ora è un buon momento per iniziare.
Per ulteriori informazioni sull'implementazione del GDPR dell'UE, visita la nostra pagina GDPR dell'UE Download gratuito. Troverai una serie di risorse utili.