GDPR: le norme del regolamento europeo sul trattamento dei dati

Secondo una ricerca realizzata dalla Commissione europea, nel 2020 il valore del mercato dei dati – i digital data utilizzati come prodotto/servizio - nell’Unione europea sarà di 77 miliardi (al momento, siamo a quota 65). L’economia dei dati invece, cioè il loro sfruttamento vero e proprio, passerà dai 335 miliardi del 2017 ai 365 stimati nel 2020.

Fatta questa premessa, partiamo col dire che le norme del GDPR interessano tutte le imprese dei Paesi appartenenti all’Unione Europea ed è obbligatorio selezionare una figura professionista che si occupi della circolazione dei digital data. Nel caso in cui questa circolazione interessi nazioni non appartenenti all’Unione, le aziende in questione dovranno comunque rispettare le normative presenti nel regolamento e nominare un rappresentante in uno dei paesi facenti parte dell’Ue.

Essendo uno dei punti fondanti (nonché un obbligo) del GDPR, quello di informare tutti gli utenti sulle modalità di trattamento dei dati, è estremamente importante la chiarezza nell’esposizione della normativa, argomento a cui il regolamento stesso dedica un intero articolo, il n°12, nel quale si parla di facilitare il più possibile la lettura evitando testi prolissi e un linguaggio estremamente tecnico e privilegiando sinteticità e chiarezza. Ovviamente, il rischio di tale decisione è quello di non avere un regolamento dettagliato ed esaustivo al punto giusto. Si potrebbe però ovviare al problema mostrando inizialmente una versione sintetica della norma che rimandi al regolamento integrale.

Una delle novità del GDPR riguarda poi l’introduzione di nuovi diritti, in particolare il “diritto all’oblio”, il “diritto alla limitazione” e il “diritto alla portabilità”.

Per quanto riguarda il primo, altro non è che il precedente diritto alla cancellazione, aggiornato però in relazione alle problematiche inerenti motori di ricerca e social network. In breve, una volta resi pubblici i dati, il responsabile del loro trattamento dovrà avvisare gli altri titolari dei trattamenti della richiesta e far loro eliminare ogni singola riproduzione o link collegati ai dati personali in questione.

Il “diritto di limitazione”, invece, può essere esercitato nel caso in cui sia necessaria la modifica di alcuni dati; questa operazione richiede infatti tempo e, per questo, il diretto interessato potrà richiedere il loro blocco temporaneo.

Il “diritto alla portabilità”, infine, permetterà all’interessato di riottenere i dati dal titolare, oppure di passarli ad un nuovo titolare «senza impedimenti da parte del titolare del trattamento cui li ha forniti», come cita testualmente l'articolo 2o del GDPR.

Importante: tutti questi diritti sono gratuiti e i titolari del trattamento dati possono richiedere un contributo spese solo in casi specifici, ad esempio quando vi è una ripetitività nella richiesta, oppure se questa è priva di fondamenta.

Ma chi sono i componenti del “team privacy” che devono essere presenti in ogni azienda?

Sono il titolare, il responsabile, un incaricato e il DPO (Data Protection Officer).

Per nominare un responsabile del trattamento dei dati, il titolare dovrà farlo stipulando un contratto o atto giuridico conforme al diritto nazionale, in cui siano pianificati e regolamentati gli argomenti presenti nel paragrafo 3 dell’articolo 28 del GDPR.

Dovranno quindi essere presenti «la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento».

Se vi è poi l’intenzione di nominare un sub-responsabile, il responsabile del trattamento dovrà realizzare un’autorizzazione scritta e informare il titolare di eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento stesso.

Per quanto riguarda il cosiddetto incaricato al trattamento dati, nel GDPR viene definito come di una «persona autorizzata al trattamento dei dati personali».

Veniamo ora alla tanto nominata figura del responsabile della protezione dei dati, conosciuta con la sigla DPO (Data Protection Officer).

I parametri che portano alla necessaria nomina di un DPO sono attività principale e larga scala, dove per quest’ultimo si intendono tutte quelle attività per le quali risulta necessario il trattamento di un’ingente mole di dati personali (da regionali a nazionali, ad internazionali), che potrebbero quindi interessare un gran numero di utenti e, di conseguenza, presentare rischi elevati.

Per decidere se il trattamento sia effettivamente su larga scala, vanno considerati alcuni parametri come il numero di soggetti interessati dal trattamento, che va espresso in percentuale in base alla popolazione di riferimento, il volume dei dati e/o le tipologie di dati oggetto di trattamento. Un altro elemento che porta alla necessaria nomina di un DPO è poi il «monitoraggio regolare sistematico» degli interessati.

Definiamo ora il concetto di valutazione di impatto e cerchiamo di capire quando questa si rende necessaria.

La valutazione di impatto o DPIA (Data Protection Impact Assessment) è da effettuarsi nel momento in cui il trattamento dati presenti rischi elevati per le persone coinvolte e possa, in qualche modo, ledere i loro diritti.

Ovviamente, tale situazione è più facile che si presenti nel caso di trattamenti in larga scala e, in ogni caso, può certamente essere utile tenerne conto fin dalla fase di progettazione della protezione dei dati. In questo modo, si avrà fin da subito un’idea più chiara di quali potranno essere i trattamenti ad alto rischio. Insomma, per farla breve, protezione dei dati e valutazione di impatto vanno necessariamente trattate di pari passo e integralmente l’una all’altra.

Chiudiamo il discorso GDPR cercando infine di capire qualcosa in più sui cosiddetti Data Breach, ovvero quelle violazioni della sicurezza informatica che portano alla perdita, distruzione o diffusione illecita dei dati personali trattati. Vediamo come come muoversi nel caso in cui si verifichi una problematica di questo tipo.

Intanto, è importante distinguere tra “rischio” e “alto rischio”. Nel caso in cui la questione rientri nella prima tipologia, l’autorità garante deve necessariamente essere informata del Data Breach. Se invece ci si trova in una situazione di “alto rischio”, bisogna informare anche i diretti interessati coinvolti.

Per quanto riguarda le sanzioni, invece, per un primo periodo si opterà quasi sicuramente per un approccio “morbido”, soprattutto se si tratta di semplice negligenza dovuta ancora alla novità del regolamento.

Le sanzioni verranno comunque calcolate in base al fatturato complessivo dell’impresa e, in alcuni casi, anche in base al gruppo di appartenenza, secondo la logica del diritto antitrust Ue, con dei massimali compresi tra il 2% e il 4% del fatturato mondiale.

Per quanto riguarda le «altre sanzioni», invece, il GDPR si appoggia ai vari diritti nazionali, in particolare in materia di violazioni che lo stesso regolamento non sottopone a sanzioni pecuniarie e per definire se le sanzioni si possono applicare anche ai soggetti pubblici.

Vuoi rimanere sempre aggiornato sulle principali news di Marketing? Clicca qui!