GDPR: cosa fare per mettere in regola un sito web
8th Maggio 2018I principi di “Privacy by design” e “Privacy by default”
In linea di massima possiamo dire che il GDPR, seppur con una certa approssimazione (che lascerà non pochi dubbi in fase applicativa) traccia un perimetro molto netto e rigoroso statuendo alcuni principi di natura decisamente innovativa.
Tra questi principi, un posto di primo piano è riservato ai concetti di “Privacy by design” e “Privacy by default”, i quali impongono al titolare del trattamento una protezione dei dati fin dalla progettazione del database e per impostazione predefinita, così come previsto nell’art.25 del Regolamento UE:
Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1.Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica
(…)
Vediamo, di seguito, come devono essere intesi i concetti esplicitati in questo articolo del regolamento UE:
- Privacy by design: viene introdotto il concetto di “privacy by design”, cioè l’onere, per chi costruisce un database di informazioni personali, di organizzarlo e strutturarlo avendo ben in mente gli obblighi imposti dalla nuova normativa: eventuali problemi legati alla riservatezza dei dati, in altre parole, vanno prevenuti (e non corretti!) utilizzando tecniche adeguate come la pseudonimizzazione dei dati. In altre parole, qualora un soggetto intenda trattare dati altrui, deve prevedere un sistema che, sin dall’inizio dell’attività, riduca al minimo i rischi di una possibile violazioni dei dati raccolti.
- Privacy by default: la quantità di dati raccolti ed il tempo di loro conservazione non deve eccedere il minimo necessario all’espletamento delle finalità perseguite dal trattamento. In quest’ambito diventa centrale il concetto di minimizzazione, cioè quel principio che impone la riduzione al “minimo indispensabile” dei dati richiesti obbligatoriamente in fase di iscrizione ad un servizio secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità dichiarate.
La responsabilità (accountability)
Uno degli elementi centrali della nuova normativa introdotta dal GDPR è il principio di accountability (impropriamente tradotto in italiano come “responsabilità del titolare del trattamento”).
Questo principio è sancito dall’articolo 24:
Articolo 24 – Responsabilità del titolare del trattamento
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
(…)
Il citato articolo prevede che il titolare del trattamento è tenuto ad adottare politiche e misure adeguate per garantire e dimostrare che il trattamento dei dati personali è conforme a quanto previsto dalla nuova normativa. Il principio di accountability, quindi, prevede che il titolare non debba solo adempiere, ma anche provare ogni singolo adempimento.
Un altro elemento centrale del principio di accountability è la discrezionalità (la norma parla di “misure tecniche e organizzative adeguate”): il titolare del trattamento, infatti, è libero di decidere quali modalità adottare per la protezione dei dati personali (il GDPR non offre alcun elenco tassativo) ma, allo stesso tempo, tale discrezionalità è accompagnata dall’onere di dimostrare le motivazioni delle proprie scelte (oltre che di documentarle).
Notifica delle violazioni (data breach)
Un altro elemento fortemente innovativo del GDPR riguarda il data breach, cioè il comportamento da tenersi in caso di violazioni a carico dei dati.
Il riferimento normativo del data breach è contenuto nell’articolo 33:
Articolo 33 – Notifica di una violazione dei dati personali all’autorità di controllo
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
(…)
In altre parole, il GDPR impone al titolare del trattamento di effettuare un controllo costante dei dati e di comunicare tempestivamente alle autorità competenti eventuali violazioni dei dati; tale comunicazione può essere omessa solo se la violazione subita non sia tale da comportare rischi morali e/o materiali per i soggetti coinvolti.
Diritto all’oblio
Con l’entrata in vigore del GDPR vi sono novità sostanziali anche per il cosiddetto diritto all’oblio.
Con il GDPR, infatti, questo diritto assume una veste normativa (Articolo 17) che ne determina, con una certa precisione, l’ambito di applicazione ed anche i casi nei quali può legittimamente essere escluso (come, ad esempio, qualora sussista un diritto di cronaca).
Altre novità del GDPR
Oltre ai principi appena citati, il GDPR introduce nel nostro ordinamento numerose altre novità in tema di:
- raccolta e validità del consenso dell’interessato (con importanti ripercussioni sulle modalità di redazione della privacy policy);
- raccolta, elaborazione e conservazione dei dati.
Vedremo tutte queste novità nel proseguo dell’articolo, quando entreremo nel vivo degli aspetti pratici legati all’adozione del Regolamento UE 2016/679.
Quando entra in vigore il GDPR?
Il GDPR diventerà operativo a partire dal 25 maggio 2018. La norma in questione, essendo contenuta in un Regolamento UE, sarà direttamente operativa negli stati membri senza necessità di recepimento da parte dei parlamenti nazionali. Si tratta, pertanto, di un atto giuridico direttamente vincolante non solo per gli Stati ma anche per i singoli individui e le altre persone giuridiche (enti, società, ecc.) che, a partire dal 25 Maggio, dovranno adeguarsi obbligatoriamente alla nuova normativa.
GDPR: cosa succede se non mi adeguo?
Adeguarsi al GDPR non è una facoltà ma un obbligo. Il GDPR è una norma imperativa di natura comunitaria, assolutamente efficace e vincolante nei confronti di tutti i soggetti residenti in uno degli stati membri della UE.
Il mancato adeguamento ai dettami del GDPR può comportare sanzioni molto pesanti, con multe fino a 20 milioni di Euro o fino al 4% del fatturato dell’anno precedente (se da tale percentuale scaturisce una somma maggiore a 20 milioni).
L’autorità chiamata a garantire (e valutare) il rispetto del GDPR in Italia è il Garante della Privacy.
Fonte mrwebmaster.it
