Tutto sul GDPR e la protezione dei dati personali in azienda

Dati Personali (o sensibili): quali sono e come trattarli (GDPR 2020)

Dati personali e sensibili: mai quanto adesso è importante fare chiarezza sulla loro natura e caratteristiche, per capire a fondo la realtà attuale della privacy.

Tutto questo in particolare alla luce di una delle maggiori trasformazioni realizzata negli ultimi anni nell’Unione Europea (UE): l’ adozione del Regolamento Europeo 679/2016 per la Protezione dei Dati Personali (nella versione inglese noto come GDPR – General Data Protection Regulation) che troverà piena applicazione a decorrere dal 25 maggio 2018.

Esso tenta di dare pari dignità ai diritti degli individui che intendano proteggere i propri Dati Personali in tutta l’UE in modo omogeneo. In questa direzionedispone anche la realizzazione del Principio dello Sportello Unico (One Stop Shop), secondo cui, quando l’elaborazione dei dati personali avviene in più di un Paese membro dell’UE, la competenza del controllo delle attività dell’organizzazione che elabora e gestisce (controller e processor) i dati dell’utente in tutta l’UE spetta a una singola Autorità di supervisione (non a caso definita Leading Authority), che ha il potere di prendere le eventuali decisioni correlate. Vale la pena sottolineare che in Italia, come in altri Paesi, si è provveduto a ridefinire il ruolo del Garante Privacy rafforzandone la struttura, identificandone i poteri ed i controlli da realizzare all’interno di quella che è stata poi rinominata Autorità Garante per la Protezione dei Dati Personali.

Quest’ultima, tra le altre cose, ha realizzato anche una guida[1] in grado di tener presente, da un lato, dell’evoluzione della riflessione a livello nazionale ed europeo e, dall’altro, di offrire opportune raccomandazioni specifiche suggerendole azioni che possono essere intraprese immediatamente in quanto fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge)in rapporto a uno specifico titolare o responsabile del trattamento[2].

Natura, caratteristiche e tipologie dei dati personali

A fronte della sua prossima applicazione il Regolamento produrrà effetti in molti settori. Per questo vale la pena chiarire, prima di esaminare la definizione offerta dal Regolamento all’art.4, cosa si intende in genere quando di parla di dati e perché essi assumono un’accezione particolare quando si fa riferimento a quelli personali.Ed in questa direzione si può riprendere l’equivalente latino datum che significa letteralmente fatto. Questo vocabolo esprime la descrizione elementare, più o meno codificata, di un elemento, di un’entità fisica o astratta, oppure della manifestazione di un evento, di un accadimento, di un fenomeno, di un’azione, di una interazione fra due entità, o altra situazione simile che è individuata attraverso una caratteristica che identifica univocamente il dato medesimo in modo da non generarne ambiguità. La descrizione e rilevazione della caratteristica può essere quantitativa o qualitativa. Infatti i dati possono presentarsi sotto diverse forme: numeri e lettere dell’alfabeto (testo), immagini statiche (grafici, disegni, tratti) o in movimento (video), formati sonori (audio) o altro. Tali dati possono essere rilevati e poi conservati su diversi mezzi o supporti fisici (cartaceo, magnetico, ottico, etc) e/o veicolati (trasmessi) attraverso una rete di comunicazione tra più utenti che possono avere finalità differenti.

Come vengono raccolti di solito i dati personali

Tra questi bisogna attentamente analizzare il ruolo svolto dalle pubbliche amministrazioni poiché esse raccolgono, organizzano e gestiscono un’enorme quantità di dati che fino a poco tempo fa avevano un mero ruolo strumentale finalizzato al perseguimento dei compiti istituzionali a loro assegnati. L’autonomia delle singole amministrazioni e le modalità di gestione dei loro processi amministrativi hanno contribuito tuttavia a creare frammenti o isole di contenuti, con scarsa visione sistemica, nonostante alcuni significativi interventi normativi che si sono succeduti tendessero a favorire un maggior livello di integrazione e condivisione dei dati. Per superare tali ostacoli, si è ritenuto necessario intraprendere un percorso volto a diffondere la cultura del dato nel tessuto sociale e amministrativo del Paese per aumentare la consapevolezza sul suo ruolo di elemento sistemico infrastrutturale. Volendo perseguire il medesimo obbiettivo, possiamo sostenere[3] che è possibile:

rilevare i dati singolarmente (in questo caso si parla anche di dati elementari) su cui non sia stata fatte alcuna elaborazione (si parla anche di dati atomici o dati grezzi, raw data , per indicare che sono disaggregati e disorganizzati, di difficile lettura ed interpretazione);

, per indicare che sono disaggregati e disorganizzati, di difficile lettura ed interpretazione); organizzare i dati in insiemi ( dataset ), affinchè si possano rappresentare in modo aggregato ( aggregated data ) o strutturato ( structured data ) a seconda delle regole o relazioni definite o meno a priori (si parla in questo senso anche di metadati). Quando si fa riferimento ad aggregazioni di entità o eventi con caratteristiche simili o omogenee si raccolgono i dati in archivi costruendo le cosiddette basi di dati ( database ) che possono essere collegate tra loro (per questo di parla anche di linked data );

), affinchè si possano rappresentare in modo aggregato ( ) o strutturato ( ) a seconda delle regole o relazioni definite o meno a priori (si parla in questo senso anche di metadati). Quando si fa riferimento ad aggregazioni di entità o eventi con caratteristiche simili o omogenee si raccolgono i dati in archivi costruendo le cosiddette basi di dati ( ) che possono essere collegate tra loro (per questo di parla anche di ); interrogare attraverso interrogazioni semantiche i dati all’interno di elementi ottenuti in passato (dati storici, historycal data );

); rilevare i dati all’interno di elementi ottenuti al momento, ovvero contemporaneamente, in cui si manifestano (dati in tempo reale, real data );

); prevedere i dati attesi o previsti ( expected o previsional data ) nel tempo sulla base di ipotesi statistiche e di calcolo combinatorio (possibile replicabilità di eventi futuri basati sulla conoscenza del passato);

) nel tempo sulla base di ipotesi statistiche e di calcolo combinatorio (possibile replicabilità di eventi futuri basati sulla conoscenza del passato); scegliere la forma o la caratteristica da rilevare, ad esempio testuale, numerica, sonora, fotografica, video, biologica, di posizionamento geografico, di status di attività, etc.;

distinguere quelli con accesso libero ( open access ) e aperto (dati aperti o open data ) o di libero utilizzo ( open use ) da quelli con accesso limitato a chi ne è proprietario (si parla infatti di dati proprietari chiusi o semplicemente closed data ) o da quelli condivisi con altri soggetti (infatti si parla di dati condivisi o shared data ) con un accesso più o meno crittografato, reso sicuro (secured data) come avviene quando si effettua, verificandone la sicurezza, un pagamento elettronico o semplicemente il collegamento di accesso o di uscita a particolari tipi di reti di comunicazione (telefono, fax, rete internet, wifi, radiofrequenza, etc.) oppure preservati, per la componente informativa, su appositi archivi di massa per essere poi elaborati o trasmessi attraverso appositi algoritmi o istruzioni ad esempio per calcoli complessi o per invio di messaggistica istantanea di testi o formati media brevi (sms o mms);

) e aperto (dati aperti o ) o di libero utilizzo ( ) da quelli con accesso limitato a chi ne è proprietario (si parla infatti di dati proprietari chiusi o semplicemente ) o da quelli condivisi con altri soggetti (infatti si parla di dati condivisi o ) con un accesso più o meno crittografato, reso sicuro (secured data) come avviene quando si effettua, verificandone la sicurezza, un pagamento elettronico o semplicemente il collegamento di accesso o di uscita a particolari tipi di reti di comunicazione (telefono, fax, rete internet, wifi, radiofrequenza, etc.) oppure preservati, per la componente informativa, su appositi archivi di massa per essere poi elaborati o trasmessi attraverso appositi algoritmi o istruzioni ad esempio per calcoli complessi o per invio di messaggistica istantanea di testi o formati media brevi (sms o mms); distinguere quelli personali (sul punto si torna in seguito) da quelli costruiti su misura a fini commerciali (customized data).

Risulta evidente la necessità di stabilire una particolare codifica dei formati attribuiti ai dati per favorire o una eventuale standardizzazione (uguaglianza o similitudine delle codifiche adottate) o una interoperabilità (ovvero fare interagire dati con formati diversi).

L’uso appropriato di standard nell’era digitale contribuisce a determinare la compatibilità delle risorse, che ne consente l’interoperabilità. Un alto livello di compatibilità tra le risorse digitali messe a disposizione da molteplici fornitori fa sì che uno strumento o un servizio che operi con queste risorse si trovi a gestire un numero limitato di formati, interfacce e protocolli chiaramente definiti. Per contro, un numero sempre più elevato di formati e protocolli differenti renderebbe un tale sviluppo complesso, costoso e nella migliore delle ipotesi inaffidabile.

Gli standard per la qualità dei dati personali

Inoltre, il procedimento stesso attraverso il quale gli standard vengono sviluppati implica che essi riescano a cogliere buone pratiche basate su esperienze passate e a imporre il rigore nelle prassi d’uso corrente per garantire la migliore qualità dei dati. Volendo schematizzare potremmo dire che gli standard possono essere:

de jure – formalmente riconosciuti da un organismo responsabile della definizione e diffusione di standard, di solito sviluppati attraverso il comune accordo di un certo numero di parti interessate. Tra questi abbiamo gli standard emessi dall’ISO o l’insieme dei protocolli TCP/IP dell’Internet Engineering Task Force (IETF);

– formalmente riconosciuti da un organismo responsabile della definizione e diffusione di standard, di solito sviluppati attraverso il comune accordo di un certo numero di parti interessate. Tra questi abbiamo gli standard emessi dall’ISO o l’insieme dei protocolli TCP/IP dell’Internet Engineering Task Force (IETF); de facto – standard industriali, privi di riconoscimento formale da parte di un organismo di standardizzazione, tuttavia largamente diffusi, utilizzati e riconosciuti come standard dagli utenti. Per fare un esempio, può trattarsi di un formato di documento generato da un software che possiede una quota ampia del mercato in un determinato settore, come l’Adobe Portable Document Format (PDF).

La scelta di uno standard aperto (non proprietario) si rivela particolarmente consigliabile, se si prendono in considerazione caratteristiche fondamentali quali:

l’accesso aperto ( open access ) allo standard medesimo e alla documentazione prodotta nel corso del suo sviluppo;

) allo standard medesimo e alla documentazione prodotta nel corso del suo sviluppo; la libera utilizzazione ( open use ): l’implementazione dello standard comporta costi esigui o nulli per i diritti di proprietà intellettuale, per esempio tramite licenze d’uso;

): l’implementazione dello standard comporta costi esigui o nulli per i diritti di proprietà intellettuale, per esempio tramite licenze d’uso; la costante assistenza orientata ai bisogni degli utenti piuttosto che agli interessi del produttore dello standard.

Nello scenario fin qui descritto, poiché le specifiche di formati, interfacce e protocolli impiegati dai produttori delle risorse sono liberamente disponibili, più sviluppatori possono produrre strumenti e servizi similari evitando la dipendenza da un unico strumento o da un’unica piattaforma. In generale, le procedure formali connesse allo sviluppo di standard de jure sono ritenute la garanzia che tali standard siano davvero “aperti”.

Vantaggi degli standard per la raccolta dei dati

Vi sono dei vantaggi e benefici degli standard che si possono prendere in considerazione, tra cui si è solito citare i seguenti:

interoperabilità . È importante che gli utenti possano accedere direttamente alla più ampia gamma di contenuti, indipendentemente dal fatto che questi siano stati realizzati con modalità di finanziamento diversi. Dovrebbe essere possibile: reperire i contenuti digitali e interagire con essi in maniera agile e intuitiva, usarli con facilità senza l’esigenza di strumenti specializzati, gestirli efficacemente;

. È importante che gli utenti possano accedere direttamente alla più ampia gamma di contenuti, indipendentemente dal fatto che questi siano stati realizzati con modalità di finanziamento diversi. Dovrebbe essere possibile: reperire i contenuti digitali e interagire con essi in maniera agile e intuitiva, usarli con facilità senza l’esigenza di strumenti specializzati, gestirli efficacemente; accessibilità . È importante che i materiali siano accessibili al più vasto pubblico e che vengano messi a disposizione attraverso l’impiego di standard aperti e formati non proprietari. Se si intende procedere in tale direzione, si deve prevedere un accesso multilingue e garantire l’accessibilità a cittadini con varie disabilità;

. È importante che i materiali siano accessibili al più vasto pubblico e che vengano messi a disposizione attraverso l’impiego di standard aperti e formati non proprietari. Se si intende procedere in tale direzione, si deve prevedere un accesso multilingue e garantire l’accessibilità a cittadini con varie disabilità; conservazione a lungo termine . La costante manutenzione degli standard aiuta a garantire il futuro a lungo termine dei dati, in modo tale da mantenere la risorsa nella sua continuità storica e diversità di formato ed elevare al massimo la rendita dell’investimento;

. La costante manutenzione degli standard aiuta a garantire il futuro a lungo termine dei dati, in modo tale da mantenere la risorsa nella sua continuità storica e diversità di formato ed elevare al massimo la rendita dell’investimento; sicurezza. Nell’era digitale, è importante poter stabilire con certezza l’identità dei contenuti e dei progetti (e, quando necessario, degli utenti); riuscire a proteggere i diritti di proprietà intellettuale e il diritto alla riservatezza; poter determinare l’integrità e l’autenticità delle risorse.

Se questi aspetti non vengono affrontati in modo efficace si può incorrere in gravi conseguenze, come lo spreco di risorse da parte di diversi attori, quali ad esempio:

i possibili utenti , tra cui i cittadini, i ricercatori, gli studenti, etc. Costoro si ritroverebbero a sprecare tempo ed energie non potendo trovare o utilizzare prontamente quanto corrisponde alle loro esigenze, perché non descritto adeguatamente o perché disponibile solo attraverso un protocollo o in un formato particolare o perché richiede strumenti specializzati per potere essere utilizzato, oppure perché non è stato digitalizzato in modo tale da risultare usabile;

, tra cui i cittadini, i ricercatori, gli studenti, etc. Costoro si ritroverebbero a sprecare tempo ed energie non potendo trovare o utilizzare prontamente quanto corrisponde alle loro esigenze, perché non descritto adeguatamente o perché disponibile solo attraverso un protocollo o in un formato particolare o perché richiede strumenti specializzati per potere essere utilizzato, oppure perché non è stato digitalizzato in modo tale da risultare usabile; gli eventuali fornitori, gestori dei dati . I loro investimenti potrebbero rivelarsi sproporzionati e andare sprecati se, investendo in prassi non standardizzate o sorpassate, le risorse non si dimostrassero valide per l’uso cui sono destinate o i loro prodotti raggiungessero solo una parte del pubblico potenziale;

. I loro investimenti potrebbero rivelarsi sproporzionati e andare sprecati se, investendo in prassi non standardizzate o sorpassate, le risorse non si dimostrassero valide per l’uso cui sono destinate o i loro prodotti raggiungessero solo una parte del pubblico potenziale; i potenziali finanziatori , che finirebbero con pagare per lavori ridondanti e frammentari, per una reiterazione dei processi d’apprendimento altrimenti superflua, per progetti che operano meno efficacemente di quanto dovrebbero o perché adotterebbero tecnologie non ottimali, per contenuti che non corrispondono alle esigenze degli utenti o del mercato;

, che finirebbero con pagare per lavori ridondanti e frammentari, per una reiterazione dei processi d’apprendimento altrimenti superflua, per progetti che operano meno efficacemente di quanto dovrebbero o perché adotterebbero tecnologie non ottimali, per contenuti che non corrispondono alle esigenze degli utenti o del mercato; i creatori, autori dei dati poiché il loro lascito per il futuro potrebbe andare perduto.

A fronte di queste distinzioni e definizioni appare opportuno interrogarsi anche sulla natura e caratteristiche delle informazioni.

Natura, caratteristiche e tipologie delle informazioni dei dati sensibili

L’informazione è oggetto di studio e applicazione in vari settori della conoscenza e dell’agire umano. Ad esempio sul fronte tecnico è oggetto dell’ingegneria dell’informazione, sul fronte delle scienze sociali si analizzano i temi della comunicazione di massa e in generale della sociologia con particolare riguardo agli aspetti legati alla diffusione dei nuovi strumenti offerti dalle ICT e dalle reti sociali (social network).

Quali sono i dati sensibili per la legge sulla privacy?

Ma cosa intendiamo quando parliamo di informazione? Quando ci riferiamo a questo termine proponiamo la sostituzione del noto all’ignoto, ovvero il significato che le persone coinvolte attribuiscono a tale conoscenza. In altri termini per un osservatore o un recettore posto in una situazione in cui si hanno almeno due occorrenze possibili, l’informazione consente di superare l’incertezza sottostante e risolve un’alternativa, sostituendo appunto il noto all’ignoto, il certo all’incerto. Un esempio di informazione è quella generata dai metadati. Essi rappresentano un metodo sistematico per la descrizione delle risorse informative e per migliorarne l’accesso e la gestione attraverso una opportuna organizzazione. Se vale la pena rendere disponibile una risorsa, vale anche la pena garantire che i metadati idonei possano aumentare la possibilità di identificarla, localizzarla e riusarla. Per questo motivo si sostiene che i metadati sono così importanti nel World Wide Web, sempre più fatto di risorse usabili e condivise. Essi potrebbero essere divisi nelle seguenti categorie:

metadati descrittivi , che consentono l’identificazione dell’oggetto, della risorsa, che, se di formato digitale, può essere basata su una certa fonte e ottenuta utilizzando i sistemi di recupero ( Information Retrieval ) delle basi di dati o procedendo all’esterno dell’archivio digitale, in quanto a quest’ultimo collegati tramite appositi collegamenti;

, che consentono l’identificazione dell’oggetto, della risorsa, che, se di formato digitale, può essere basata su una certa fonte e ottenuta utilizzando i sistemi di recupero ( ) delle basi di dati o procedendo all’esterno dell’archivio digitale, in quanto a quest’ultimo collegati tramite appositi collegamenti; metadati strutturali , che collegano le varie componenti delle risorse complesse, come ad esempio le diverse sezioni di una legge nel caso in cui siano articolati in più archivi informatici, per un’adeguata e completa fruizione. Questi metadati inoltre forniscono dati di identificazione e localizzazione del documento, come il codice identificativo, l’indirizzo del file sul server, il deposito digitale di appartenenza, il suo indirizzo Internet, etc.;

, che collegano le varie componenti delle risorse complesse, come ad esempio le diverse sezioni di una legge nel caso in cui siano articolati in più archivi informatici, per un’adeguata e completa fruizione. Questi metadati inoltre forniscono dati di identificazione e localizzazione del documento, come il codice identificativo, l’indirizzo del file sul server, il deposito digitale di appartenenza, il suo indirizzo Internet, etc.; metadati amministrativi e gestionali, ovvero le informazioni tecniche sulle risorse, che evidenziano le modalità di gestione degli oggetti digitali nel sistema del deposito digitale. Essi, nel mondo digitale, data la labilità dell’informazione elettronica, assumono un’importanza preponderante ai fini della conservazione permanente degli oggetti digitali, documentando i processi tecnici associati alla conservazione permanente, fornendo informazioni sulle condizioni e i diritti di accesso agli oggetti digitali, certificando l’autenticità e l’integrità del contenuto, documentando la catena di custodia e identificandoli in maniera univoca.

Tutto ciò detto sui metadati possiamo tornare al concetto di informazione ed operare anche per questa una distinzione a seconda:

del contesto in cui i dati sono raccolti;

in cui i dati sono raccolti; della loro codifica in forma intelligibile;

in forma intelligibile; del significato attribuito a tali dati;

attribuito a tali dati; della relazione in cui due o più dati sono posti in essere.

Diviene fondamentale da questo punto di vista la distinzione tra dato (un numero, una data, una parola…) ed il significato che si può dare a tale dato, mettendolo in relazione con uno o più dati o rappresentazioni di concetti. In informatica, ad esempio, si usa il termine informazione al plurale, ovvero informazioni, mutuando il termine inglese information, dove, appunto, è considerato un sostantivo plurale. In questa particolare scienza le informazioni possono essere numerabili, e a seconda del sistema di interpretazione e della rappresentazione, consentono di distinguere tra

informazioni esplicite , relativamente semplici da quantificare (come la data di nascita di un individuo);

, relativamente semplici da quantificare (come la data di nascita di un individuo); informazioni dedotte e certe , il cui numero dipende dalle capacità di calcolo delle informazioni fornite al sistema (ad esempio l’età del precedente individuo, ottenibile mediante sottrazione della data odierna e la sua data di nascita);

, il cui numero dipende dalle capacità di calcolo delle informazioni fornite al sistema (ad esempio l’età del precedente individuo, ottenibile mediante sottrazione della data odierna e la sua data di nascita); informazioni dedotte, ma non certe: ad esempio un servizio di rete sociale può stabilire con una certa precisione che due persone che hanno vissuto nello stesso condominio nel medesimo anno ed hanno conoscenze in comune si conoscono, ma non può dare la certezza matematica di ciò.

Sovente i software ed i motori di ricerca più evoluti si basano su modalità di elaborazione che consentono di estrarre ed inserire in un database che viene poi interrogato dagli utenti finali. Ad esempio un motore di ricerca come Google individua i dati appropriati, soprattutto se vi sono particolari elementi da cercare. In alcuni casi è l’utente stesso che ha posizionato un apposito etichetta o marcatore nella descrizione del sito (in questo caso si antepone l’etichetta Meta) o nel suo elenco di dati presenti nel database ed il browser restituisce i risultati. Tramite i metadati descrittivi possono rendere le pagine più facilmente localizzabili fornendo agli strumenti di ricerca informazioni di indicizzazione dettagliate a singoli o categorie di dati. Ad esempio per:

specificare il set di caratteri usati (es. UNICODE, UTF8, etc.);

(es. UNICODE, UTF8, etc.); identificare le risorse (identificativo, URL, titolo, lingua, etc.);

(identificativo, URL, titolo, lingua, etc.); definire le finalità di gestione e di amministrazione (la data di creazione e di scadenza, l’autore, i diritti correlati, versione del documento, etc.);

(la data di creazione e di scadenza, l’autore, i diritti correlati, versione del documento, etc.); riportare la classificazione (descrizione, parole chiave, soggetto, copertura informativa, etc.).

Tuttavia, quando affronteremo il tema della sicurezza delle informazioni non ci riferiremo ad esse pensando solo a quelle conservate su supporti digitali, come avviene in informatica, ma piuttosto esamineremo tutte le soluzioni utilizzate (materiali o immateriali) per raccogliere, modificare, conservare, trasmettere e distruggere sia i dati che le informazioni. Ed in questa direzione affermeremo la necessità di considerare le seguenti tre proprietà indicate anche come CIA, dall’iniziale di ognuna per sostenerne la sicurezza:

confidentiality , ovvero riservatezza, vale a dire la capacità delle informazioni di non essere disponibili ad individui, entità e processi non autorizzati;

, ovvero riservatezza, vale a dire la capacità delle informazioni di non essere disponibili ad individui, entità e processi non autorizzati; integrity , ovvero integrità, vale a dire la protezione delle informazioni sia per quanto riguarda l’accuratezza che la completezza;

, ovvero integrità, vale a dire la protezione delle informazioni sia per quanto riguarda l’accuratezza che la completezza; availability, ovvero disponibilità, ossia la proprietà delle informazioni che le rende accessibili ed utilizzabili entro i tempi previsti su richiesta di un’entità autorizzata.

Talvolta a queste ne sono aggiunte altre:

autenticità,

completezza,

non ripudiabilità.

Le informazioni sono autentiche quando attestano la verità. Questa proprietà è un caso particolare di integrità poiché quando le informazioni non sono veritiere vuol dire che sono state modificate senza autorizzazione.

La proprietà di completezza richiede che le informazioni non abbiano avuto carenze di contenuto o caratteristica. Una carenza e equivalente ad una cancellazione, totale o parziale, non autorizzata di dati e quindi rappresentano un caso particolare di integrità.

Informazioni corrette, ma successivamente smentite dal suo autore sono dette ripudiate. Informazioni non ripudiabili, per esempio, sono quelle riportate da un documento firmato dal suo autore. In altre parole, le informazioni sono non ripudiabili se sono complete di firma o di un suo equivalente (un timbro, una marcatura, un identificativo digitale). Sulla base di tali considerazioni questa proprietà può essere vista come caso particolare dell’integrità.

La qualità dei dati sensibili da raccogliere e come trattarli

I progetti di digitalizzazione rendono necessario il controllo dei livelli di qualità dei dati per favorire l’interscambio, l’integrazione, l’interoperabilità, la condivisone, l’ottimizzazione di servizi con il minimo livello di tassi di errore. In questa direzione l’ISO ha emesso lo standard l’ISO/IEC 25024, frutto dell’attività svolta da esperti nazionali e internazionali che partecipano alla Commissione ISO/SC7 dell’Ingegneria del software.

Lo standard, rivolto a tutti gli Enti che producono o gestiscono dati e servizi e alle persone che li utilizzano, è l’estensione dell’ISO/IEC 25012 “Data quality model” del 2008 già referenziato dall’AgID con riferimento ai dati della PA.

La norma prevede misurazioni sui vari prodotti del ciclo di vita dei dati: dai modelli contestuali e concettuali al dizionario dati, dai documenti contenenti dati ai formati e alle interfacce, dai supporti cartacei di raccolta dati fino ai file, ai data base, alle banche dati.

Per questo nello standard ISO si definiscono:

cinque caratteristiche “inerenti” il dato , cioè connesse al valore intrinseco del dato stesso a prescindere dal “sistema” che lo elabora;

, cioè connesse al valore intrinseco del dato stesso a prescindere dal “sistema” che lo elabora; sette caratteristiche che dipendono sia dal dato stesso che dal sistema ; ed infine

; ed infine tre caratteristiche esclusive del sistema che trattano il dato senza entrare nel merito del suo contenuto.

In particolare quando si analizzano le caratteristiche “inerenti” il dato si prendono in considerazione:

l’ accuratezza , intesa come perfetta rispondenza con il mondo reale che rappresenta;

, intesa come perfetta rispondenza con il mondo reale che rappresenta; l’ attualità , cioè del giusto tempo in cui il dato è utilizzato;

, cioè del giusto tempo in cui il dato è utilizzato; la coerenza , quindi un dato non contraddittorio con altri dati;

, quindi un dato non contraddittorio con altri dati; la completezza , presente per tutti gli attributi necessari;

, presente per tutti gli attributi necessari; la credibilità, proveniente da fonte certa.

Quando si analizzano le caratteristiche “inerenti e dipendenti dal sistema” si prendono in considerazione:

l’ accessibilità : il dato è accessibile a tutti, anche da parte di eventuali soggetti che abbiano qualche forma di disabilità;

: il dato è accessibile a tutti, anche da parte di eventuali soggetti che abbiano qualche forma di disabilità; la comprensibilità : il significato del dato è chiaro ed immediato;

: il significato del dato è chiaro ed immediato; la conformità : il dato risponde a regolamentazioni specifiche, anche locali;

: il dato risponde a regolamentazioni specifiche, anche locali; l’ efficienza : il dato è utilizzabile con risorse accettabili e tempi adeguati allo scopo;

: il dato è utilizzabile con risorse accettabili e tempi adeguati allo scopo; la precisione : il dato è del livello di misura necessario;

: il dato è del livello di misura necessario; la riservatezza : il dato può essere utilizzato solo da utenti autorizzati;

: il dato può essere utilizzato solo da utenti autorizzati; la tracciabilità: gli accessi al dato sono registrati;

Infine, quando si analizzano le caratteristiche “dipendenti dal sistema” si prendono in considerazione:

la disponibilità , il dato necessario è disponibile e reinterrogabile;

, il dato necessario è disponibile e reinterrogabile; la portabilità , il dato può migrare da un ambiente all’altro;

, il dato può migrare da un ambiente all’altro; la ripristinabilità, il dato è salvato in un ambiente sicuro ed è recuperabile;

Lo standard non definisce una priorità delle caratteristiche, che dipende propriamente dal contesto d’uso. Anche se lo standard è stato concepito con particolare riguardo al mondo del software, è applicabile anche a molti ambiti amministrativi, organizzativi, sociali, psicologici. Proprio per questo è utile considerare cosa è stato previsto dalla cosiddetta Agenda Digitale.

La protezione dei dati: come proteggere i dati personali?

Considerando l’importanza attribuita ai dati, nel mondo vi sono diverse legislazioni rivolte a proteggerne le caratteristiche riportate in precedenza. Ad esempio in Italia per rispettare gli Accordi di Schengen e per dare attuazione alla direttiva 95/46/CE del Parlamento europeo, e del Consiglio, relativa alla tutela dei dati personali, nonché alla libera circolazione di tali dati, venne emanata la legge 31 dicembre 1996 n. 675, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. Tale norma entrò in vigore nel maggio 1997.

Col passare del tempo, a tale norma si sono affiancate ulteriori leggi, riguardanti singoli e specifici aspetti del trattamento dei dati. La sopravvenuta complessità normativa creatasi in seguito all’approvazione di norme diverse ha reso indifferibile l’emanazione di un Testo Unico, il Decreto legislativo 30 giugno 2003, n. 196, intitolato “Codice in materia di protezione dei dati personali”, che ha riordinato interamente la materia ed è entrato in vigore il 1º gennaio 2004.

Sull’applicazione della normativa vigila il Garante Privacy, istituito sin dalla L. 675/1996, poi confermata anche dal Testo Unico del 2003. Il decreto fu concepito per tutelare il diritto del singolo sui propri dati personali e, conseguentemente, alla disciplina delle diverse operazioni di gestione (tecnicamente “trattamento”) dei dati, riguardanti la raccolta, l’elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi. All’art. 1 del testo unico venne riconosciuto il diritto assoluto di ciascuno sui propri dati, in cui si afferma testualmente: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Tale diritto pertiene i diritti della personalità.

Il diritto alla riservatezza è diverso rispetto al diritto sui propri dati perché non riguarda solamente informazioni circa la propria vita privata, ma più in generale ingloba ogni informazione relativa ad una persona, pure se non coperta da riserbo (sono dati personali ad esempio il nome o l’indirizzo della propria abitazione). Lo scopo della normativa era quello di evitare che il trattamento dei dati avvenisse senza il consenso dell’avente diritto, ovvero in modo da recargli pregiudizio. Vennero a tal scopo definiti i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.

Recentemente l’Unione Europea ha approvato un regolamento sulla protezione dei dati personali (UE 2016/679), che introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).

In questo paragrafocominciamo, quindi, ad identificare quali siano i dati a cui faceva riferimento il nostro Codice. Essi sono:

i dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

i dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

i dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

i dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica, con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

i dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

i dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

I dati personali nel Regolamento per la privacy (GDPR)

Il GDPR dedica ampio spazio ai principi a cui fare riferimento per considerare come possano essere applicati al trattamento dei dati personali. Esso, infatti, all’art.4 definisce dato personale:

qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato) che identifichi o renda identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Sfogliando il Regolamento risulta evidente che, nella sua stesura offre una definizione più dettagliata del termine “dato personale” di quanto faccia il D.Lgs. n. 196/2003 all’art. 4 per esplicitare le proprie definizioni. In particolare il Regolamento include – a differenza[4] del Codice italiano sulla privacy che non tratta espressamente questi vocaboli – i significati di

dato genetico [5] ,

, dato biometrico [6]

dato sanitario[7].

Osservando le definizioni fornite dal Regolamento si nota che esso introduce molte definizioni assenti nel Codice della privacy.

In particolare richiama la definizione di “archivio”, parzialmente coincidente con “banca dati” (lett. p) dell’art. 4 del D.Lgs. n. 196/2003): nel Regolamento si parla di “insieme strutturato”, mentre nel Codice italiano si parla di “complesso organizzato”. Infatti nel Regolamento si dichiara che il trattamento è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Il Regolamento attribuisce anche – all’art.9 – una specifica protezione per i dati personali “particolari” che, per loro natura, sono maggiormente sensibili. Sono particolari, ed è vietato trattare, i dati personali che rivelino:

l’origine razziale o etnica;

le opinioni politiche;

le convinzioni religiose o filosofiche;

l’appartenenza sindacale;

dati genetici;

dati biometrici intesi a identificare in modo univoco una persona fisica;

dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Vale la pena notare che il trattamento di fotografie non costituisce sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica.

Nello stabilire il divieto di trattamento dei dati “particolari”, il Regolamento evidenzia che possono ricorrere anche alcune specifiche condizioni che consentano una deroga, e conducano al trattamento anche dei dati particolari[8].

Dati ed informazioni a supporto dell’Agenda Digitale in Italia

Le iniziative di digitalizzazione previste nell’Agenda digitale italiana dovevano acconsentire l’accesso verso i cosiddetti “Open Data” e favorire la Trasparenza, ovvero la messa a disposizione degli accessi alle basi di dati per amministrazioni, cittadini e imprese. La realizzazione di tutti gli interventi previsti avrebbe dovuto indurre una maggiore efficienza operativa nell’operato delle amministrazioni oltre che ad un riavvicinamento tra PA, cittadini e Imprese. Le numerose disposizioni in materia di attività digitale delle pubbliche amministrazioni furono così raccolte e riordinate in un unico atto normativo, il Codice dell’amministrazione digitale (CAD) adottato con il decreto legislativo 7 marzo 2005, n. 82 e poi successivamente sulla Gazzetta Ufficiale n. 214 del 13 settembre 2016 del decreto legislativo 26 agosto 2016, n. 179 recante modifiche ed integrazioni al Codice dell’amministrazione digitale, in materia di riorganizzazione delle amministrazioni pubbliche, ed entrato in vigore 14 settembre 2016.

Concludendo il tentativo di introdurre il lessico degli addetti ai lavori, diventa utile distinguere le differenti tipologie di dati ed informazioni che possono essere rese o meno disponibili non solo ai proprietari, ma anche a soggetti che con loro comunicano e, quindi, diventando i destinatari di eventuali trasmissioni possono utilizzarli per eventuali trattamenti.

Ciò avviene, ad esempio, nel settore della salute, poiché sovente vi sono delle relazioni tra paziente e medico, oppure tra questi ed altri soggetti che siano interessati a trattare i dati dei primi per di-verse finalità, come quelle della diagnosi di eventuali malattie, di somministrazioni terapeutiche, oppure semplicemente per fini amministrativi o gestionali. Tutto ciò, deve essere analizzato all’interno di un’agenda digitale, ovvero di obiettivi da raggiungere all’interno del nuovo scenario che si è delineato con la nascita e diffusione delle nuove tecnologie dell’informazione e delle comunicazioni digitali.

LEGGI L’APPROFONDIMENTO SUI DATI SANITARI

_______________________________________________________

[1] Sul punto si veda il sito dell’Autorità: www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali

[2] Sul punto si vedano le linee guida pubblicate dal WP 29 con il WP 244 rev.01 adottate il 13 dicembre 2016 e successivamente emendate e adottate in data 5 aprile 2017 sul trattamento transfrontaliero dei dati personali e sull’individuazione dello stabilimento principale qualora esso non corrisponda al luogo dell’amministrazione centrale nell’UE.

[3] Sul punto si veda anche Tarallo P. (2017) La tutela dei dati nel settore salute. Epc Editore

[4]In verità, queste categorie sono poi disciplinate all’interno di altri provvedimenti normativi e amministrativi. Infatti il Codice italiano, a differenza del Regolamento, definisce in maniera autonoma i dati identificativi, sensibili, giudiziari, anonimi, la comunicazione elettronica, i dati relativi al traffico e all’ubicazione.

[5] Per dati genetici si intendono i dati personali relativi alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che risultino dall’analisi di un campione biologico della persona fisica in questione, in particolare dall’analisi dei cromosomi,

dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), ovvero dall’analisi di un altro elemento che consenta di ottenere informazioni equivalenti.

[6]Idati biometrici sono considerati dati personali quando sono ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

[7] Sono considerati personali i dati attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Esse comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione, come: un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

[8]Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.

GDPR, tutto ciò che c’è da sapere per essere in regola

Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici (a inizio ottobre 2017 il WP29 ha adottato tre fondamentali provvedimenti che hanno avuto importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue. A preoccupare sono, però, gli spazi di autonomia che permangono in capo ai singoli Stati Membri nel disciplinare in maniera più specifica rispetto al GDPR alcuni aspetti non ricompresi nella competenza dell’UE in base al principio di attribuzione. Tale circostanza potrebbe far sorgere contrasti tra le diverse Autorità di controllo nazionali che si trovino ad disciplinare nello specifico e applicare in concreto a livello nazionale le disposizioni del GDPR.

Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa

In estrema sintesi col GDPR:

Si introduce il concetto di responsabilizzazione o accountability del titolare;

Si introducono importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;

Si introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;

Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;

Si introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;

Si introducono regole più chiare su informativa e consenso;

Viene ampliata la categoria dei diritti che spettano all’interessato;

Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue

.

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Per effetto della sentenza della CGUE di luglio 2020, Schrems II, è stata dichiarata l’invalidità del Privacy Shield ed è stata sollevata anche forte perplessità sul ricorso ai meccanismi previsti dalle SCCs e dalle BCRs per il trasferimento dei dati non solo verso gli Stati Uniti ma verso tutti i Paesi situati fuori dallo Spazio Unico Europeo. Alla fine del 2020 l’EDPB ha elaborato delle raccomandazioni per fornire un supporto ai Titolari nella valutazione dei trasferimenti.

Gdpr e normativa italiana, il decreto legislativo

In data 19 settembre 2018 è entrato in vigore il D.Lgs. 10 agosto 2018, n. 101 che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del GDPR, il D.Lgs. 101/2018 ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale tra cui la previsione di alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR.

One stop shop (sportello unico)

Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplifica la gestione dei trattamenti e garantisce un approccio uniforme. Le imprese che operano in più Stati Ue possono quindi rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano nazionale Industria 4.0 (ora Transizione 4.0) che permette di investire in merito all’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:

La designazione in tempi stretti del Responsabile della protezione dei dati; L’istituzione del Registro delle attività di trattamento; La notifica dei data breach.

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità”, ovvero il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali per trasferirli da un titolare del trattamento a un altro e, se tecnicamente fattibile, la trasmissione diretta dei propri dati. Il diritto alla portabilità può essere esercitato quando il trattamento si basa sul consenso, su un contratto o sia effettuato con mezzi automatizzati. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafiche.

Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability), ovvero l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento del GDPR, e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti o evidenziabili, nonché delle misure tecniche e organizzative (anche di sicurezza) ritenute adeguate dai titolari per mitigare tali rischi.

Data breach Gdpr

Il titolare del trattamento deve comunicare eventuali violazioni dei dati personali al Garante che comportano impatti sui diritti e le libertà degli interessati. Rispondere in modo efficace a un data breach per il Gdpr (qui la guida completa) richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue.

Per supportare le organizzazioni nella gestione di eventuali violazioni di dati personali, l’EDPB (European Data Protection Board) ha adottato il 14 gennaio 2021 la prima versione delle Linee Guida 01/2021 on Examples regarding Data Breach Notification, successivamente adottate in versione finale il 14 dicembre 2021. Queste Linee Guida forniscono esempi pratici di data breach ed integrano le Linee Guida sulla notifica della violazione dei dati personali adottate a febbraio 2018 dall’ex WP29 (ora EDPB).

A livello nazionale il Garante Privacy ha predisposto un “Servizio telematico” dedicato al data breach, fornendo anche un tool di autovalutazione per la notifica all’Autorità di una violazione dei dati personali.

Registro delle attività di trattamento

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, obbligatorio per le imprese che contano almeno o più di 250 dipendenti. Tale previsione non si applica, quindi, alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio, da esibire su richiesta del Garante. Il registro deve avere forma scritta, anche elettronica.

Il Registro dei trattamenti è quindi un documento contenente le principali informazioni di cui all’art. 30 del GDPR relative alle operazioni di trattamento svolte sia dal Titolare del trattamento e, se nominato, dal Responsabile del trattamento. Il Garante Privacy, al fine di fornire risposte alle domande più comuni in relazione al Registro, ha elaborato ad ottobre 2018 delle FAQ contenenti le informazioni che devono essere contenute sia nel Registro del Titolare che del Responsabile e le modalità per la sua conservazione e il suo aggiornamento.

Le responsabilità e le sanzioni per le aziende

Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro. Ecco tutto ciò che c’è da sapere sulle sanzioni GDPR. Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte anche alcune fattispecie di illeciti penali.

La figura del DPO (Data Protection Officer)

Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Il Responsabile della protezione dei dati:

Riferisce direttamente al vertice, E’ indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti; Come già anticipato sopra, accanto alle sanzioni amministrative previste dal GDPR, a livello nazionale sono state introdotte sanzioni di carattere penale. Gli vengono attribuzione risorse umane e finanziarie adeguate alla mission.

In realtà persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e, specialmente con riferimento a settori delicati come quello della sanità, possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanta importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

LEGGI QUI UN APPROFONDIMENTO SU DPO

Quanto costa il Gdpr per le aziende italiane, quanto sono pronte e consigli per ottimizzare la spesa

Le stime dicono che i costi di adeguamento al GDPR si aggirano intornono ai 200 milioni di euro per le aziende italiane, secondo Idc, anche se Confesercenti è arrivata a stimare 2 miliardi di euro. Leggi qui l’approfondimento su costi del Gdpr per le aziende italiane e i consigli per ottimizzare la spesa.

I dodici nuovi diritti per il cittadino con il Gdpr

I cittadini devono conoscere meglio i diritti e gli strumenti che il Gdpr conferisce loro per tutelare i dati personali. Questo articolo è una guida sui nuovi diritti Gpdr per i cittadini ue e in generale l’impatto delle nuove regole su di loro.

I poteri dell’autorità di controllo (Garante privacy)

All’autorità di controllo, il nostro Garante Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie. Ecco che c’è da sapere sui poteri del garante privacy nel GDPR.

Adeguare la PA al GDPR

Diventa prioritario per ciascuna amministrazione definire internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR, poi definire il DPO (responsabile trattamento dati) la trasparenza del responsabile trattamento dati e altre misure. Ecco la guida completa per GDPR e PA.

In particolare, le modifiche contenute nel Decreto Capienze all’art. 2ter del Codice Privacy hanno esteso i poteri delle PA di determinare la base giuridica del trattamento individuata non solo dalla legge e dal regolamento, ma anche dagli atti amministrativi generali. Ai fini della compliance, questo comporterà per le PA la necessità di svolgere delle valutazioni interne in relazione alla corretta individuazione della base giuridica e delle finalità del trattamento. Inoltre, l’abrogazione dell’art. 2-quinquiesdecies Codice Privacy, che permetteva il parere preventivo del Garante Privacy in relazione ai trattamenti suscettibili di avere un rischio alto sui diritti e le libertà degli interessati, ha finito per rendere le Pubbliche Amministrazioni più accountable. Le Pubbliche Amministrazioni, infatti, dovranno assumersi il rischio della non conformità delle scelte effettuate sia in termini di liceità del trattamento sia sulla corretta individuazione e implementazione delle misure di sicurezza poste a presidio dei trattamenti e delle istruzioni operative date ai fornitori responsabili del trattamento, come già rilevato dal Garante nel provvedimento sanzionatorio contro Roma Capitale.

Privacy e Trasparenza con il GDPR

Tra le molte novità, il GDPR apre una nuova pagina sul tema del rapporto tra privacy e trasparenza, anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse. In questo contesto, è importante sottolineare come il regolamento non modifichi direttamente le norme nazionali in materia di accesso ai documenti amministrativi, né quelle attualmente applicate alle innumerevoli istituzioni europee. Si preoccupa invece di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e di “tutela efficace della riservatezza” sono considerati entrambi meritevoli di efficace protezione.

GDPR e diritto all’oblio

La vera novità che arriva con il Gdpr sul diritto all’oblio è nell’articolo 17: la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano.

Sul tema l’EDPB ha elaborato le Linee Guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del GDPR. In particolare, le Linee Guida 5/2019 indicano sia i motivi che un interessato può invocare per chiedere la deindicizzazione a un fornitore di motore di ricerca ai sensi dell’articolo 17, par. 1, del GDPR che le eccezioni al diritto di richiedere la deindicizzazione. Anche in ambito nazionale, il Garante per la protezione dei dati personali si è pronunciato diverse volte in merito alla deindicizzazione di informazioni riferite agli interessati presenti sui motori di ricerca online.

L’impatto sui diritti dei cittadini è importante, ecco perché: LEGGI LE NOVITÀ GDPR SUL DIRITTO ALL’OBLIO

Perché il GDPR è un investimento necessario per il futuro di aziende e PA

Le imprese e le PA devono considerare l’attuazione del GDPR non come un costo ma come un investimento. Necessario a sostenere il proprio futuro nel mercato e istituzionale. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e intelligenza artificiale. Approfondisci qui.

Il codice di condotta per il trattamento dei dati personali

Tra gli strumenti volti a facilitare l’implementazione dei principi di tutela della privacy, l’art. 40 GDPR consente alle associazioni di categoria e ad altri organismi rappresentativi di titolari e responsabili del trattamento di predisporre dei codici di condotta.

Si tratta di strumenti di auto-disciplina, adottati su base volontaria, attraverso i quali rappresentanti e associazioni di categoria possono prevedere regole interne di protezione dei dati personali, al fine di creare uniformità all’interno dello specifico settore e di assicurare il rispetto delle norme del GDPR da parte di titolari e responsabili.

Il controllo della conformità con un codice di condotta ai sensi dell’articolo 40 può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell’autorità di controllo competente ai sensi dell’art. 41 del GDPR.

Il 10 giugno 2020, il Garante Privacy ha approvato, con Provvedimento n.98, i requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta. I requisiti erano già sottoposti al prescritto esame dell’EDPB che si è espresso con il parere adottato il 25 maggio 2020.

L’accreditamento degli organismi di monitoraggio costituisce condizione necessaria per l’approvazione di un codice di condotta da parte del Garante. Tali requisiti costituiranno un modello di riferimento per quelle associazioni che intendono sottoporre i loro codici di condotta all’approvazione del Garante privacy.

Con riferimento all’adozione di Codici di condotta, il Garante privacy ha approvato con Provvedimento del 14 gennaio 2021 il Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica.

Il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali

Con il Provvedimento n. 127 del 12 giugno 2019, il Garante privacy ha approvato il Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali proposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic) e che aggiorna il vecchio Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (Allegato A.7 del Codice Privacy).

In questo caso, vengono introdotte una maggiore tutela delle persone censite, la valutazione di impatto sulla protezione dei dati, l’adeguamento alle best practice europee e un nuovo organismo di monitoraggio sulle imprese aderenti al Codice.

Il nuovo codice di condotta garantisce, dunque, la concreta applicazione del principio di accountability introdotto dal GDPR che impone alle associazioni di categoria e alle imprese un’applicazione consapevole, trasparente, effettiva delle norme regolamentari.

Il nuovo testo del codice di condotta consente ora alle società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager di trattare i dati personali dei soggetti censiti senza richiederne il consenso, basandosi sul legittimo interesse.

Le stesse società, però, dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e garantendo loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.

Il nuovo codice di condotta, inoltre, impone ai fornitori aderenti di operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali.

Oltre ad osservare le linee guida, le raccomandazioni e le best practice adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti, ogni fornitore dovrà designare, quando previsto, un responsabile per la protezione dei dati (RPD/DPO).

Il codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali istituisce, infine, un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità, che dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.

Il 29 aprile 2021 è stata approvata la versione finale del Codice di condotta, modificato e integrato alla luce del completamento della procedura di accreditamento da parte del Garante, alla cui definizione era subordinata l’efficacia del Codice di condotta approvato il 12 giugno 2019.

Codice di condotta per i per i sistemi di informazione creditizia (SIC): nuove regole

Dopo un complesso lavoro di revisione del vecchio “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (Allegato A.5 del Codice Privacy), reso inattuale dalle modifiche introdotte dalla normativa europea (GPDR) e nazionale in materia di privacy, il Garante Privacy ha approvato con il Provvedimento n. 163 del 12 settembre 2019 il nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (i cosiddetti “SIC”).

La verifica di conformità del vecchio codice di deontologia, demandata al Garante dall’art. 20 del D.lgs. 101/2018 (decreto di adeguamento della normativa nazionale al GDPR), ha dunque portato alla definizione di nuove regole per la tutela dei dati dei consumatori relativi a mutui, prestiti e piattaforme Fintech.

Il nuovo codice, proposto all’Autorità Garante dall’Associazione Italiana Società di Referenza (AISReC), insieme all’Associazione Italiana Leasing e al Consorzio per la Tutela del Credito, include diciannove articoli e quattro allegati.

L’obiettivo della revisione era di regolare il mercato creditizio e quello finanziario per garantirne il corretto funzionamento nell’ottica della data protection. I dati censiti potranno quindi essere trattati senza il consenso degli interessati, sulla base del cosiddetto legittimo interesse delle società partecipanti ai SIC, garantendo però i più ampi diritti previsti dal GDPR.

In particolare, potranno essere trattati solo dati necessari, pertinenti e non eccedenti le finalità di valutazione del rischio creditizio, fornendo informazioni complete e puntuali agli interessati. A garanzia di ciò, i modelli di analisi statistica e gli algoritmi di valutazione verranno sottoposti a verifiche e aggiornamenti almeno due volte all’anno.

L’approvazione del nuovo codice di condotta dei SIC, inoltre, ha focalizzato l’attenzione sulle misure di sicurezza da adottare per la protezione dei dati personali degli utenti, al fine di proteggere i dati da accessi illeciti e garantire l’affidabilità dei sistemi.

Le altre novità del codice di condotta dei SIC prevedono, inoltre:

diritti rafforzati a tutela della privacy delle persone interessate;

l’obbligo di informative più complete sui trattamenti dei dati posti in essere dalle società aderenti;

l’istituzione di un organismo di monitoraggio indipendente che vigili sull’operato dei SIC;

nuove forme di contatto che, previo accordo con gli interessati, consentiranno di inviare “preavvisi di segnalazione” anche tramite sistemi di messaggistica istantanea che garantiscano la tracciabilità della consegna;

un’estensione dei dati censiti alle varie forme di leasing, al noleggio, ai prestiti tra privati (peer to peer lending);

l’allungamento delle serie storiche positive più lunghe a tutela del credito e per rispondere alle richieste degli organismi di vigilanza: i dati storici positivi sui clienti potranno essere conservati per 60 mesi;

un maggiore trasparenza nelle decisioni prese dai sistemi SIC: in caso di negazione del credito sulla base di analisi automatizzate l’interessato potrà richiedere informazioni in merito alla logica di funzionamento degli algoritmi;

gli stessi algoritmi, infine, potranno essere “allenati” esclusivamente con dati pseudonimizzati, quindi non più riferibili a un soggetto specifico.

Alcuni esempi di sanzioni Gdpr in Italia

Nel 2021 il Garante privacy ha sanzionato, alla luce del Gdpr, Fastweb per 4.5 milioni di euro a marzo, Foodinho per 2.6 milioni di euro a giugno e a luglio Deliveroo per 2.5 milioni di euro. Inoltre, a settembre 2021, Sky Italia è stata sanzionata per 3.296.326 milioni di euro per telemarketing illegittimo.

Il Garante Privacy in Italia ha sanzionato alla luce del Gdpr ENI Gas e Luce per 11 milioni e 500 mila euro e TIM per 27 milioni e 800 mila euro, a gennaio e febbraio 2020, per telemarketing illegittimo. Idem Wind 3 e Iliad a luglio 2020 per 17,8 milioni di euro euro e Vodafone Italia a novembre 2020 per 12 milioni e 500 mila euro.

Nel 2019 si segnala solo quella per la piattaforma di voto elettronico Rousseau del M5S (ad aprile, 50 mila euro). Le sanzioni 2019 hanno riguardato perlopiù violazioni a cui si applica normativa antecedente al Gdpr.

Tutto sul GDPR e la protezione dei dati personali in azienda

Il GDPR è il frutto di un lungo percorso legislativo, iniziato il 4 novembre 2010, quando la Commissione europea ha elaborato una proposta di riforma della normativa in materia di protezione dei dati personali. Il Regolamento Generale è entrato in vigore il 24 maggio 2016 ed è diventato applicabile a partire dal 25 maggio 2018, dopo un periodo di transizione di due anni, che ha permesso ai soggetti destinatari di implementare quanto necessario per mettersi in regola.

Il GDPR persegue due obiettivi fondamentali: da un lato, adeguare la normativa, ormai risalente al 1995, alle nuove tecnologie, dall’altro armonizzare ed uniformare la normativa stessa a livello europeo, creando un quadro normativo comune. L’avvento del nuovo Regolamento europeo sulla Protezione dei Dati Personali ha letteralmente sconvolto il mercato digitale nel corso dell’ultimo anno. In questa guida cercheremo di capire cosa è cambiato in ambito Data Protection dopo l'introduzione del Regolamento e quali sono le azioni che stanno mettendo in atto le aziende italiane per adeguarsi alla normativa e quali le relative difficoltà incontrate durante il percorso.

Il GDPR rende infatti necessario l’introduzione di nuove competenze e strumenti per la gestione del patrimonio informativo aziendale. Spicca ad esempio il Data Protection Officer (DPO), figura che approfondiremo nel corso della guida. Diverse novità, come vedremo, anche in materia di “responsabilità”, certificazione dei trattamenti, valutazione d’impatto e molto altro. A più di un anno dall'introduzione del GDPR, le aziende italiane sono pronte?