GDPR Regolamento Generale sulla Protezione dei Dati.

Il GDPR disciplina i dati personali nell'UE e ovunque si servano residenti europei. Base giuridica, diritti degli interessati, responsabilizzazione, notifica delle violazioni, applicazione da parte delle autorità di controllo. Le sanzioni massime (20 milioni di euro o il 4% del fatturato mondiale) fanno notizia; nella pratica, la maggior parte delle azioni esecutive passa attraverso il dialogo con le autorità di controllo, non attraverso il massimo edittale.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

Il punto di vista di Cyber Academy

Il GDPR disciplina i dati personali nell'UE e ovunque si servano residenti europei. Base giuridica, diritti degli interessati, responsabilizzazione, notifica delle violazioni, applicazione da parte delle autorità di controllo. Le sanzioni massime (20 milioni di euro o il 4% del fatturato mondiale) fanno notizia; nella pratica, la maggior parte delle azioni esecutive passa attraverso il dialogo con le autorità di controllo, non attraverso il massimo edittale.

Un regolamento sulla responsabilizzazione, non solo sul consenso

Il GDPR viene spesso ridotto, nelle conversazioni, ai banner sui cookie e ai pop-up di consenso, ma questa immagine trascura dove risieda davvero il suo peso. Il consenso è solo una delle diverse basi giuridiche per il trattamento dei dati personali e, per la maggior parte delle attività di un'organizzazione, non è nemmeno quella su cui essa fa affidamento. L'esecuzione di un contratto, l'obbligo legale e il legittimo interesse reggono, nella pratica, molti più trattamenti.

Il cambiamento più profondo introdotto dal GDPR è la responsabilizzazione (accountability): non basta essere conformi, occorre essere in grado di dimostrare la conformità. Questo singolo principio è ciò che trasforma la protezione dei dati, che passa da un parere giuridico a una disciplina operativa, con registri, valutazioni e prove dietro ogni affermazione.

Poiché si tratta di un regolamento e non di una direttiva, il GDPR si applica direttamente in tutta l'UE e, più ampiamente, nel SEE, senza che ciascun Paese debba recepirlo nel proprio diritto nazionale, motivo per cui i suoi obblighi fondamentali sono identici in Francia, Germania e Irlanda. La sua portata si estende anche oltre l'Europa. Un'organizzazione stabilita al di fuori dell'UE rientra comunque nel suo ambito di applicazione quando offre beni o servizi a persone che si trovano nell'Unione o ne monitora il comportamento in tale territorio. Questa portata territoriale spiega perché un'azienda priva di un ufficio europeo possa comunque dover rispondere a un'autorità di controllo europea.

Base giuridica, diritti degli interessati e obblighi che ne conseguono

Ogni trattamento di dati personali necessita di una base giuridica scelta prima dell'inizio del trattamento, e la base prescelta determina i diritti che le persone possono esercitare. Gli interessati possono chiedere di accedere ai propri dati, di farli rettificare o cancellare, di limitare il trattamento o di opporvisi e, in alcuni casi, di riceverli in un formato portatile. Nessuno di questi diritti è assoluto; ciascuno è soggetto a condizioni ed esenzioni.

Intorno ai diritti si collocano gli obblighi del titolare e del responsabile del trattamento: protezione dei dati fin dalla progettazione e per impostazione predefinita, tenuta di un registro delle attività di trattamento, messa in sicurezza dei dati mediante misure tecniche e organizzative adeguate, e stipula di contratti scritti ogniqualvolta un responsabile tratti dati per conto di un titolare.

Due obblighi meritano di essere evidenziati perché orientano il lavoro quotidiano. Quando un trattamento può comportare un rischio elevato per le persone, il titolare effettua una valutazione d'impatto sulla protezione dei dati prima di procedere, documentando il rischio e il modo in cui viene mitigato. E quando si verifica una violazione dei dati personali, il titolare è soggetto a un obbligo di notifica nei confronti dell'autorità di controllo entro un termine breve e definito, informando anche le persone interessate quando il rischio per esse è elevato. Non sono rituali burocratici. Sono i momenti in cui il principio di responsabilizzazione diventa un obbligo concreto e vincolato a una scadenza.

Dove si colloca il GDPR tra i concetti vicini

È utile distinguere il GDPR dai ruoli e dagli strumenti che gli orbitano attorno. Un DPO è una persona o una funzione che alcune organizzazioni devono nominare per vigilare sulla conformità; una DPIA è il processo di valutazione per i trattamenti ad alto rischio; un ROPA è l'inventario delle attività di trattamento; le clausole contrattuali tipo sono uno dei meccanismi per trasferire lecitamente i dati al di fuori dell'UE. Il GDPR è il regolamento che impone o consente ciascuno di questi elementi. Le autorità di controllo nazionali, come la CNIL in Francia, lo applicano ed emanano linee guida, e il Comitato europeo per la protezione dei dati le coordina affinché un'unica interpretazione valga oltre i confini.

Come rileva la shortDefinition, le cifre di primo piano fino a 20 milioni di euro o al 4 percento del fatturato annuo mondiale dominano la copertura mediatica, eppure la maggior parte dell'attività di applicazione passa attraverso il dialogo con l'autorità di controllo anziché attraverso sanzioni massime. Le autorità indagano, pongono domande, richiedono interventi correttivi e spesso risolvono le questioni mediante misure correttive ben al di sotto del massimale.

Per i professionisti la lezione pratica è che una buona fede dimostrabile e una postura di conformità supportata da prove cambiano l'andamento di quel dialogo. Le organizzazioni che ne escono peggio sono di solito quelle che non riescono a dimostrare cosa stessero facendo con i dati, non quelle che hanno preso una decisione onesta e documentata.

Come i professionisti lo rendono operativo

Trasformare il regolamento in lavoro di routine inizia di solito dalla mappatura. Si costruisce e si mantiene un registro delle attività di trattamento per sapere quali dati si detengono, perché, su quale base giuridica e dove fluiscono. Da lì i team integrano la privacy fin dalla progettazione nei nuovi progetti, effettuano DPIA dove il rischio è elevato, rafforzano i contratti con i responsabili e provano il percorso di notifica delle violazioni affinché il conto alla rovescia non li colga impreparati.

Molti ancorano tutto questo a un sistema di gestione anziché a un raccoglitore di politiche, ed è qui che standard come ISO 27701 e le linee guida di supporto delle autorità di controllo si guadagnano il loro posto. L'obiettivo è una prova a regime permanente: in qualsiasi momento si può dimostrare una base giuridica, un registro e un controllo per i dati personali che si trattano.

Frequently asked questions

01Il GDPR si applica alle aziende situate al di fuori dell'UE?

Sì, può applicarsi. Il regolamento raggiunge le organizzazioni stabilite al di fuori dell'UE quando offrono beni o servizi a persone che si trovano nell'Unione o ne monitorano il comportamento in tale territorio. Non avere un ufficio europeo non ti pone al di fuori del suo ambito di applicazione; il fattore decisivo è se ti rivolgi a persone nell'UE o ne tracci il comportamento.

02Il consenso è sempre necessario per trattare i dati personali?

No. Il consenso è solo una delle diverse basi giuridiche. Molte operazioni si fondano invece sull'esecuzione di un contratto, su un obbligo legale o sul legittimo interesse. Devi scegliere e documentare una base appropriata prima del trattamento, ma spesso non si tratta del consenso.

03Qual è la differenza tra un titolare e un responsabile del trattamento?

Un titolare del trattamento decide perché e come i dati personali vengono trattati e assume la responsabilità principale. Un responsabile del trattamento tratta i dati per conto del titolare, in virtù di un contratto scritto e nel rispetto delle istruzioni del titolare. I due ruoli comportano obblighi differenti ma che si sovrappongono in virtù del regolamento.

04Quando deve essere notificata una violazione?

Un titolare del trattamento deve notificare ogni violazione dei dati personali all'autorità di controllo competente entro il breve termine fissato dal regolamento, a meno che sia improbabile che la violazione comporti un rischio per le persone. Quando il rischio per le persone interessate è elevato, anche tali persone devono essere informate.

05Che rapporto c'è tra il GDPR e ISO 27701?

Il GDPR fissa gli obblighi legali; ISO/IEC 27701 ti fornisce un sistema di gestione delle informazioni sulla privacy certificabile per soddisfarli in modo strutturato e verificabile. Possedere la certificazione non ti rende, di per sé, legalmente conforme, ma istituzionalizza i registri, le valutazioni e i controlli che il regolamento si attende.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.