GDPR; Il Regolamento nella vita reale non nel reality - SPPD-RSMSEFT

Vai ai contenuti

Menu principale:

GDPR; Il Regolamento nella vita reale non nel reality

AREA FORMAZIONE > DISPENSE FORMAZIONE > AUDIT GRC SPPD
GDPR: nella realtà non in un "reality"
RAGGIUNGERE LA CONSAPEVOLEZZA: La privacy europea è e sarà perennemente evolutiva
UNA AVVENTURA DA VIVERE COME OPPORTUNITA'

Il Regolamento UE 2016/679 rende obsoleta la vecchia Privacy (anche se qualcosa del Codice della Privacy sopravvive) e impone alle imprese di adeguarsi entro il 25 maggio 2018 (nuovi adempimenti, soprattutto dal lato della sicurezza delle reti e della archiviazione di dati personali). La conduzione delle imprese come la conosciamo cambierà drasticamente a favore della qualità della vita quotidiana delle persone fisiologiche e delle loro identità digitali.
La Commissione europea, ha fornito alcuni scenari per equilibrare il punto di vista dell'interessato, quindi la prospettiva del soggetto cui si riferiscono i dati personali. Ognuno degli scenari possibile implica una diversa concezione di trattamenti e di modelli organizzativi, fisici e logici che combinino anche prassi, procedure e misure ICT armoniche e ben dimensionate.

Il mantra è nella parola: adeguate!

Scorriamo le ipotesi descritte nella carrellata di casi che le Autorità sviluppano in modo discorsivo e commentato di suggerimenti e risposte a dubbi circa la applicabilità del Regolamento rispetto al Codice Privacy (Ricordiamo che con Regolamento Privacy si allude al Reg.679/16 mentre con Codice Privacy ci si riferisce al precedente Dlg.vo 196/03)

Quando si applica il regolamento a imprese non stabilite nella UE... Una società è una piccola impresa occupata nel settore della formazione e svolge la sua attività on line; l'impresa è stabilita fuori dall'Unione europea. I servizi sono destinati prevalentemente a favore delle facoltà di lingue spagnola e portoghese presso università dell'unione europea. La società offre consulenza gratuita a proposito di alcuni corsi universitari e gli studenti devono chiedere le credenziali di autenticazione (identificativo utente e parola chiave) per accedere al materiale conservato on line. La società fornisce le credenziali previa compilazione di un formulario.
Una società, stabilita fuori dall'unione europea, svolge il servizio di service orovider. Vengono forniti servizi internet a clienti che non si trovano nell'unione europea; clienti che possono usare i servizi quando sono in viaggio, anche all'interno dell'unione europea. Dal momento che i servizi non sono destinati specificamente a persone che si trovano n paesi dell'unione europea, la società non è assoggettata alla disciplina del Regolamento Società paghe/responsabile esterno


Un birrificio ha molti dipendenti... L'impresa sottoscrive un contratto cor una società che si occupa di paghe per il pagamento degli stipendi. Il birrificio comunica alla società di servizi quando devono essere pagato stiopendi quando un dipendente cessa dal servizio e ha un aumento di stipendio e fornisce tutte le altre informazioni per l'elaborazione del listino paga e per il pagamento. La società di servizi fornisce il sistema informatico e conserva i dati degli indicenti. Il birrificio è il titolare del trattamento e la società di paghe è responsabile del tra Joint venture/contitolari del trattamento.

Una società offre il servizio di baysitter su una piattaforma internet... Contemporaneamente la società ha un contratto con un'altra impresa smette di offrire servizi aggiuntivi, come per esempio non solo la scelta del personale ma anche di affittare video giochi che il baby sitter può portare con sé. Entrambe le imprese sono coinvolte nella predisposizione tecnica del sito web e le due società hanno deciso di usare la piattaforma per le due finalità (servizi di cura dei bambini e noleggio video giochi) e di scambiarsi le informazioni sui propri clienti. Le due società sono contitolari perchè non solo hanno un'intesa sull'offerta di prodotti combinati, ma hanno anche progettato e usano una comune piattaforma internet.

Subappaltatore/titolare del trattamento... Un'impresa di costruzioni si avvale di un sub-fornitore per specifici interventi e fornisce a quest'ultimo gli indirizzi dei clienti e dei cantieri presso i quali si devono compiere le attività. Il subfornitore usa i dati per mandare materiale pubblicitario. ln quest'ultimo caso it subfornitore non riveste solo il ruolo di responsabile, in quanto non sta trattando dati per conto dell'impresa di costruzioni, ma sta anche svolgendo trattamenti ulteriori per scopi propri. Quindi assume la veste di titolare del trattamento per le finalità proprie.

Cloud/responsabile del trattamento... Una società di vendita al dettaglio decide di conservare una copia dell'archivio dei clienti su un server cloud. A questo scopo viene sottoscritto un contratto con un provider conosciuto per i livelli di alta sicurezza, che si avvale di un sistema certificato di crittografica dei dati. Il ctoud provider è un responsabile del trattamento, dal momento che la conservazione dei dati dei clienti della società è effettuata per conto della società commerciale.

DPO (resposabile della protezione dei dati, siglabile anche RPD)
Il DPO è obbligatorio per:

    • un ospedale che tratta una gran quantità di dati sensibili
    • una società che offre servizi di sicurezza ambientale, che fa monitoraggio di centri commerciali e spazi pubblici
    • una piccola società che si occupa di selezione del personale che profila i candidati

Il DPO non è obbligatorio per:

    • singolo medico che tratta i dati dei propri clienti
    • piccolo studio legale.

Violazione dei dati/notificazione data breach (caso 1)... I dati dei dipendenti di una società sono stati carpiti e acquisiti. I dati comprendono gli indirizzi, la composizione familiare, l'ammontare del salario, dati sanitari. La società deve notificare al garante l'avvenuta violazione dei dati. Dal momento che tra i dati carpiti ci sono anche dati sanitari, la società deve anche dare comunicazione dell'accaduto ai dipendenti.

Un dipendente di un ospedale copia i dati dei pazienti su un CD e poi li pubblica in rete... L'ospedale se ne accorge qualche giorno dopo. Non appena presa conoscenza l'ospedale ha 72 ore per informare il Garante e per darne notizia ai pazienti. ln questo caso è fondato il dubbio che l'ospedale abbia predisposto misure di protezione adeguate sia tecniche sia organizzative. Se avesse messo in atto misure adeguate (come la crittografia dei dati), non ci sarebbe stata probabilità di rischio e si sarebbe potuta evitare la comunicazione ai pazienti.

Violazione dei dati/notificazione data breach (caso 2)... Un gestore di un servizio cloud smarrisce numerosi dischi rigidi contenenti dati personali di numerosi clienti. Deve notificare a questi clienti non appena prende conoscenza del fatto. I clienti devono notificare al garante e comunicare agli interessati in relazione all'accaduto.

Vip obbligatoria... Una banca classifica i propri clienti in un archivio sulla valutazione del merito creditizio; un ospedale elabora un archivio informatico con i dati sanitari dei pazienti; una società di trasporti installa video camera a bordo dei mezzi. Sono casi in cui è obbligatoria la Valutazione di impatto privacy.

Vip non obbligatoria... Un dottore che tratta dati dei suoi pazienti nel suo ambulatorio: il numero dei pazienti è limitato non c'è trattamento su larga scala: non ha l'obbligo di redigere la Valutazione di impatto privacy.

Non serve il consenso... Nelle verifiche di adeguamento al Regolamento UE l'impresa constata he i consensi già e raccolti in passato sono conformi ai requisiti del regolamento europeo. A questa condizione non si deve chiedere agli interessati di confermare il consenso entro maggio 2018.

Obbligo di nuovo consenso/caselle precompilate ... Una società ha acquisito i consensi dei clienti un po' di anni fa usando il sistema di caselle già contrassegnate on line. Questo metodo di raccolta del consenso non è valido ai sensi del regolamento UE 2016/679 e, quindi, la società deve raccogliere un nuovo consenso se vuole proseguire i trattamenti.

Import/export ... Una piccola società di pubblicità intende espandere la sua attività dalla Francia alla Germania. Prima del regolamento Ue 2016/679 i trattamenti dei dati sono assoggettati a distinte discipline normative e questo implica che bisogna adeguarsi ai diversi ordinamenti. Ciò significa anche un aggravio di costi: per ottenere pareri legali, per adeguare i modelli organizzativi e per pagare costi amministrativi. Questi costi possono compensare gli utili attesi dall'ingresso della società in un nuovo mercato.
Grazie al regolamento europeo, invece, l'impresa che vuote esercitare la propria attività in un altro mercato europeo potrà fare i conti con la medesima disciplina normativa, senza sopportare costi addizionali in consulenza legale; si  consideri anche che è stato abrogato l'adempimento della notificazione al Garante del trattamento dei dati personali.


Regolamento privacy e PMI ...  Il Regolamento europeo si applica alle PMI, perchè l'applicazione non dipende dalla dimensione dell'impresa ma dalla natura dell'attività compiuta. Le attività che causano rischi elevate per i diritti e le libertà degli individui, anche se condotte sia da una grande impresa sia da una piccola impresa impongono l'applicazione di regole cogenti. Peraltro non tutti gli obblighi previsti dal regolamento si applicano alle PMI. Per esempio le imprese con meno di 250 dipendenti non devono compitare il registro dei trattamenti, a meno che i trattamenti non siano occasionali, espongano a rischio le libertà e i diritti individuali o riguarda dati sensibili o relative a condanne penali. Allo stesso modo, le PMI sono tenute a nominare un responsabile della protezione dei dati (DPO) solo se il trattamento dei dati è l'attività principale e espone a rischi i diritti e le libertà personali, come nel caso di monitoraggio delle persone e trattamenti di dati sensibili o giudiziari, in quando il trattamento è effettuato su larga scala.

Cambio gestore di energia/portabilità di dati... Il diritto alla portabilità del dato si usa, ad esempio, quando si trova, un fornitore più conveniente. Un consumatore trova un fornitore di energia elettrica che pratica tariffe più basse. Si può chiedere all'attuale fornitore di trasmettere i propri dati personali direttamente al nuovo gestore, se tecnicamente fattibile. ln ogni caso, l'imprenditore è obbligato a trasmettere all'interessato i suoi dati in un format comune e leggibile così da poter essere usato da altri sistemi.

Richiesta del mutuo/decisioni automatizzate... I diritti relativi alle decisioni automatizzate si usano, ad esempio, quando si richiede un mutuo. Un utente fa domanda di mutuo ad una banca on line. All'interessato viene richiesto di caricare alcuni dati personali e l'algoritmo della banca comunica se la banca accoglierà la richiesta di mutuo e fornisce il tasso di interesse applicabile. L'utente deve essere informato dei suoi diritti e cioè: esprimere la propria opinione, contestare la decisione, chiedere l'intervento umano nel procedimento di revisione della decisione automatizzata.

Moroso su google/cancellazione dei dati... Si prenda l'esempio di taluno che digita il proprio nome in un motore di ricerca sulla rete internet, ed il risultato comprende collegamenti a un vecchio articolo di giornale su un debito pagato tanto tempo prima. Se l'interessato non è un personaggio pubblico e l'interesse alla cancellazione del risultato prevale sull'interesse pubblico all'accesso all'informazione, il motore di ricerca è obbligato a cancellare il collegamento.


Premio assicurativo per il non fumatore/rettifica del dato... Una persona è interessata a stipulare un contratto con una nuova compagnia di assicurazione, ma si accorge che la compagnia, per errore, ha qualificato l'utente come fumatore e questo provoca un aumento del premio da pagare per l'assicurazione sulla vita: l'interessato ha il diritto alla cancellazione del dato inesatto.

Agenzia di viaggi/informativa...  Si prenda l'esempio di una agenzia di viaggi, che raccoglie i dati personali dei propri clienti. La società deve spiegare in maniera chiara e precisa e in un linguaggio comprensibile perché i dati sono necessari, come verranno usati, e per quanto tempo i dati saranno conservati. Il trattamento deve essere programmato e realizzato in modo da rispettare I principi della protezione dei dati.

Pubblicità a clienti/finalità del trattamento... Una banca ha un contratto con un cliente per fornirgli un conto e un prestito personale. Alla fine del primo anno, la banca usa i dati personali del cliente per verificare se ha i requisiti per un migliore tipo di prestito e un nuovo prodotto di investimento. La banca informa il cliente. La banca può trattare i dati del cliente in quanto le nuove finalità sono compatibili con quelli iniziali.



Credito e assicurazioni/consenso... Una banca intende mettere a conoscenza dei dati personali del cliente con compagnie di assicurazione, sempre a partire dal medesimo contratto di conto corrente e finanziamento personale. Il trattamento successivo non è legittimo senza il consenso esplicito del cliente, considerate che la finalità non è compatibile con quello iniziale per cui I dati sono stati raccolti.

Car sharing/minimizzazione... Una società fornisce il servizio di condivisione di autoveicoli. Per questi servizi ta società richiede il nome, l'indirizzo e il numero della carta di credito dei clienti ed eventualmente informazioni sulla disabilità (e quindi dati sanitari), ma non certo dati sull'origine razziale.

Curriculum/conservazione dati limitata nel tempo... Una società ha un ufficio assunzioni e per questa finalità raccoglie i curriculum di persone alla ricerca di un impiego, che pagano una commissione per l'attività di ricerca di personale. Si programma di conservare i dati per 20 anni ma senza precauzioni per l'aggiornamento dei curriculum.Il periodo di conservazione appare sproporzionato rispetto alla finalità di ricerca del persona nel breve e nel medio termine. Peraltro la mancata richiesta di aggiornamento a intervalli regolari priva di utilità alcune ricerche, ad esempio, perchè gli interessati hanno acquisito nuove qualifiche.


App musicali/consenso... Una società fornisce una applicazione musicale e chiede il consenso per trattare ii dati relative alle preferenze musicali musicali allo scopo di mandare proposte mirate relative a concerti e canzoni.

E-commerce/contratti... Una società vende prodotti on line. Può trattare dati se ed in quanto necessario per rispondere passo passo alle richieste del cliente prima della conclusione del contratto e per l'esecuzione del contratto. Si possono trattare senza consenso il nome, l'indirizzo di consegna dei prodotti, il numero della carta di credito (se il pagamento avviene con carta).

Obbligo di legge... Una impresa occupa alcuni dipendenti. A fine di ottenere le coperture del Sistema di sicurezza nazionale, questa legge impone di trasmettere alcuni dati personali (come l'ammontare dello stipendio) alle competenti autorità. Controllo computer dei dipendenti/minimizzazione Una società fornisce servizi di sicurezza informatica mediante monitoraggio delle poètazioni in uso ai dipendenti. L'impresa può legittimamente trattare dati personali per questa finalità, a condizione che sia "minimizzato il livello di osservazione e raccolta dei dati", ad esempio fissando a priori limitazioni tecniche alla accessibilità a certi siti web (salvo regole più rigorose e stringenti in vigore nei singoli stati componenti dell'UE).

Clienti/legittimo interesse... Un'impresa ha un legittimo interesse (trattamento dei dati senza consenso dell'interessato) quando il trattamento avviene nell'ambito della relazione con un cliente, nel caso di marketing diretto e anche per la prevenzione di frodi e per assicurare la sicurezza della rete e del Sistema informatico.

Campagna promozionale/consenso specifico... Una compagnia aerea diffonde una informativa privacy nella quale specifica che i dati personali dei clienti possono essere utilizzati per un concorso organizzato che mette in palio voli gratis. I clienti che comprano i biglietti possono aderire alla partecipazione al concorso se hanno manifestato chiaramente it loro consenso al trattamento dei dati nel concorso. Il consenso vale per il concorso, ma non per altri scopi.

Film su internet/consenso libero... Un'impresa offre on line la visione di film. Nel raccogliere i dati dei clienti si chiedono dati ulteriori, come l'orientamento sessuale o politico dell'interessato. La persona può essere indotta a ritenere che la fornitura di questi dati sia necessaria per accedere al servizio di visione dei film. ln questo caso il corisenso non è libero e, quindi, non è valido.

Newsletter on line/revoca consenso... Una società diffonde una newsletter on line. I clienti danno il consenso autorizzando al trattamento dei dati relativi ai loro interessi così da permettere l'elaborazione di un profilo delle preferenze di lettura. ln corso d'anno gli interessati informano che non vogliono più ricevere la newsletter e la società deve cancellare tutti i dati raccolti nell'ambito della sottoscrizione delta newsletter, compresi i profili riferiti al singolo interessato.

Marketing/informativa... Due amici rispettivamente hanno il primo una palestra e il secondo una libreria. Tutti e due raccolgono I dati dei loro clienti. Il libraio non naviga in buone acque: ha pochi clienti e vorrebbe dare impulso alle vendite. Contatta il gestore della palestra e gli chiede se i frequentatori della palestra siano interessati a ricevere una pubblicità relativa alla nuova biografia di un famoso atleta.
L'informativa privacy del gestore della palestra segnala ai clienti che i loro dati potrebbero essere condivisi con altri partner per l'offerta di prodotti nel campo della salute e del benessere. Alla condizione che l'informativa illustri la possibilità di trasmissione a terzi per marketing di questi ultimi, il gestore della palestra può inviare al libraio la lista delle persone che frequentano la palestra. Nessun dato di chi non ha rilasciato il consenso può essere inviato al libraio.


Torna ai contenuti | Torna al menu