Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano ed il nuovo Regolamento lo evidenzia auspicando già nei considerando che i principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero “rispettarne i diritti e le libertà fondamentali…. a prescindere dalla loro nazionalità o dalla loro residenza”.

Fatta questa doverosa premessa per sintetizzare i concetti più importanti introdotti dal Regolamento, propongo la seguente lista di riflessione che mi auguro possa essere utile soprattutto per chi non ha ancora avuto modo di confrontarsi con il GDPR in azienda.

1- Dati personali trattati in azienda:

quali sono i dati di carattere personale che l’azienda detiene? In questo contesto il regolamento ha cambiato anche la definizione di dato personale ampliandolo rispetto a quanto eravamo abituati a definirlo in Italia ed in particolare aggiornandolo al contesto tecnologico in cui viviamo, laddove l’identificabilità può essere desunta semplicemente dall’incrocio semplice di dati raccolti ad esempio tramite la nostra navigazione tramite uno qualsiasi dei devices utilizzati (es. cellulare, pc, ecc.). Il dato personale è infatti una “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” mentre il trattamento è “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”. Effettuare un vero e proprio inventario di ciò che in azienda viene trattato in termini di dati personali è certamente un primo utile passo per comprendere quali azioni a tutela porre in essere. Il focus del Regolamento infatti è garantire il diritto alla protezione dei dati della persona.

2-Diritti dell’interessato:

i dati personali devono essere trattati seguendo i principi riportati dall’art. 5 del GDPR, con limitazione chiara della finalità, esattezza, minimizzandone la richiesta, e garantendone riservatezza ed integrità. L’informativa deve essere adeguata ai nuovi contenuti previsti dal GDPR e genericamente resa in tempi ragionevoli. Il diritto di accesso ai dati personali trattati deve essere garantito all’interessato. È probabile che l’attuale informativa erogata non sia completa rispetto a quanto previsto dal nuovo GDPR. Occorre dunque rivedere anche questa documentazione.

Principi applicabili al trattamento di dati personali
trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)
raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali («limitazione della finalità»)
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)
esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»)
conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal GDPR a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»)
trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)

Occorre adottare le misure tecniche ed organizzative adeguate affinché l’interessato non solo venga informato in modo chiaro e trasparente sul tipo di trattamento e sulle finalità che esso si prefigge di raggiungere ma garantire anche, in linea generale, i nuovi diritti introdotti dal Regolamento (es. diritto all’oblio, diritto alla portabilità del dato quando applicabili, ecc.). L’interessato ha diritto inoltre a sapere se i propri dati valicano i confini europei e con quali garanzie.

Quando il trattamento di dati personali è considerato lecito
l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità.
il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica
il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento
il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore (questo punto non è applicabile però al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti)

Un particolare riguardo deve essere rivolto all’ottenimento del consenso che deve risultare “libero, specifico, informato e inequivocabile” (nonché esplicito per i dati sensibili) e che ora è particolarmente rivolto anche all’attenzione dei minori, affinché siano all’uopo tutelati da chi può farne le veci, per i fornitori di servizi internet e social media. Il consenso dovrebbe poter essere revocato in ogni momento fatto salvo il trattamento fino a quel momento già effettuato. Spetta al titolare valutare il bilanciamento tra libertà, diritti ed interessi dell’interessato al trattamento e l’interesse legittimo proprio.

“I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento.” Ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento, vi è una relazione collegabile al legittimo interesse.

3 - Accountability:

il titolare del trattamento è considerato competente per il rispetto dei principi applicabili al trattamento dei dati personali e deve essere in grado di comprovarlo (responsabilizzazione).  Ciò significa che le decisioni del titolare sulle misure che adotta a protezione dei dati personali dovranno essere documentate opportunamente e comprovabili come tecnologicamente logiche ed in generale “di buon senso” al tempo in cui sono state adottate. La discrezionalità posta in capo al titolare di fatto gli impone, a mio avviso, l’adozione di un modello organizzativo adeguato.

4-Protezione dei dati by design e by default :

mentre il domestico D.Lgs. 196/03 ci aveva abituato a seguire le indicazioni relative alle misure “minime” di sicurezza il legislatore comunitario ora ha cambiato rotta puntando sulla responsabilizzazione di chi tratta dati personali e ponendogli l’obbligo di adottare le misure tecniche ed organizzative “adeguate”, tra le quali evidenzia il nuovo concetto di pseudoanonimizzazione. Tali misure devono essere adottate per impostazione predefinita trattando solo i dati necessari per la finalità specifica del trattamento effettuato. Inoltre, nel progettare il proprio modus operandi, il titolare non può prendere in linea generale decisioni che implicazioni ricadute giuridiche sull’interessato basate solo su di un processo totalmente automatizzato.

5- Valutazione d’impatto :

effettuare una valutazione preventiva sul trattamento di dati personali in azienda è certamente considerata buona prassi ma in alcuni casi il regolamento impone l’adozione della valutazione d’impatto sulla rischiosità dei trattamenti di dati personali in termini di diritti e libertà degli interessati, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali” (data protection impact assessment).

6 - DPO (Data privacy Officer)

questa nuova figura (responsabile della protezione dati) inserita dall’art. 37 del regolamento è da designare in alcuni delimitati casi riportati nel medesimo articolo ma la sua designazione è comunque considerata buona prassi, utile a supportare il titolare nell’applicazione del GDPR. Si tratta di uno specialista nella protezione dei dati personali che deve compiere alcuni determinati compiti (ex art. 39) ma che soprattutto deve essere adeguatamente coinvolto in tutto ciò che è trattamento di dati personali in azienda in modo da poter ben espletare il proprio mandato, in modo indipendente e professionale.

7- Registro dei trattamenti.

In linea generale tutti i titolari ed i responsabili lo devono tenere a disposizione in caso di controlli da parte dell’Autorità (eccezion fatta per gli gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio).

8- Trasferimento dati personali all’estero.

È contemplato solo se lo Stato estero in questione segue regole adeguate agli standard di sicurezza di cui al GDPR. Inoltre nel caso in cui si trattino dati personali in più stabilimenti anche europei occorre evidenziare quale sia l’autorità capofila cui fare riferimento.

9- Segnalazione violazioni (data breaches).

“Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo” (entro 72 ore). Occorre assicurarsi di adottare adeguate procedure per individuare, segnalare (ed eventualmente investigare) su una eventuale violazione dei dati personali. In caso di violazioni infatti il nuovo regolamento impone la notifica all’autorità di controllo ed eventualmente anche ai soggetti interessati