GDPR - Reg. UE 679/2016
Il GDPR (General Data Protection Regulation) – Reg. Eu 679/2016 è una normativa che riguarda la protezione dei dati personali dei cittadini dell’Unione Europea e ha lo scopo di garantire un controllo più rigoroso e uniforme sulla gestione e il trattamento dei dati personali da parte delle organizzazioni.
Il GDPR è entrato in vigore il 25 maggio 2018 e ha sostituito la precedente Direttiva sulla protezione dei dati del 1995: la sua principale caratteristica è quella di avere un’applicazione extraterritoriale, il che significa che si applica non solo alle aziende con sede nell’UE, ma anche a tutte le organizzazioni esterne che trattano dati personali di cittadini dell’UE nel contesto delle attività legate all’offerta di beni e servizi o al monitoraggio del loro comportamento all’interno dell’Unione.
Le principali disposizioni includono:
Principi fondamentali: Il GDPR stabilisce principi chiari e trasparenti relativi al trattamento dei dati personali, tra cui l’obbligo di ottenere il consenso esplicito dell’individuo per il trattamento dei suoi dati e l’obbligo di fornire informazioni chiare riguardo al trattamento stesso.
Diritti dell’interessato: Il regolamento riconosce e rafforza i diritti degli individui riguardo ai propri dati personali, inclusi il diritto all’accesso, alla rettifica, all’oblio, alla portabilità dei dati e il diritto di opporsi al trattamento.
Responsabile del trattamento e incaricato del trattamento: Le organizzazioni sono tenute a designare un Responsabile della Protezione dei Dati (RPD o DPO – Data Protection Officer) in alcuni casi specifici e a designare chiaramente gli incaricati che gestiscono i dati personali.
Notifica delle violazioni dei dati: Le aziende sono obbligate a notificare tempestivamente le violazioni dei dati personali all’autorità di controllo competente e, in alcuni casi, agli individui interessati.
Trasferimento internazionale di dati: Il GDPR stabilisce requisiti riguardo al trasferimento di dati personali al di fuori dell’UE, al fine di garantire un livello adeguato di protezione dei dati anche in tali casi.
Sanzioni e multe: Il regolamento prevede sanzioni e multe significative in caso di violazioni delle norme sulla protezione dei dati, con importi che possono raggiungere una percentuale significativa del fatturato annuale globale dell’organizzazione in questione.
Soluzione GRC
I° Parte
- Pianificazione attività con GANTT;
- Sezione formativa con rilascio di attestati di partecipazione;
- Interviste al personale dell’organizzazione, strutturate per processi e funzioni organizzative: questo consente di ottenere una visione approfondita delle tipologie di dati personali gestiti, dei trattamenti, dei supporti di archiviazione utilizzati, acquisendo tutte le informazioni rilevanti ai fini della definizione del contesto a cui applicare l'impianto normativo.
II° Parte
- Caricamento delle informazioni nel tool KeyMap (Software proprietario per l’implementazione del sistema privacy), per la strutturazione e formalizzazione delle informazioni raccolte;
- Analisi del rischio con metodologia ENISA;
- GAP analysis con metodo ISO/IEC 27001;
- Redazione Registro dei Trattamenti;
- Costruzione dell’Organigramma Privacy e definizione delle responsabilità interne ed esterne.
III° Parte
- Supporto e affiancamento per l'implementazione dell’apparato documentale;
- Stesura Policy Diritti degli Interessati, Policy Data Breach, BYOND Policy;
- Servizio DPO esterno;
- Supporto legale per l’aggiornamento della contrattualistica aziendale;
- Revisione e mantenimento puntuale del Registro dei Trattamenti con software Keymap.
Il Documento di Conformità descrivere il Sistema di Gestione Privacy adottato “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio”, nonché delle misure di sicurezza sia tecniche che organizzative adeguate che devono essere adottate in via preventiva da tutti coloro che trattano dati personali, (Art. 32 GDPR) ed in applicazione dei principi di privacy by design e privacy by default (art. 25 GDPR).
Il Documento costituisce un valido strumento per la dimostrazione del principio di accountability (“responsabilizzazione”) del Titolare, come richiesto dagli art. 5 e 24 del Reg. UE 2016/679.
Il Documento si compone di:
- Quadro d’insieme: Visualizzazione tabellare di processi organizzativi, ricognizione di attività di trattamento, dati personali e loro tipologia;
- Trattamenti, finalità e basi giuridiche: Visualizzazione tabellare con evidenza puntuale del trattamento, della sua finalità e pertinente Base giuridica;
- Analisi del rischio in conformità alle indicazioni di ENISA (l’Agenzia europea per la sicurezza delle reti e dell’informazione) e allo standard ISO/IEC 29134:2017;
- Gap Analysis delle misure di sicurezza adottate in relazione con lo standard ISO/IEC 27001:2013;
- “Registro Attività di Trattamento del Titolare”;
- “Registro “Attività di Trattamento del Responsabile”;
- “Registro dei Responsabili”;
- “Registro Trattamenti/ruoli”;
- Analisi del livello di rischio specifico per risorse e trattamenti.
Articolo 83
Condizioni generali per infliggere sanzioni amministrative pecuniarie
“In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie…”
“…fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore” (Art. 83, comma 4 GDPR).
“…fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore” (Art. 83, comma 5 GDPR).
Alcuni esempi di sanzioni:
Mancata informativa e violazioni artt. 5, 8, 28 e 32 de GDPR: 80.000 euro all’Ospedale “A. Cardarelli” di Napoli e 60.000 euro alla Scanshare s.r.l. per molteplici violazioni del GDPR, durante la procedura concorsuale. Le violazioni dei principi di liceità, correttezza e trasparenza, (art. 5, par. 1, lett. a); dell’art. 13 del Regolamento, in quanto non è stata fornita agli interessati un’idonea informativa; dell’art. 28 del Regolamento, in quanto l’Azienda ha omesso di regolamentare il rapporto con la Società; degli artt. 6 e 9 GDPR e degli artt. 2-ter, 2-sexies, 2-septies del Codice, in quanto i dati relativi alla salute sono stato trattati, comunicati e diffusi in assenza di un’idonea base giuridica; dell’art. 32 in quanto non sono state adottate adeguate misure tecniche e organizzative volte a garantire la riservatezza e l’integrità dei dati personali trattati.
Monitoraggio dei dipendenti: 35.258.707 euro a H&M per profilazione dei dipendenti. La sanzione è stata comminata dal Commissario di Amburgo per la protezione dei dati e la libertà di informazione (HmbBfDI).
Anonimizzazione mediante iniziali: 4.000 euro al Comune di Greve in Chianti e 6.000 euro all’Unione di Comuni per aver pubblicato, nella sezione “Albo online” del sito web istituzionale del Comune, una determinazione del Segretario Generale, al cui interno erano menzionati riferimenti a vicende relative al rapporto di lavoro di un ex dipendente, anonimizzandola mediante l’uso delle iniziali e il numero di matricola.
Misure di sicurezza: 600.000 euro a Unicredit per un data breach che ha coinvolto i dati di 762.000 clienti (Garante italiano nel Luglio 2020).
Marketing: 16.729.600 euro a Wind Tre Spa per “marketing selvaggio” (Telemarketing e contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate; Impossibilità a esercitare il diritto di revoca del consenso o di opposizione al trattamento per marketing; irregolarità sull’acquisizione del consenso per le app MyWind e My3; illeciti nella filiera dei partner commerciali di Wind Tre, anche con impropria attivazione di contratti (Garante italiano nel Luglio 2020).
Telemarketing: 200.000 € a un call center romano per raccolta e uso inappropriato dei dati (Garante italiano nel Luglio 2020).
Segregazione degli accessi: 800.000 € a Iliad per violazioni del GDPR e accesso dei propri dipendenti ai dati di traffico dei clienti (Garante italiano nel Luglio 2020).
Telemarketing: 27.802.946 a Tim SpA per Marketing e telemarketing: (Mancato controllo su operato dei call center che chiamavano senza consenso, mancato aggiornamento delle black list dove vengono registrate le persone che non vogliono ricevere pubblicità, bbligo di rilascio del consenso per aderire al programma “Tim Party” con i suoi sconti e premi, Informative e raccolta del consenso per le App inadeguate, errata gestione di data breach, non conformità nelle registrazioni audio dei contratti stipulati telefonicamente – verbal order, tempi di conservazioni errati per le utenze di clienti di altri operatori, detenute da Tim in quanto gestore della rete (Garante italiano nel Gennaio 2020).
Telemarketing e teleselling: 11.500.000 a ENI Gas e Luce per Telemarketing senza il consenso o nonostante il diniego a ricevere chiamate promozionali, Non verifica del Registro pubblico delle opposizioni; Assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; Acquisto di liste contatti prive dei consensi (list provider), irregolarità nella conclusione dei contratti (Garante italiano nel Dicembre 2019).
Mancanza di misure di sicurezza: 110.390.200 euro a Marriott International per un data breach e divulgazine online dei dati dei clienti di cui circa 30 milioni relativi a residenti in 31 paesi dello Spazio Economico Europeo (SEE) e circa 7 milioni legati ai residenti nel Regno Unito (Garante inglese nel Luglio 2019).
Mancanza di misure di sicurezza: 204.600.000 euro a British Airways per un data breach, a seguito del quale gli utenti erano reindirizzati a un sito fraudolento (Grante inglese nel Luglio 2019).
Mancanza di misure di sicurezza: 130.000 euro a Unicredit Bank S.A (Garante Rumeno nel Giugno 2019).
Segregazione accessi: 460.000 euro all’ospedale di Haga – L’Aia, per un’insufficiente protezione dei file dei pazienti da accessi non autorizzati del personale non medico con un ulteriore anzione di 100.000 euro se le misure non fossero adottate entro 4 mesi (Garante olandese nel Giugno 2019).
Conservazione dei dati: 200.850 euro a IDdesign per aver conservato i dati di un elevato numero di clienti per un periodo superiore al necessario (Garante danese nel Giugno 2019).
Conservazione dei dati: 400.000 euro a SERGIC, società specializzata nell’acquisto, nella vendita, nell’affitto e nella gestione di proprietà immobiliari, per inadeguate misure di sicurezza, in violazione dell’art. 32 GDPR, e per un eccessivo periodo di conservazione dei dati degli utenti (Garante privacy francese nel maggio 2019).
Misure di sicurezza: 50 mila euro all’Associazione Rousseau per la mancanza di adeguate misure di sicurezza a protezione dei dati personali degli iscritti alla piattaforma (Garante italiano nel aprile 2019).
Misure di sicurezza: 170.000 euro per mancanza di misure di sicurezza adeguate a protezione del sistema informatico comunale, nello specifico delle credenziali di accesso degli studenti e dei dipendenti delle scuole primarie (Garante norvegese nel marzo 2019).
Marketing: 219.538 euro per trattamento di dati per finalità di marketing, nello specifico dati personali provenienti da fonti pubbliche, senza fornire l’informativa ai sensi dell’art. 14 del GDPR (Garante polacco nel marzo 2019).
Trasparenza: 50 milioni di euro per violazioni del GDPR con riferimento al sistema Android per dispositivi mobile in termini di obblighi di trasparenza e informazione e consenso al trattamento dei dati personali per finalità di marketing non validamente ottenuto (Garante Francese nel gennaio 2019).
Misure di sicurezza: 20.000 euro per carenza di misure di sicurezza per un sito web (Garante tedesco nel novembre 2018).
Videosorveglianza: 4.000 euro per uso improprio del sistema di videosorveglianza (Garante austriaco nel ottobre 2018).
Segregazione degli accessi: 400.000 euro per accesso indiscriminao e ingiustificato ai dati sanitari dei pazienti da personale non medico (Garante portoghese nel aprile 2018).
I 3 pilastri della Privacy Sostanziale
L’effettiva attuazione del GDPR richiede un’attenzione dettagliata su tre elementi chiave, i quali dovrebbero essere gestiti da professionisti distinti per garantire una corretta implementazione. Solo un team multidisciplinare può possedere tutte le conoscenze necessarie.
Professionisti in ambito legale
Consulenti Sistemi di Gestione
IT Manager
La figura del DPO - Data Protection Officer
Il DPO (Data Protection Officer) è una figura professionale – obbligatoria per la Pubblica Amministrazione e fortemente consigliata per le aziende private – prevista dal Regolamento Generale sulla Protezione dei Dati (GDPR): si incarica di sorvegliare e garantire la conformità alle normative sulla protezione dei dati personali:
-
Monitoraggio della conformità
-
Consulenza interna
-
Formazione del personale
-
Valutazione dei rischi
-
Cooperazione con l’autorità di controllo
-
Gestione delle violazioni dei dati
Non solo Privacy
Ogni organizzazione che tratta dati personali deve adeguarsi alle prescrizioni in materia di privacy. Definire questa materia Privacy è però riduttivo riduttivo: il GDPR tutela e protegge i dati personali nella loro interezza e non solo per quanto concerne la sfera della riservatezza.
Le ricadute sono significative:
- Il marketing sta mutando costringendosi a modificare prassi consolidati per rispettare il GDPR: alcune aziende innovative stanno trasformando la Privacy in vantaggio competitivo per farne elemento distintivo. Ad esempio Apple, con una campagna media dove l’I-phone garantisce privacy completa al suo possessore.
- Le incombenze e responsabilità sulla catena di fornitura (ex Art. 28 GDPR) con le relative verifiche sulla conformità del fornitore al GDPR, stanno trasformando la Privacy in un fattore discriminante in fase di selezione.
- Un recente studio di Cisco dimostra che in Italia per ogni euro di investimento in Privacy, si riceve un beneficio di 2,4 euro.
- Il concetto di “Privacy by design” così come il tema della “scadenza del dato” o “diritto all’oblio” stanno portando significative modifche in ambito di sviluppo digitale.
Simulazione ispettiva del Garante:
Testa la tua conformità al GDPR, individua eventuali lacune o aree di miglioramento, con il nostro special audit sul campo per simulare un’attività ispettiva del Garante.