Il Regolamento Generale sulla Protezione dei Dati (GDPR) è senza dubbio uno degli esempi più noti e di maggiore influenza tra le leggi sulla protezione dei dati a livello mondiale. Esso continua ad esercitare la sua influenza sulle regolamentazioni in Europa e nel resto del mondo. In Italia, rimane la normativa più importante in questo ambito.
Entrato in vigore nel 2018, il GDPR si applica a tutti i 27 Paesi membri dell’UE e agli altri tre stati facenti parte del SEE (Spazio Economico Europeo), ossia l’Islanda, il Liechtenstein e la Norvegia. Dal 2018, sono state promulgate altre normative spesso pensate per rafforzare le disposizioni del GDPR (come nel caso della Direttiva ePrivacy o del Digital Markets Act).
A livello internazionale, altre leggi importanti in questo ambito sono il POPIA in Sudafrica, la LGDP in Brasile e la LPD in Svizzera. Tuttavia, diversamente dal GDPR che assume un carattere di extraterritorialità, queste ultime si applicano spesso solamente al territorio di riferimento ed in maniera circoscritta.
Che cos’è il Regolamento generale sulla protezione dei dati (GDPR)?
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge sulla privacy che mira a tutelare la protezione dei dati degli utenti dell’UE e del SEE. Il GDPR è, dunque, un regolamento vasto e dettagliato, incentrato sul diritto alla privacy dei cittadini dell’UE e sulla salvaguardia dei loro dati personali che vengono raccolti o processati.
Il GDPR ha sostituito la Direttiva sulla protezione dei dati del 1995, che diede origine a leggi a protezione della privacy su base nazionale. Ciò risultò in un insieme di regolamentazioni europee dal carattere poco coeso. Pertanto, il GDPR si pose l’obiettivo di offrire un’unica cornice interpretativa valida per tutti gli Stati membri.
L’intensa regolamentazione del GDPR richiede l’applicazione di sette principi sulla protezione dei dati e facilita otto diritti sulla privacy dei consumatori. Gli Stati membri dispongono di organismi interni per far valere l’applicazione del GDPR; dunque, questo non è regolato da un’autorità centrale. In Italia, il Garante italiano per la privacy ha lo scopo di supervisionare che vengano applicati i principi e i requisiti del GDPR.
Extraterritorialità del GDPR: un tema particolarmente rilevante per le aziende extra-UE
Come riportato nell’articolo 3, il GDPR si applica alle organizzazioni che processano i dati personali nel territorio dell’UE, “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”. Inoltre, vige il principio per cui non vi è l’obbligo per la società di risiedere nel territorio dell’UE.
Dunque, una società con sede negli USA che raccoglie e tratta i dati dei cittadini UE per via digitale (senza dunque disporre di una sede fisica nell’UE) è ugualmente tenuta a rispettare il GDPR.
Inoltre, il considerando 25 stabilisce che:
Definizioni importanti che il GDPR fornisce
L’articolo 4 del GDPR fornisce una lista completa di definizioni che spiegano i termini importanti usati nella regolamentazione stessa. Per aiutare le organizzazioni e i singoli individui a comprendere il GDPR cos’è e i suoi requisiti, abbiamo di seguito incluso alcune tra le definizioni più rilevanti e più spesso utilizzate
Cos’è il GDPR: definizione di dati personali
Il termine “informazioni personali identificabili” (in inglese, Personally Identifiable Information, spesso abbreviato in “PII”) proviene dagli Stati Uniti e indica quelle informazioni che si possono usare, da sole o insieme ad altri dati, per identificare, contattare o localizzare una persona specifica.
Insomma, si tratta di qualsiasi informazione relativa ad “una persona fisica identificata o identificabile” e di cui, attraverso i suoi dati personali, si può direttamente o indirettamente risalire all’identità. I dati personali possono riguardare informazioni ovvie come nomi, numeri di carte d’identità, numeri di telefono o indirizzi email, ma anche indirizzi IP, informazioni raccolte mediante l’uso di cookie come le abitudini di consumo o i comportamenti su un sito web, o informazioni personali sensibili come il genere, gli orientamenti religiosi o la vicinanza a partiti politici.
Il GDPR mira a proteggere qualunque informazione personale che possa identificare in modo chiaro e univoco una persona. Dato che queste informazioni possono ricondurre direttamente all’individuo in questione, la loro protezione è rafforzata, poiché qualora finissero nelle mani sbagliate potrebbero comportare dei danni significativi. Il GDPR si pone l’obiettivo di tutelare proprio questo tipo di informazioni altamente sensibili.
Cos’è il GDPR: il processamento dei dati
Qualunque azione eseguita sulla base di dati personali, sia essa automatizzata o manuale, è un processamento di dati, che può includere azioni quali: operazioni di “raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o alterazione, recupero, consultazione, utilizzo, diffusione mediante trasmissione, disseminazione o diffusione in pubblico, allineamento o combinazione, restrizione, cancellazione o distruzione” di dati personali.
Se stai già processando dei dati personali, o hai intenzione di farlo, dovrai necessariamente essere in conformità con i regolamenti che tutelano la privacy dei dati, in particolare il GDPR.
Cos’è il GDPR: l’interessato al trattamento
Il GDPR definisce come “interessato al trattamento” una persona fisica i cui dati personali vengono processati da un titolare o da un responsabile del trattamento.
Per le aziende che hanno una presenza online, gli “interessati” sono solitamente i visitatori di un sito web, i clienti o gli utenti dell’app.
Cos’è il GDPR: il titolare del trattamento
Un titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Solitamente il titolare del trattamento è un’azienda o un’organizzazione internazionale. Inoltre, il titolare del trattamento intrattiene delle relazioni e interagisce con il responsabile del trattamento dei dati, qualora quest’ultimo sia un organismo di terze parti.
Cos’è il GDPR: i contitolari del trattamento
Quando due o più titolari del trattamento dei dati uniscono le forze e decidono le finalità e i mezzi con cui vengono processati i dati, individualmente o congiuntamente, essi si definiscono come “contitolari del trattamento” (spesso, viene usata l’espressione inglese “joint controllers”).
L’articolo 26 del GDPR (l’acronimo è anche disponibile nella sua versione italiana “RGPD”) fornisce una spiegazione dettagliata di cos’è la contitolarità del trattamento e impone alle parti coinvolte di avere un accordo scritto (contrattuale) tra di loro. In questo contratto vanno specificati ruoli e responsabilità, in particolare riguardo l’esercizio dei dati degli interessati e i doveri dei contitolari al trattamento, insieme alle informazioni da dover fornire ai sensi del GDPR.
Cos’è il GDPR: il responsabile del trattamento dei dati
Una terza parte che processa i dati personali per conto del responsabile del trattamento dei dati è essa stessa responsabile del trattamento. Potrebbe trattarsi di un’ampia varietà di enti, tra cui persone fisiche o giuridiche, autorità pubbliche, agenzie o altro ancora.
Gli impiegati e i collaboratori di un titolare del trattamento sono considerati agenti del titolare del trattamento, non responsabili di esso. I responsabili del trattamento possono essere fornitori di server basati sul cloud, partner ad tech, aziende che utilizzano tecnologie di marketing o altro ancora.
Facciamo un esempio. Il proprietario di una determinata azienda è anche il titolare del trattamento, poiché è il soggetto su cui ricade la responsabilità legale. Il responsabile del trattamento, invece, può essere il RPD (Responsabile della protezione dei dati) designato, oppure una società terza ingaggiata per occuparsi del trattamento dei dati (si può quindi trattare di società di marketing che utilizzano ad tech come Google Ads).
Sette principi per trattare i dati in conformità alla legislazione vigente e al GDPR
L’articolo 5 del GDPR delinea i principi del GDPR a cui le organizzazioni devono risultare in conformità durante tutte le attività di processamento dei dati personali.
1. Liceità, correttezza e trasparenza
Le società devono avere una base giuridica legale per processare i dati personali, ad esempio attraverso il consenso dell’utente e devono trattarli in modo lecito, corretto e trasparente nei confronti dell’interessato.
2. Limitazione della finalità
I dati personali possono essere raccolti solo per finalità specifiche, esplicite e legittime. I dati personali non possono essere trattati incompatibilmente a tali finalità. Se la finalità (o le finalità) cambiano, dovrà essere richiesto nuovamente il consenso sulla base di tali cambiamenti.
3. Minimizzazione dei dati
Solamente i dati personali finalizzati al raggiungimento della finalità del trattamento possono essere trattati. I dati vanno condivisi esclusivamente con le sole entità necessarie a completare il trattamento.
4. Limiti nell’archiviazione
I dati personali vanno conservati soltanto per il tempo necessario per il raggiungimento delle finalità del trattamento. Una volta raggiunte queste finalità, i dati devono essere restituiti, cancellati o resi anonimi per prevenire qualsiasi archiviazione non necessaria delle informazioni personali. Questa limitazione si applica anche ai titolari del trattamento di terze parti.
4. Minimizzazione dei dati
I dati personali vanno conservati soltanto per il tempo necessario per il raggiungimento delle finalità del trattamento. Una volta raggiunte queste finalità, i dati devono essere restituiti, cancellati o resi anonimi per prevenire qualsiasi archiviazione non necessaria delle informazioni personali. Questa limitazione si applica anche ai titolari del trattamento di terze parti.
5. Correttezza
I dati personali devono essere corretti e aggiornati. I dati inesatti devono essere corretti o cancellati tempestivamente. Gli interessati hanno il diritto di richiedere la rettifica dei dati.
6. Integrità e riservatezza (sicurezza)
I dati personali devono essere processati in modo che ne venga garantita la sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
7. Responsabilizzazione
È responsabilità del titolare del trattamento essere in conformità al GDPR. Questo deve, inoltre, poter dimostrare di rispettare tutti i principi. I responsabili del trattamento di terze parti hanno altresì responsabilità di conformità e sicurezza, ma in ultima analisi la responsabilità ricade sul titolare del trattamento. Avere dei contratti validi e una visione d’insieme pronta all’uso è di fondamentale importanza.
Base legale e interesse legittimo: cosa dice il GDPR a riguardo
L’articolo 6 del GDPR copre la “liceità del trattamento”, o la base giuridica, come spesso viene chiamata. In questo articolo vengono delineate le condizioni alle quali il trattamento dei dati da parte di un titolare si considera “lecito”.
Sebbene il consenso dell’utente sia una delle condizioni che quasi tutti conoscono, ce ne sono 6 in totale:
- gli interessati hanno espresso il consenso
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte
- il trattamento è necessario ad un obbligo legale a cui il titolare del trattamento è sottoposto
- il trattamento è necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona fisica
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento,
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.
In passato i titolari dei dati hanno affermato che il consenso per la raccolta dei dati fosse “implicito” dato il legittimo interesse che l’azienda aveva riguardo l’utilizzo dei dati. Tuttavia i legislatori non erano d’accordo sulla legittimità di tale interesse, poiché in aperto contrasto con la protezione dei dati personali.
Con il GDPR, è diventato obbligatorio dover dimostrare alle autorità di aver ottenuto esplicitamente il consenso, specificando che i motivi di legittimo interesse “sono stati sostituiti dagli interessi o diritti fondamentali degli interessati che richiedono la protezione dei dati personali, in particolare nel caso in cui l’interessato sia un bambino”.
L’interesse legittimo ha subito un ridimensionamento anche con il IAB TCF v2.2, il framework sulla Trasparenza e il Consenso in Europa. Sebbene il TCF non sia una legge, rimane comunque un quadro normativo importante a cui aderire per qualsiasi CMP di qualità.
L’interesse legittimo non può più essere utilizzato come base legale per la pubblicità mirata e i contenuti personalizzati; pertanto, ottenere il consenso esplicito rimane l’unica opzione disponibile.
Determinate situazioni prevedono che, per adempiere agli obblighi contrattuali, i titolari del trattamento condividano i dati con terze parti. Ciò riguarda per esempio gli ecommerce, che spesso collaborano con terze parti per processare i pagamenti e spedire i prodotti.
Ai sensi del GDPR, i titolari del trattamento possono condividere i dati personali con queste terze parti, in quanto il trattamento risulta “necessario per l’adempimento del contratto”, come stabilito dall’art. 6 del GDPR. I titolari del trattamento devono assicurarsi che anche queste terze parti agiscano in conformità ai requisiti di protezione dei dati imposti dal GDPR.
Il consenso: come viene definito dal GDPR
Il considerando 32 del GDPR definisce il consenso in questo modo:
Prendiamo in considerazione i siti web: questi sollecitano i consumatori online ad esprimere le proprie preferenze circa la raccolta e il trattamento dei propri dati personali attraverso i banner per i cookie, che richiedono il consenso per iscritto.
Alcuni banner per i cookie offrono l’opzione di categorizzare i cookie in base alle tipologie di dati che raccolgono (marketing, analytics, statistici, e così via). In questo modo gli utenti possono prendere decisioni più granulari riguardo come i propri dati vengono utilizzati ed opporsi ad alcune finalità. Tuttavia, molti banner per i cookie non sono ancora in conformità al GDPR.
Tornando a quanto riportato nel Considerando 32 del GDPR, esso stabilisce le condizioni di validità del consenso e fornisce indicazioni su come descrivere con precisione le finalità per cui viene richiesto il consenso:
- Il silenzio, la preselezione di caselle o l’inattività non costituiscono un consenso valido, poiché non dimostrano esplicitamente il consenso dell’interessato;
- Il consenso deve essere espresso per tutte le attività di trattamento condotte per la finalità o le finalità esplicitate;
- Quando i dati vengono trattati per finalità multiple, l’interessato deve dare il consenso esplicito per tutte queste;
- Se il consenso dell’interessato viene richiesto attraverso mezzi elettronici, tale richiesta deve essere chiara e concisa e non interferire immotivatamente con l’erogazione del servizio per il quale il consenso è espresso.
Presta attenzione ai “dark patterns”, o modelli di progettazione ingannevole. Si tratta di interfacce o banner per i cookie che manipolano o inducono gli utenti a fornire il consenso. Un esempio di dark pattern è un sito che ti costringe ad accettare una richiesta o ti impedisce di usare i servizi, o anche solo accedere al contenuto.
I legislatori e gli organi di regolamentazione stanno sempre di più contrastando tali attività e penalizzando i siti web o app che le utilizzano. Inoltre, alcune regolamentazioni ne vietano esplicitamente l’uso .
L’art. 7 del GDPR stabilisce le condizioni per il consenso di responsabilità del titolare del trattamento:
- Il titolare deve poter provare che gli interessati abbiano acconsentito al trattamento dei propri dati, per esempio quando viene richiesto un audit, o nel caso di un controllo da parte delle autorità o di una richiesta di accesso da parte degli interessati;
- Se il consenso dell’interessato è prestato in forma scritta e riguarda anche altre questioni, la richiesta di consenso deve essere presentata in un modo comprensibile e distinguibile, facilmente accessibile e con un linguaggio semplice e chiaro;
- Gli interessati hanno il diritto di revocare il proprio consenso in qualunque momento, con la stessa facilità con cui hanno potuto esprimerlo. Ciò include la possibilità di modificare le preferenze per fornire un consenso parziale o più granulare;
- La fornitura dei servizi non dipende in alcun modo dalla ricezione del consenso. Se l’utente rifiuta di condividere i propri dati non essenziali, ciò non deve in alcun modo limitare la fruizione del servizio. Tuttavia, si applicano eccezioni qualora sia necessario fornire il consenso per performare il contratto o somministrare i servizi.
Opt-in vs. opt-out
Il GDPR utilizza dei modelli opt in per il consenso dell’utente, il che significa che non si possono raccogliere o trattare i dati finché l’utente (sia esso un acquirente online, un visitatore del sito web, un utente dell’app, o altro ancora) dia il consenso esplicito al trattamento. Questo requisito riguarda sia i dati personali come nome e indirizzo email, ma anche i dati che possono identificare la persona, come l’età, la provenienza geografica e le abitudini di consumo.
È importante evidenziare che ai sensi del GDPR gli utenti devono necessariamente ed esplicitamente acconsentire al trattamento dei dati prima che i servizi di raccolta delle informazioni (come i cookie) possano essere attivati, tracciando di conseguenza i loro dati . Il discorso è diverso per i modelli di opt out. In questi casi, non esiste l’obbligo di ottenere il consenso prima di iniziare a raccogliere i dati (eccezion fatta per alcune tipologie, come per esempio nel caso di bambini o soggetti sensibili). Tuttavia, l’ottenimento del consenso rimane obbligatorio prima di poter vendere o utilizzare i dati per finalità pubblicitarie o di profilazione. Tale modello è in vigore in alcuni Stati degli Stati Uniti d’America. In Europa, non è così: il GDPR impone il modello di opt in. Prima si ottiene il consenso e soltanto poi si può cominciare a raccogliere i dati.
Il GDPR riassunto: privacy e diritti degli interessati
Il GDPR riconosce agli interessati otto diritti inclusi nel Capo 3. Questi sono la colonna portante dei diritti dei consumatori in materia di protezione dei dati.
Ecco alcuni punti salienti che rendono il GDPR una normativa completa a cui è talvolta difficile adeguarsi:
- diritto all’informazione: l’interessato deve poter conoscere le finalità del trattamento, incluse le informazioni del venditore e il periodo durante il quale i dati verranno conservati;
- diritto di accesso (art. 15 GDPR): l’interessato deve poter sapere quali dati sono stati trattati dal titolare e deve potervi accedere;
- diritto di rettifica (art. 16 GDPR): l’interessato può richiedere la rettifica parziale o totale del consenso e dei dati in possesso del titolare del trattamento;
- diritto all’oblio (art. 17 GDPR): in alcune situazioni, l’interessato può richiedere che il titolare cancelli i suoi dati personali di cui è in possesso. Tra queste situazioni il ritiro del consenso, l’interruzione di un contratto o il decesso dell’interessato;
- diritto di limitazione al trattamento (art. 18 GDPR): i dati possono non essere processati qualora sussistano determinate situazioni;
- obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (art. 19 GDPR): il titolare del trattamento deve comunicare a tutti i destinatari cui vengono trasmessi i dati personali qualunque rettifica, cancellazione o limitazioni del trattamento, salvo situazioni previste dall’articolo;
- diritto alla portabilità dei dati (art. 20 GDPR): l’interessato ha il diritto di ricevere i propri dati in un formato strutturato, di uso comune e leggibile e di trasferirli ad altri titolari, qualora necessario;
- diritto di opposizione (art. 21 GDPR): l’interessato può opporsi al trattamento dei propri dati in qualunque momento, anche per motivazioni riconducibili a situazioni particolari e personali;
- processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (art. 22 GDPR): l’interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione.
Scopri di più su: Intelligenza Artificiale (IA), dati personali e consenso.
Chi è responsabile per la conformità al GDPR?
La responsabilità per la conformità al GDPR ricade su qualunque persona fisica o giuridica (individui o aziende) che tratta i dati personali di individui situati all’interno dell’UE.
Il GDPR si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
Esso si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Come raggiungere la conformità al GDPR: 4 step pratici
Se sei un’attività commerciale che raccoglie e tratta dati di utenti europei, ecco 4 passaggi pratici da cui iniziare per raggiungere la conformità al GDPR.
1. Richiedi un audit sulla privacy dei dati
Un audit sulla privacy dei dati valuta i dati che la tua organizzazione tratta e archivia, oltre che le fonti (come i cookie usati) e la conformità generale al GDPR. Si concentra su alcune aree critiche come la gestione del consenso e le pratiche sulla sicurezza dei dati. Inoltre, identifica le aree di rischio e i margini di miglioramento.
2. Elabora un’informativa sulla privacy dettagliata
Disporre di un’informativa sulla privacy dettagliata e facilmente accessibile dagli utenti aiuta a rispettare i criteri di trasparenza del GDPR. In caso di cambiamenti nelle modalità con cui gestisci i dati degli utenti, assicurati che le tue informative sulla privacy vengano aggiornate. Ricordati di includere informazioni fondamentali richieste dal GDPR, come:
- i tipi di dati personali che raccogli
- la base legale e e le finalità per cui tratti i dati
- quanto a lungo conserverai i dati
- i diritti degli interessati
- come gli interessati possono esercitare tali diritti
- come gli interessati possono ritirare il proprio consenso
- dettagli di contatto del tuo responsabile della protezione dei dati (RPD), qualora la tua organizzazione ne avesse uno.
3. Ottieni il consenso esplicito
Per essere valido, il consenso dell’utente deve soddisfare i requisiti stabiliti dal GDPR. Questo deve essere ottenuto senza manipolazioni. Le attività commerciali che trattano dati di utenti europei possono usare una piattaforma di gestione del consenso (CMP) come ad esempio Usercentrics CMP per raccogliere il consenso in modo esplicito, informato e legalmente valido.
Usercentrics CMP ti consente di raccogliere il consenso, aumentare il tasso di opt-in e tenere traccia dei dati in piena conformità al GDPR. Permette di impostare scelte di consenso granulari in modo che gli utenti possano scegliere di acconsentire a determinate finalità e rifiutarne altre. Inoltre, consente agli utenti di modificare o ritirare il proprio consenso con facilità e in qualunque momento.
4. Tieni un registro delle tue attività di trattamento dei dati
Che tu sia il titolare o un responsabile del trattamento, devi tenere un registro dettagliato delle tue attività. Le informazioni richieste variano leggermente tra titolari e responsabili (l’art. 30 del GDPR spiega in dettaglio quali sono i requisiti). In ogni caso, dovrai tenere un registro aggiornato delle tue attività per dimostrare la conformità ai requisiti del GDPR.
Conclusioni sulla conformità al GDPR
La tecnologia continua ad evolversi e richiede che le leggi sulla privacy vengano aggiornate di pari passo. Cosa bisogna modificare quando una terza parte cessa la propria attività? Come saranno protetti i bambini dalle app social che raccolgono i loro dati biometrici? Come sarà usata e regolamentata l’IA? Queste domande su cui i regolatori, le organizzazioni e i cittadini sono tenuti a riflettere avranno delle conseguenze a cui bisogna prestare attenzione, dedicandovi tempo e risorse.
Fortunatamente, esistono degli strumenti, come le piattaforme per la gestione del consenso (CMP), per aiutare le aziende a navigare tra i requisiti del GDPR e comunicare in modo trasparente con gli utenti.
Se hai delle domande su come il GDPR impatta il tuo business, o vuoi saperne di più sulla gestione del consenso per siti web e app, saremo felici di aiutarti.