Gdpr, il periodo di tolleranza è finito.
Ora chi non si adegua rischia sanzioni pesanti

Il periodo di tolleranza, durato otto mesi, è terminato.
Come riportato anche dal Sole 24 Ore , dal 19 maggio 2019 , infatti, il nuovo Regolamento europeo sulla protezione dei dati personali ( Gdpr ), deve essere utilizzato senza sbavature, altrimenti si incorre in pesanti sanzioni amministrative.
Dunque, da questo momento in poi, l’ Autorità di controllo non terrà più contro delle naturali difficoltà degli enti, delle aziende private, di professionisti, associazioni o fondazioni nell’approccio a tutte le nuove disposizioni da applicare. Una presa di posizione, già ampiamente annunciata, che impone a chi ancora non avesse provveduto a mettersi in regola con il nuovo regolamento europeo, di adempiere urgentemente agli obblighi previsti dalla legge in materia di privacy .
Come anticipato, le sanzioni amministrative per chi non rispetta il regolamento potranno essere molto pesanti. Si può arrivare fino a 20 milioni di euro o, per le imprese, fino al 4 per cento del fatturato mondiale totale annuo, se superiore, per le violazioni dei principi fondamentali del trattamento e le condizioni relative al consenso, le violazioni dei diritti degli interessati e delle disposizioni del regolamento che disciplinano il trasferimento di dati personali a destinatari in paesi terzi.
Per le violazioni di altra natura si possono infliggere sanzioni fino a 10 milioni euro, oppure fino al 2 per cento del fatturato mondiale totale annuo, se superiore.
Ma cosa devono fare i soggetti indicati per mettersi definitivamente in regola?
Innanzitutto è indispensabile sapere che per dato personale, come l’art. 4, paragrafo 1, punto 1 del Gdpr spiega bene, si intendono “le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”.
Sono per questo importanti i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio: il codice fiscale, l’indirizzo IP, il numero di targa); i dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale.
Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale; i dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto o obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza. Con l’evoluzione tecnologica altri dati personali hanno un ruolo importante, come quelli relativi alle comunicazioni elettroniche (via internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
I protagonisti del Gdpr
I protagonisti del Gdpr sono il titolare di un’impresa, ente o associazione che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7, del regolamento Ue 2016/679); il responsabile , al quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati; l’interessato , al quale si riferiscono i dati personali.
Il titolare del trattamento, una volta individuata la finalità dell’azione da applicare, dovrà verificare se ci sia una idonea base giuridica del trattamento e la proporzionalità e la necessità dei dati richiesti rispetto allo scopo perseguito.
Il titolare, tra i primi passaggi da effettuare, dovrà nominare un responsabile della protezione dei dati personali ( Dpo O Rdp ) in grado di assolvere funzioni di supporto e controllo, formative e informative in merito all’applicazione del Gdpr e che interagisca con l’Autorità garante.
Successivamente il titolare dovrà verificare se alcuni tra i trattamenti dallo stesso realizzati, vedano il coinvolgimento, in tutto o in parte, di soggetti esterni.
Sono obbligati alla nomina di un Dpo le imprese assicurative, gli istituti di credito, le società finanziarie, i sistemi di informazione creditizia, gli istituti di vigilanza, le società di informazioni commerciali, le società di revisione contabile, le società di recupero crediti, i partiti e i movimenti politici, i sindacati, i caf, i patronati, le imprese di somministrazione di lavoro e ricerca del personale, le società operanti nel settore delle telecomunicazioni, distribuzione di energia elettrica o gas, le società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione, le società di call center, le società che forniscono servizi informatici e le società che erogano servizi televisivi a pagamento.
Conservazione dei dati
Tra i vari adempimenti previsti dal Gdpr, c’è quello relativo alla definizione dei tempi di conservazione dei dati ed alla loro conseguente cancellazione (o altro tipo di trattamento) al termine di questi.
Conservare un dato specifico per un tempo superiore al periodo prescritto dalla legge, può portare a un rischio del dato stesso (furti, usurpazioni di identità, perdite finanziarie, perdita della riservatezza dei dati personali protetti da segreto professionale ecc.). Va anche detto, però, che il medesimo dato, se utilizzato per differenti finalità, potrebbe avere tempi di conservazione diversi, che devono di conseguenza essere opportunamente gestiti.
Dove conservare i dati
E’ fondamentale individuare l’esatta ubicazione del dato da proteggere. Una volta chiarito questo punto, si potranno adottare le misure più adeguate dalla protezione del dato stesso. Bisogna inoltre sapere che alcuni processi di trattamento individuati prevedono che il dato venga trasferito e/o collocato al di fuori del territorio dell’Unione Europea.
Responsabilità del titolare del trattamento
Come rilevato dall’art. 24 comma 1 del Gdpr, “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
E’ necessario, quindi, implementare le misure tecniche e organizzative adottate per proteggere i dati utilizzati. Un provvedimento, questo, che spinge il titolare del trattamento a tenersi pronto nel caso dovesse verificarsi una violazione.