GDPR, protezione e libera circolazione dei dati e di privacy: facciamo il punto della situazione.

Di Giuseppe Miceli

In questi ultimi mesi si continua a parlare molto di GDPR (il Reg. UE 679/2016) di protezione dei dati e di privacy.

Proprio in concomitanza con l’approvazione, da parte del Consiglio dei Ministri, del decreto legislativo di adeguamento dell’ordinamento interno alla normativa europea in materia di protezione dei dati personali, proviamo a fare il punto della situazione.

Come è arcinoto, lo scorso 25 maggio 2018 è diventato operativo il nuovo Regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati”. Si tratta dello stesso “General Data Protection Regulation” (acronimo: GDPR) che era già entrato in vigore ben due anni prima, ovvero il 24 maggio 2016, su tutto il territorio UE. Il nuovo Regolamento, composto da 173 “considerando” e 99 articoli, costituisce, insieme alla Direttiva (UE) n. 2016/680, il “Pacchetto di protezione dei dati” e realizza la riforma che definisce il rinnovato quadro comune europeo in materia di tutela dei dati personali e di rimozione degli ostacoli alla libera circolazione dei dati personali all’interno dell’EU, che rischierebbe altrimenti di penalizzazione delle attività economiche, il tutto in piena coerenza con un più ampio progetto di armonizzazione normativa europea.

A destare l’interesse generale e l’attenzione, soprattutto degli addetti ai lavori, sono le nuove regole sancite dal GDPR e, ancor più, le ricadute in termini di adempimenti che il legislatore comunitario pone a carico delle imprese e degli Enti di cui si compone la Pubblica Amministrazione, ovvero dei soggetti chiamati a garantire che i dati concernenti persone identificate o identificabili che siano utilizzati per le proprie finalità istituzionali, vengano effettivamente trattati nei limiti delle funzioni dell’ente e siano protetti con nuovi e idonei strumenti.

Il rinnovato impianto normativo in materia di protezione dei dati si erge su principi di fondamentale importanza che, per la prima volta, vengono normativizzati in virtù del loro inserimento nel testo dell’art. 5 del GDPR, il quale – per l’appunto – sancisce le disposizioni generali sui principi la cui valenza deve trovare applicazione in ogni fase del trattamento dei dati. Ecco quindi che i principi applicabili al trattamento dei dati personali sono: liceità, correttezza e trasparenza (art. 5, lett. a); limitazione della finalità (art. 5, lett. b); minimizzazione dei dati (art. 5, lett. c); esattezza (art. 5, lett. d); limitazione della conservazione (art. 5, lett. e); integrità e riservatezza (art. 5, lett. f) e, ancora, responsabilizzazione – nell’accezione inglese, accountability – (art. 5, comma 2).

L’aver sancito l’importanza del principio di accountability ha significato – di fatto – uno spostamento della linea che segna l’inizio della responsabilità imputabile al titolare del trattamento dei dati. Il principio di responsabilizzazione porta con sé il nuovo obbligo di rendicontazione o, come recita il regolamento generale nella versione in lingua italiana, l’obbligo di “comprovare”, cioè di essere in grado di dimostrare di aver adottato e attuato i presidi di prevenzione e di rimedio contro eventuali violazioni di dati o data breach.

In virtù del principio di accountability, al titolare del trattamento viene imposto il nuovo obbligo di garantire l’adozione di un sistema di controllo di gestione dei dati di propria pertinenza, nonché di dimostrare – ex ante – la propria diligenza e l’idoneità del sistema a limitare o evitare possibili danni a diritti e libertà degli individui.

La stessa struttura che il legislatore definisce con l’espressione Data Protection Impact Assessment (DPIA) realizza il principio della responsabilizzazione. L’obbligo, per il titolare del trattamento dei dati, di predisporre la DPIA comporta una propedeutica valutazione d’impatto del rischio privacy, che consentirà al titolare stesso di progettare e costruire il Piano di Valutazione di Impatto mettendo in atto tutta quella serie di misure tecniche e organizzative che siano adeguate a garantire il trattamento, per impostazione predefinita, dei soli dati personali che risultino essere strettamente necessari in relazione a ciascuna specifica finalità del trattamento. Si tratta, quindi, di dare concreta attuazione a un altro fondamentale principio sancito dal GDPR: il principio “data protection by default and by design”. Anche questo, un principio non nuovo ma che per la prima volta trova residenza in un atto normativo formale.

Ci piace pensare a un legislatore comunitario che abbia voluto concepire il principio di responsabilizzazione, come se questo fosse la “prima pietra” di una struttura – che lo stesso legislatore indica con l’espressione privacy by design – idonea a realizzare – by default – la protezione dei dati personali. Ed, in effetti, il GDPR ben potrebbe rappresentare, per il titolare del trattamento, un progetto che in continua evoluzione e sviluppo garantisce il corretto trattamento dei dati e la giusta protezione contro il crescente rischio di data breach e gli impatti negativi che possono generarsi sulle libertà e sui diritti degli interessati.

In tale contesto, il decreto legislativo che il Consiglio dei ministri ha appena licenziato completa il quadro normativo di riferimento e, oltre a ribadire l’importanza di tali principi, introduce alcune importanti novità che potranno essere meglio comprese quando il testo del decreto sarà pubblicato in gazzetta ufficiale.

Da una prima analisi emerge che il Governo ha deciso di riconoscere un “periodo di grazia” di 8 mesi rispetto alla piena operatività delle attività di ispezione del Garante Privacy o, quantomeno, rispetto alla portata del potere sanzionatorio che ne consegue.

Tuttavia, la sanzione applicabile resta definita nella soglia massima di 10 milioni di euro nei confronti di quei soggetti obbligati che non effettuino la prescritta valutazione di impatto del trattamento dati personali.

Si prevede la definizione agevolata delle liti pendenti al 25 maggio, innanzi all’Autorità garante, con il pagamento nella misura di due quinti del minimo edittale, opzione che dovrà essere esercitata entro 90 giorni dall’entrata in vigore del decreto legislativo.

Viene riconosciuta maggiore rilevanza al principio di contraddittorio davanti al garante privacy.

Sono, altresì, previste alcune semplificazioni per le PMI che dovrebbero assicurare alle imprese una più agevole azione di adeguamento alle regole europee sulla protezione dei dati.

Il decreto, che non abroga interamente il Codice privacy ma ne apporta sostanziali modifiche, fa salvo e, anzi, amplia il quadro delle sanzioni penali, per la cui applicazione rileva il danno e la finalità lucrativa.

Sono previste sanzioni più severe in materia di marketing selvaggio, ovvero in presenza di trattamenti illeciti di dati su larga scala e, sempre sul fronte del diritto penale, trova inserimento il concetto di trattamento di dati su larga scala come ai fini della configurabilità dei reati previsti e puniti dall’art 167 bis e ter del codice privacy.

Attendiamo ora la pubblicazione del decreto legislativo in Gazzetta ufficiale per una più approfondita analisi.

Questo sito web utilizza i cookie

Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi, i cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Tuttavia, la disattivazione di alcuni di questi cookie potrebbe influire sulla tua esperienza di navigazione.

Necessari

Sempre abilitato

I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questi cookie garantiscono le funzionalità di base e le caratteristiche di sicurezza del sito web, in modo anonimo.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 mesi 27 giorni	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 anno	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 mesi	I cookie statistici aiutano i proprietari del sito web a capire come i visitatori interagiscono con i siti raccogliendo e trasmettendo informazioni in forma anonima.
cookielawinfo-checkbox-functional	11 mesi	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 mesi	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 mesi	I cookie necessari contribuiscono a rendere fruibile il sito web abilitandone funzionalità di base quali la navigazione sulle pagine e l'accesso alle aree protette del sito. Il sito web non è in grado di funzionare correttamente senza questi cookie.
cookielawinfo-checkbox-others	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 anno	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	sessione	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 mesi	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Funzionali

I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.

Cookie	Durata	Descrizione
__fb_chat_plugin	nessuna	This cookie is used to track the user's interaction with facebook chat widget.
messaging_plugin	nessuna	This cookie is used by Facebook to enable its chat widget functionalities.

Performance

Statistiche

I cookie statistici vengono utilizzati per capire come i visitatori interagiscono con il sito web. Questi cookie aiutano a fornire informazioni sulle metriche del numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc. ,sempre in forma anonima.

Cookie	Durata	Descrizione
_ga	2 anni	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_79607285_1	1 minuto	Set by Google to distinguish users.
_gcl_au	3 mesi	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 giorno	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
CONSENT	2 anni	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Marketing

I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci e campagne di marketing pertinenti. Questi cookie tracciano i visitatori attraverso i siti Web e raccolgono informazioni per fornire annunci personalizzati.

Cookie	Durata	Descrizione
IDE	1 anno 24 giorni	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minuti	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 mesi 27 giorni	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	sessione	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Non Classificati

GDPR, protezione e libera circolazione dei dati e di privacy: facciamo il punto della situazione.

CONTATTI

Indirizzo: via Risorgimento, 36
48022 Lugo (RA)
Partita Iva: 02574830390
Email: info@betaimprese.com

TAGS

AZIENDA

NEWSLETTER

GDPR, protezione e libera circolazione dei dati e di privacy: facciamo il punto della situazione.

CONTATTI

Indirizzo: via Risorgimento, 36 48022 Lugo (RA) Partita Iva: 02574830390 Email: info@betaimprese.com

TAGS

AZIENDA

NEWSLETTER

Questo sito web utilizza cookie

Indirizzo: via Risorgimento, 36
48022 Lugo (RA)
Partita Iva: 02574830390
Email: info@betaimprese.com