Il GDPR è una normativa di nuova generazione: non impone soltanto nuove regolamentazioni, ma segna una vera e propria rivoluzione nell’approccio al trattamento dei dati personali. Le normative attuali sulla data protection (risalenti al 1995) sono state ideate in un periodo in cui internet era agli albori e la raccolta dei dati era radicalmente diversa rispetto all’attuale.Oggi i dati sono una materia prima, un bene essenziale dell’economia. Per comprendere la portata del fenomeno, basti pensare che senza la raccolta e lo scambio efficiente di dati non potrebbero esistere la sharing economy, il marketing comportamentale, il behavioral advertising e l’Internet of Things.

La raccolta del consenso è il nodo principale attorno a cui si articolano le principali criticità per le aziende che utilizzano i dati. Attualmente in Italia vige il meccanismo (molto rigido e formale) del consenso espresso (o metodo opt-in): il consenso è valido esclusivamente se raccolto tramite dichiarazione dell’interessato di accordo all’utilizzo dei propri dati. Non basta il silenzio-assenso.

Altri Paesi europei, da tempo, hanno sposato la logica del consenso presunto in base ai comportamenti dell’utente. Nel Regno Unito, ad esempio, vale il meccanismo dell’opt-out: viene automaticamente presunto il consenso a meno di una negazione esplicita.

La nuova regolamentazione, per armonizzare istanze e regole diverse, trova un punto di equilibrio: il consenso sarà valido se manifestato in modo non equivoco attraverso comportamenti concludenti positivi. Non deve quindi essere esplicitato con una casella barrata o con la firma di un modulo, ma vale se deriva da un’azione compiuta dall’utente.

Siamo già abituati a questo tipo di consenso grazie al funzionamento dei banner dei cookies. Restano comunque valide le forme di consenso tipicamente italiane (con caselle da barrare e moduli da firmare), ma si aprono nuovi scenari e nuove possibilità.

No, la normativa europea del GDPR diventa applicabile dal 25 maggio 2018. Quello che si può fare in questo periodo è effettuare test per verificare l’efficacia di questi meccanismi alternativi per la raccolta dei consensi e l’adeguatezza delle soluzioni tecniche.

Allo stesso modo, non è ancora possibile raccogliere il consenso con i riferimenti alla nuova norma UE 2016, ma occorre attenersi alla dicitura 196/2003.

Siamo abituati a informative chilometriche, stracolme di riferimenti normativi, illeggibili: la vera sconfitta per un utilizzo consapevole ed efficace dei dati. Il GDPR rivoluziona l’informativa: semplice, trasparente, comprensibile, senza riferimenti normativi, scritta in linguaggio corrente. Deve consentire di comprendere, a colpo d’occhio, che fine fanno i dati forniti.

L’informativa deve essere strutturata per facilitare una lettura a più livelli o progressiva (in inglese, layered notice): un primo livello di lettura molto semplice a cui far seguire paragrafi di approfondimento, maggiori riferimenti e, perché no, anche un clip video che spieghi le finalità del trattamento.

Le misure di sicurezza da adottare sono quelle previste dall’art. 32 del Regolamento 2016/679, che riporto qui di seguito:

Articolo 32

Sicurezza del trattamento

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Il  DPO è una nuova figura-chiave introdotta dal GDPR. Un ruolo interno alle aziende che ha il compito di verificare il corretto trattamento dei dati, predisporre il documento di Privacy Impact Assesment  e in generale valutare che non vi siano rischi legati al trattamento dei dati.

Molte aziende vivono la possibilità di sanzioni in caso di mancata compliance come una delle implicazioni più minacciose del GDPR. Facciamo un po’ di chiarezza.

Le sanzioni imposte dal GDPR saranno più alte delle attuali. Il limite massimo sarà stabilito dall’autorità nazionale (in Italia, il Garante per la protezione dei dati e i giudici), in base ai seguenti criteri:

• Se l’autore della sanzione è un’azienda singola (non parte di gruppi), la sanzione massima arriva a 20 milioni di euro
• Se l’autore della sanzione fa parte di un gruppo, la sanzione viene calcolata in base percentuale sul fatturato dell’intero gruppo fino al 4% del fatturato mondiale

Paiono sanzioni altissime, ma si tratta in realtà della soglia massima: la sanzione minima può essere ben diversa. L’ammontare della sanzione minima verrà decisa dai singoli legislatori nazionali, ed è attualmente in corso di valutazione.

La norma sancisce il diritto ad ottenere la cancellazione dei propri dati personali dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità (come, per esempio, nell’ipotesi di una persona che è stata assolta da un’accusa di cui i giornali e le testate online avevano dato notizia). Questo diritto si estende anche ai casi in cui un soggetto chiede la cancellazione dei propri dati personali, così revocando il consenso al trattamento concesso per fruire di un determinato servizio. Il diritto all’oblio del cittadino potrà essere limitato solo per garantire la libertà di espressione volta alla tutela di un interesse generale (ad esempio la salute pubblica) o quando i dati trattati in forma anonima dal titolare del trattamento siano necessari per la ricerca storica o per finalità scientifiche o statistiche.

Solo se ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati; b) il trattamento è necessario all'esecuzione di un contratto o di misure precontrattuali; c) il trattamento è necessario per adempiere ad un obbligo di Legge; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; e) il trattamento è necessario per la salvaguardia di un compito di interesse pubblico; f) il trattamento è necessario per il perseguimento del legittimo interesse dell'interessato.

Se il trattamento è basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali. La richiesta di consenso deve essere presentata in forma facilmente comprensibile ed accessibile, utilizzando un linguaggio semplice e chiaro. L'interessato ha il diritto di revocare il consenso in qualsiasi momento.

E' vietato. Il trattamento è ammesso solo se l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche. E' ammesso anche nei seguenti casi: necessità di assolvere agli obblighi ed esercitare diritti in materia di diritto del lavoro e della sicurezza sociale; per tutelare un interesse vitale dell'interessato o di un'altra persona fisica; quando il trattamento è effettuato da una fondazione, da un'associazione od altro organismo senza scopo di lucro che persegue finalità politiche, religiose o sindacali; i dati trattati sono resi manifestamente pubblici dall'interessato.

1) L' identità e i dati di contatto del titolare del trattamento e del suo rappresentante; 2) I dati di contatto del responsabile della protezione dei dati; 3) Le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; 4) Gli eventuali destinatari dei dati personali. Inoltre, per garantire un trattamento corretto e trasparente, è necessario fornire all' interessato anche le seguenti informazioni: 1) il periodo di conservazione dei dati personali; 2) l'esistenza del diritto di chiedere al titolare l' accesso ai dati personali e la rettifica o cancellazione degli stessi, oltre al diritto alla portabilità dei dati; 3) il diritto di proporre reclamo a un' autorità di controllo; 4) se la comunicazione di dati personali è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l' interessato ha l'obbligo di fornire i dati personali; 5) l'esistenza di un processo decisionale autorizzato.

E' colui che "da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Può essere "la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza". In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il titolare del trattamento non è chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l'obbligo di notifica al Garante nei casi previsti. Il titolare del trattamento deve quindi porre in atto misure tecniche ed organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell'interessato.

Le autorità competenti restano i singoli Garanti nazionali (in Italia il Garante per la protezione dei dati personali) ed i giudici competenti, attraverso il . Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, l’Agenzia delle Entrate e la Polizia Postale.