Norme Generali GDPR

Da Wikipedia, l'enciclopedia libera.
 
 
 
Regolamento Generale sulla Protezione dei Dati
Titolo esteso Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
Stato Unione europea Unione europea
Tipo legge Regolamento dell'Unione europea
Date fondamentali
Promulgazione 25 maggio 2018
Testo
Rimando al testo EUR Lex

Il Regolamento Generale sulla Protezione dei Dati in sigla RGPD[1] (o GDPR in inglese General Data Protection Regulation)[2], ufficialmente regolamento (UE) n. 2016/679 , è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell'Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.

Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell'Unione europea (UE) e dei residenti nell'UE, sia all'interno che all'esterno dei confini dell'UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l'UE.[3][4]

Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'UE) che trattano dati di residenti nell'UE ad osservare e adempiere agli obblighi previsti. Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE)[5] e, in Italia, ha abrogato[6] gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili.[7]

"Il regime di protezione dei dati proposto per l'UE estende gli obiettivi della legge europea sulla protezione dei dati a tutte le imprese estere che trattano dati di residenti europei a prescindere dal luogo nel quale le trattano e dalla loro sede legale. Permette di armonizzare le diverse normative sulla protezione dei dati in tutta l'UE, facilitando così l'osservanza delle norme da parte delle imprese non europee; tuttavia, questo è stato ottenuto a costo di un regime che prevede una severa disciplina di protezione dei dati, con rigide sanzioni che possono raggiungere il 4% del volume globale di affari."[8] A seguito di negoziazioni nel dialogo a tre tra Parlamento Europeo, Commissione europea e Consiglio dei Ministri, si è raggiunto un consenso generale sulla formulazione del GDPR e sulle sanzioni finanziarie per la mancata osservanza.[9]

Contenuto

La proposta per il regolamento generale sulla protezione dei dati presentava alcuni passaggi poi non confermati nella versione definitiva[10][11]. Considerava, invece, favorevolmente l'introduzione della privacy by design (i requisti privacy devono essere compresi nella progettazione del sistema), la privacy by default (le misure privacy devono essere attuate per impostazione predefinita) e quella del principio del carattere personale dell'indirizzo IP.[12][13][14] Ambo i principi sono stati poi recepiti nel regolamento.

Come premessa all'esposizione degli articoli di legge il regolamento contiene un lungo elenco di considerando, anch'essi numerati in sequenza, e citati con "C" seguito dal numero del considerando[15].

Ambito

Il regolamento si applica al trattamento dei dati personali, ed al trattamento non automatizzato dei dati conservati in un "archivio", definito (artt. 2 e 4) in modo simile all'espressione "banca di dati", presente nel codice della privacy italiano (l'Italia si è adeguata alla normativa europea tramite il decreto legislativo n. 101 del 10 agosto 2018). Inoltre, a differenza dell'attuale direttiva, il regolamento si applica anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico ("le autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali"[16]). Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer."[17]

Questa normativa non è specifica per tipologia di supporto, ciò significa che le informazioni e i relativi dati possono essere: orali, cartacee/materiali, digitali/immateriali e loro combinazioni.

Il regolamento disciplina il trattamento dei soli dati personali unicamente delle persone fisiche (ivi compresi quelli di persone fisiche trattati in ambito professionale o associativo o situazioni similari ovvero nei rapporti tra imprese, enti e associazioni) e pertanto sono esclusi dall'applicazione del codice i dati di identificazione e simili di soggetti aventi personalità giuridica: società di capitali, aziende ed enti pubblici, associazioni e fondazioni[18], o comunque organizzazioni in genere anche senza personalità giuridica come definita in Italia. Questo non vale per le ditte individuali, perché in tal caso identità personale e professionale coincidono. In pratica, il campo di applicazione riguarda i dati personali di persone fisiche trattati in qualsiasi attività (professionale, economica, di interesse pubblico, associativa, ecc.) a esclusione della vita domestica/non professionale (eccezion fatta per la pubblicazione on line di dati personali di persone fisiche, anche se nell'ambito personale o domestico, in quanto si tratta di divulgazione indistinta)[19].

I dati personali forniti o comunicati possono essere relativi a persone fisiche terze (rispetto all'interessato) oppure trattati da soggetti terzi (rispetto al titolare). Il GDPR definisce terzo "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile". Per il trattamento di dati relativi a terzi o forniti a terzi (comunicazione a destinatari) occorre che l'informativa lo precisi e siano definite le responsabilità nonché attestata la conformità del trattamento da parte dei titolari coinvolti. Anche un particolare trattamento quale è la "diffusione" deve essere previsto o escluso nell'informativa.

In base al principio di stabilimento le sue norme si applicano ai trattamenti di dati personali posti in essere da titolari e responsabili stabiliti nell'Unione Europea, senza alcun rilievo per il luogo in cui si effettua il trattamento stesso o per il luogo in cui si trova il data subject[20].

Il regolamento, invece, non si applica nei seguenti casi:

  • trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
  • trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza);
  • trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse (vedi direttiva 2016/680);
  • trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (vedi esenzione per uso personale).

Dati

Vengono ampliate e caratterizzate le definizioni sui dati presenti nella corrente direttiva e aggiunte di nuove. Quindi, oltre al dato personale, troviamo dati genetici, biometrici e relativi alla salute, comunque tutte informazioni che consentono l'identificazione univoca di una persona fisica.

  • Dato personale (art. 4 paragrafo 1): informazioni relative a persona fisica identificata o identificabile. La novità risiede proprio nel criterio di identificazione, la persona può essere identificata direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • Dati personali particolari (sensibili secondo il codice privacy italiano(art. 9 paragrafo 1): si considerano i dati personali come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla vita sessuale o all'orientamento sessuale della persona, nonché:
    • Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione;
    • Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica;
    • Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria, laddove presenti, indipendentemente dalla fonte, quale, ad esempio, un medico.
  • Dati personali relativi a condanne penali o reati (art.10): il trattamento dei dati personali relativi a reati o condanne deve avvenire sotto il controllo dell'autorità pubblica o se è autorizzato dal diritto dell'Unione.

Nota bene.

  1. Non qualsiasi informazione riservata relativa ad una persona fisica è "dato personale", sebbene a volte sia superficialmente creduto. Solo informazioni che possono o potrebbero rilevare l'identità di una persona sono dati personali;
  2. Come sopra riportato, il GDPR e in generale la privacy si applicano solo ai dati personali di persone fisiche: i dati personali delle organizzazioni non sono protette dal regolamento;
  3. Spesso si confonde "privacy" con "riservatezza" (o "confidenzialità") che sono due concetti nettamente distinti e inquadrati da dottrine e leggi diverse; invocare norme privacy per la protezione di informazioni segrete o dati riservati di tipo aziendale e professionale è totalmente infondato.

Insieme unico di regole e sportello unico

A tutti gli stati membri UE si applicherà un insieme unico di regole. Ciascuno stato membro istituirà un'autorità sovrintendente indipendente per dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative, ecc. Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre, fornendo assistenza reciproca e organizzando operazioni congiunte. Qualora una ditta abbia più stabilimenti nell'UE, avrà un'unica autorità sovrintendente come propria "autorità principale", sulla base dell'ubicazione del proprio "stabilimento principale" (ossia il posto dove hanno luogo le principali attività di gestione). L'autorità principale agirà quale "sportello unico" per supervisionare tutte le attività di gestione dati di quella ditta nell'UE[21][22] (Articoli 46 - 55 del GDPR). Il Comitato europeo della protezione dati (EDPB, European Data Protection Board) coordinerà le autorità sovrintendenti. L'EDPB andrà a sostituire il gruppo di lavoro dell'Articolo 29.

Vi sono eccezioni nel caso di dati elaborati in un contesto di impiego e di dati elaborati a scopo di sicurezza nazionale, che potrebbero ancora essere soggetti ai regolamenti delle singole nazioni (Articoli 2(2)(a) e 82 del GDPR).

Figure competenti

Si distinguono diverse figure competenti a cui, ai sensi dell'art. 4 del 'Codice della Privacy', è consentito trattare i dati personali:

  1. Titolare del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente a cui è consentito determinare le finalità e le modalità del trattamento dei dati personali. (art. 4 comma f)
  2. Responsabile del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente preposto dal titolare al trattamento di dati personali. (art. 4 comma g)
  3. Destinatario del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente che riceve i dati personali dal titolare del trattamento.
  4. Terzi: sono tutti coloro che non sono identificati come titolari, responsabili o destinatari del trattamento.
  5. Incaricato: è la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di gestione dei dati. (art. 4 comma h)
  6. Interessato: è la persona fisica a cui si riferiscono i dati personali. (art. 4 comma i)
  7. Rappresentante: è la persona fisica designata come responsabile del trattamento in Europa. Questa figura si manifesta solo nel momento in cui i responsabili del trattamento non appartengano all'Unione Europea.
  8. Designato: è il soggetto al quale si affidano tutte le funzioni di controllo ad alto livello del trattamento dei dati personali.
  9. Amministratore di sistema e custode delle chiavi: sono due figure, non più presenti nel nuovo ordinamento, il cui compito è sovraintendere alle risorse del sistema informativo dell'Ente e consentirne l'utilizzazione.

Responsabilità

Il principio di responsabilità legato al trattamento dei dati personali resta ancorato (come nel Codice per la protezione dei dati personali) ad un concetto di responsabilità per esercizio di attività pericolosa con una valutazione ex ante in concreto ed una sostanziale inversione dell'onere della prova. Per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre sostanzialmente provare di aver fatto tutto il possibile per evitarlo. Il Regolamento aggancia e sviluppa questo tipo di responsabilità verso il concetto di Responsabilizzazione (art. 5 co. 2). Occorre osservare i principi applicabili al trattamento dei dati personali di cui all'articolo 5 adempiendo alle relative obbligazioni ed essere in grado di comprovarlo. In particolare, secondo l'articolo 5, il trattamento dei dati deve essere lecito (5.a), con finalità determinate (come archiviazione, ricerca scientifica, statistica, 5.b), limitato all'uso ("minimizzazione dei dati", 5.c) ed esatto, aggiornato (5.d).

Similmente al precedente Codice 196/03 (seppur con termini o definizioni più sfumati) il regolamento UE prevede la possibilità per il titolare di condividere le responsabilità o le funzioni di trattamento tra[23]:

  • incaricato (vecchia dizione della 196 che sul GDPR è presente come "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile");
  • responsabile (anche esterno);
  • con-titolare;
  • (altro) titolare autonomo.

La scelta tra i casi di responsabile esterno, contitolare o titolare autonomo talvolta non è agevole (alcune situazioni sono oggettivamente complesse, al di là delle semplici definizioni di legge e vi sono linee interpretative diverse tra gli esperti) e determinano situazioni di disaccordo tra organizzazioni.

La definizione di responsabilità tra due o più titolari (contitolari) o tra titolare e responsabile (in particolare se esterno) è importante per tutelare i dati personali di terzi (cioè persone fisiche terze rispetto al rapporto tra i due soggetti, tipicamente organizzazioni) che si scambiano dati (o qualsiasi altra operazione di trattamento) di persone fisiche (cioè gli interessati).

Obblighi

I requisiti per le informative agli interessati rimangono e in parte sono ampliati. Essi devono includere il tempo di mantenimento dei dati personali e occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati. È stato introdotto il diritto di contestazione delle decisioni automatizzate, compresa la profilazione (Art. 22). I cittadini hanno ora il diritto di contestare e contrastare decisioni che hanno impatto su di loro e che sono state realizzate unicamente in base ai risultati di un algoritmo. Tale diritto, fatta eccezione per dati personali intesi ad identificare in modo univoco una persona fisica (Art. 9 comma 1), non si applica nel caso in cui la decisione:

  • sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
  • sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa inoltre misure adeguate a tutela dei diritti, della libertà e dei legittimi interessi dell'interessato;
  • si basi sul consenso esplicito dell'interessato.

I principi di Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (Art. 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi. Le impostazioni di privacy sono configurate su un livello alto in modo predefinito. Le valutazioni dell'impatto della protezione dei dati (Arti. 35) devono essere effettuate nei casi in cui si verifichino rischi specifici per i diritti e le libertà dei soggetti dei dati. La valutazione e la riduzione del rischio sono richieste insieme ad un'approvazione preventiva da parte delle autorità per la protezione dei dati (DPA, Data Protection Authority) per rischi elevati. I Responsabili per la protezione dei dati (Art. 37), quindi, sono scelti per la conoscenza specialistica della normativa in materia di dati personali e sono tenuti a verificare l'osservanza delle norme del Regolamento da parte dei titolari e nel caso di valutazioni di impatto, se richiesto dal titolare, sono tenuti a consultarsi con esso.

Altro obbligo per il responsabile (Art. 29) è provvedere all'addestramento di "... chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento..." (in pratica gli incaricati). Ovviamente, il titolare deve dimostrare di aver provveduto alla formazione.

Nel caso in cui imprese con dipendenti effettuano un trattamento, e questo non è occasionale, si applica l’obbligo di tenere un registro delle attività di trattamento (Art. 30). Il registro è un documento, in forma scritta o in formato elettronico, nel quale sono contenute informazioni riguardo i trattamenti svolti dal titolare (Art. 30 comma 1), o dal responsabile (Art. 30 comma 2). Inoltre, se richiesto dalle autorità di controllo, il registro deve essere messo a disposizione.

Consenso

Un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per i propositi per i quali sono usati (Art. 7; definito in Articolo 4). Pertanto se la richiesta viene inserita nell'ambito di altre dichiarazioni essa va distinta e formulata con linguaggio semplice e chiaro (Art. 7). Condizione di validità del consenso è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti (Art. 5). Nel caso in cui il consenso al trattamento dei propri dati personali sia stato espresso da minori esso è valido solo se il minore ha almeno 16 anni, riducibili al più fino a 13 anni qualora lo stato membro abbia legiferato esplicitamente al riguardo. Qualora il minore abbia un'età inferiore alla soglia predetta, il consenso al trattamento deve essere dato da un genitore o da chi eserciti la potestà, e deve essere verificabile (Art. 8). I controllori dei dati devono essere in grado di provare il consenso ("opt-in") e il consenso può essere ritirato[24] o modificato con l’introduzione di limitazioni nel trattamento (Art. 18).

Articolo 6 - Liceità del trattamento[25]

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  1. l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  2. il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  4. il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
  5. il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

Articolo 7 - Condizioni per il consenso[26]

  1. qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali;
  2. se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante;
  3. l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l'interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato;
  4. nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto.

Nota bene
Il regolamento non prescrive la forma né dell'informativa né del consenso che, quindi, possono anche essere orali (come succede per i contratti conclusi verbalmente, ad esempio con gli operatori telefonici, oppure quando si prenota telefonicamente un esame medico). Dovendo però essere verificabile, sta al titolare dimostrare (con la modalità ritenuta più opportuna) di aver proceduto correttamente. Per i dati particolari, invece, il consenso deve essere esplicito il che indica una modalità espressiva manifesta, un'azione positiva (dichiarazione scritta, procedura informatica con doppio passaggio di verifica, firma digitale, invio di firma autografa scansionata, compilazione modulo digitale, digitazione tasto richiesto, sessione registrata di teleconferenza, ecc.[27]). Ovviamente, i grandi operatori utilizzano quasi esclusivamente modalità digitalizzate per attuare le disposizioni privacy.

Informativa

Il regolamento Europeo prevede che il titolare debba fornire agli interessati, prima del trattamento, le informazioni sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento. L'informativa ai sensi dell'Art.13 e dell'Art.14 del regolamento disciplina due diversi casi: dati raccolti presso l'interessato (Art.13) e dati raccolti presso agli soggetti (Art.14). I due articoli si differenziano per il periodo entro cui le informazioni vengono fornite, le categorie dei dati e la fonte da cui hanno origine i dati.

Articolo 13 - Dati raccolti presso l'interessato

Il punto 1 dispone che, nel caso di dati raccolti presso l'interessato, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

  • l'identità e i dati di contatto del titolare del trattamento e, se società estera, anche del rappresentate;
  • i dati di contatto del responsabile della protezione dei dati (indirizzo e-mail, indirizzo fisico);
  • le finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica del trattamento;
  • qualora il trattamento si basa sull'Art.6 paragrafo 1 lettera f, i legittimi interessati perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l'intenzione del titolare di trasferire dati personali a un paese terzo o a un'organizzazione Internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della commissione.

Il punto 2 dispone che in aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare fornisce le seguenti ulteriori informazioni:

  • il periodo di conservazione oppure i criteri utilizzati per determinare tale periodo;
  • l'esistenza del diritto dell'interessato di chiedere l'accesso ai dati personali, la rettifica, la cancellazione, la limitazione del trattamento;
  • se la base giuridica del trattamento è il consenso, lo si può revocare;
  • diritto di proporre reclamo al garante della privacy;
  • se la comunicazione dei dati è un obbligo legale o contrattuale o un requisito per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l'esistenza di un processo decisionale automatizzato, compresa la profilazione.

Articolo 14 - Dati raccolti presso altri soggetti

  1. Nel caso in cui i dati non siano raccolti direttamente presso l'interessato, il comma 3 dispone che le informazioni vanno fornite entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese;
  2. Nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più gradi al momento della prima comunicazione all'interessato;
  3. Nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

Diritto di accesso dell'interessato

L'Art.15 GDPR riguarda il diritto ad avere conferme dell'esistenza di dati, il diritto a conoscere tutte le informazioni che riguardano i dati e il diritto ad avere copia dei dati. L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: le finalità del trattamento; le categorie di dati personali; i destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi Terzi; il periodo di conservazione dei dati previsto o i criteri utilizzati per determinare tale periodo; il diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali; il diritto di proporre reclamo ad un'autorità di controllo.

Sicurezza dei dati

La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito, salvo che lo richieda il diritto dell'Unione o degli Stati membri (Articolo 32). A garanzia dell’interessato il Regolamento UE 2016/679 regolamenta anche il caso di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale (Articolo 44 e ss) e prevede che l’interessato venga prontamente informato in presenza di una violazione che metta a rischio i suoi diritti e le sue libertà (Articolo 33).[28]

Responsabile per la protezione dei dati ("DPO", Data Protection Officer)

Qualora l'elaborazione sia effettuata da un'autorità pubblica, fatto salvo per le corti o le autorità giudiziarie indipendenti agenti nella loro competenza giudiziaria, o qualora, nel settore privato, l'elaborazione sia effettuata da un controllore le cui attività principali consistono di operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico dei soggetti dei dati, una persona esperta di legislazione e pratiche relative alla protezione dei dati deve assistere colui che li controlla o li gestisce al fine di verificare l'osservanza interna al regolamento.

Il Responsabile per la Protezione dei Dati (Data Protection Officer, talora indicato anche con l'acronimo italiano RPD, per "responsabile protezione dati") è una figura che deve possedere una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei cyber-attacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l'elaborazione di dati personali e sensibili. Ricorda molto l'ODV (Organismo Di Vigilanza) della legge n. 231 del 2001 sulla responsabilità penale delle persone giuridiche e il responsabile anticorruzioni per la sua autonomia, indipendenza e assenza di conflitti di interesse.

L'insieme di competenze richieste si estende al di là della comprensione dell'osservanza di leggi e regolamenti sulla protezione dei dati. Il monitoraggio dei Data Protection Officer è onere del regolatore e non del Consiglio di amministrazione dell'organizzazione. La nomina di un Responsabile per la Protezione dei Dati all'interno di una grande organizzazione pone in gioco una moltitudine di questioni legate alla governance e a fattori umani. Inoltre, chi detiene l'incarico dovrà creare un proprio team di supporto e sarà anche responsabile del proprio sviluppo professionale continuativo, dal momento che, come "mini-regolatore" ad ogni effetto, dovrà essere indipendente.

Misure tecniche di sicurezza suggerite

Le misure per garantire la sicurezza dei dati personali sono presentate nell'art. 32:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il responsabile e il titolare del trattamento hanno l'onere di dimostrare la conformità dei sistemi al regolamento europeo. Possono aderire a codici di condotta, oppure della certificazione di conformità. La certificazione non riduce la responsabilità del titolare del trattamento o del responsabile, né i poteri e compiti delle authority (art. 42, par. 4), ed ha durata massima di cinque anni (art. 43, par.4).

Codici di condotta e certificazione

Associazioni o altri organismi di categoria, possono elaborare un codice di condotta cui i membri aderiscono su base volontaria. Il codice di condotta deve preventivamente essere approvato dall'authority, ed è specificamente previsto che sia registrato e pubblicamente accessibile (art. 40, par. 6). Se il trattamento interessa più di uno Stato membro, il codice è sottoposto all'approvazione di un comitato di coordinamento delle authority dei Paesi coinvolti.

L'authority accredita e revoca gli organismi che possono verificare la conformità dei sistemi di trattamento dei dati personali ai codici di condotta. La valutazione rileva grado di competenza, grado di indipendenza, e assenza di conflitti di interessifatti salvi i compiti e i poteri dell'autorità di controllo competente di intervento diretto (art. 41, parr. 1 e 4). L'authority e un organismo nazionale di accreditamento hanno il compito di accreditare o revocare gli organismi di certificazione che verificano la conformità del trattamento dei dati personali al regolamento europeo. I requisiti sono i medesimi previsti per gli organismi che esercitano la valutazione di conformità del codice di condotta al regolamento.

Sanzioni

Le sanzioni inflitte in ogni caso saranno effettive, proporzionate e dissuasive. Possono essere imposte le seguenti sanzioni:

  • un avvertimento scritto in caso di prima e non-intenzionale non-conformità;
  • regolari controlli periodici di protezione dei dati;
  • la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 di euro, o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (articolo 83, paragrafo 4):
    • gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
    • gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
    • gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;
  • la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 di euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (articolo 83, paragrafo 5 e 6):
    • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
    • i diritti degli interessati a norma degli articoli da 12 a 22;
    • i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;
    • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
    • l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.

Dati sanitari, genetici, biometrici

Nel regolamento GDPR i dati idonei a rivelare lo stato di salute o la vita sessuale rientrano nelle "categorie particolari di dati personali" (art. 9).

Il codice della privacy italiano, fra i compiti di "rilevante interesse pubblico" del Servizio sanitario nazionale, identifica (art. 85) le attività di:

  • programmazione, gestione, controllo e valutazione dell'assistenza sanitaria,
  • vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti rilevanti di rilevanza sanitaria.

Se necessario ai sensi del codice o di altra disposizione di legge, il consenso dell'interessato al trattamento dei dati personali può essere manifestato anche a voce in un'unica dichiarazione (art. 81). Per finalità di ricerca medica, biomedica ed epidemiologica previsti dalla legge e approvati dall'autorità Garante non è necessario il consenso dell'interessato, che ha diritto a far aggiungere correzioni e rettifiche se ciò non produce effetti significativi sul risultato della ricerca (art. 110). I dati possono essere resi noti all'interessato solo per il tramite di un medico designato dall'interessato o dal titolare (art. 84).

Violazione dei dati ("Data Breach") art. 33 e art. 34

La violazione dei dati personali, Data Breach, è definita come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distribuzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.[29] Può essere un evento doloso come un attacco informatico ma anche accidentale come una calamità naturale o la semplice perdita di chiavetta USB. Il titolare del trattamento dei dati avrà l'obbligo legale di rendere note le fughe di dati all'autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza. I resoconti delle fughe di dati devono come minimo (Art. 33):

  1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  2. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  3. descrivere le probabili conseguenze della violazione dei dati personali;
  4. descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Inoltre tale resoconto deve essere fornito all'autorità sovrintendente non appena se ne viene a conoscenza e comunque entro 72 ore. Se, dopo una valutazione, emerge che la violazione dei dati abbia delle conseguenze gravi, il titolare ha l'obbligo di avvertire tempestivamente l'interessato.[30]

Valutazione dell'impatto sulla protezione dei dati

La valutazione d’impatto sulla protezione dei dati (DPIA, acronimo di “Data Protection Impact Assessment”) è un processo che il titolare del trattamento deve effettuare quando un tipo di trattamento, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 GDPR).

In particolare la DPIA va eseguita nei seguenti casi:

  1. Trattamenti valutativi e di scoring, incluse la profilazione ed attività predittive.
  2. Decisioni automatizzate con effetti giuridici o similmente significativi.
  3. Monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o “la sorveglianza sistematica di un’area accessibile al pubblico” (articolo 35, paragrafo 3, lettera c) ).
  4. Trattamento di Dati Sensibili o strettamente personali.
  5. Trattamenti di dati su larga scala
  6. I dati relativi ad interessati vulnerabili quali, per esempio, i minori
  7. L’uso innovativo o l’applicazione di soluzioni tecnologiche o organizzative

La valutazione consiste nell'analisi più accurata condotta in via anticipata, ovvero prima di procedere al trattamento dei dati, del trattamento in questione e dei possibili rischi connessi ad esso.

Diritto alla cancellazione, limitazione e rettifica

L'articolo 17 stabilisce che il soggetto dei dati ha il diritto di richiedere la cancellazione di dati personali relativi a sé sulla base di una qualsiasi di una serie di giurisdizioni che comprendono la mancata osservanza dell'articolo 6.1 (legalità), il quale include il caso (f) in cui gli interessi o i diritti fondamentali del soggetto dei dati richiedente la loro protezione prevalgono sui legittimi interessi del controllore. L’interessato deve poter esercitare questo suo diritto con la stessa facilità con cui ha espresso il consenso al trattamento dei suoi dati.

Il responsabile del trattamento, dietro richiesta dell’interessato, dovrà comunicare all’interessato i destinatari a cui ha trasmesso la sua richiesta di cancellazione (art. 19). Sul responsabile del trattamento grava lo stesso onere in caso di richiesta di limitazione o di rettifica dei dati presentata dall’interessato rispettivamente ai sensi dell'art. 18 e dell'art. 16. La nozione ora descritta di diritto alla cancellazione è stata adottata adottata dal Parlamento Europeo nel marzo del 2014,[31][32] e sostituisce, in modo più circostanziato, quella del cosiddetto diritto all'oblio.

Portabilità dei dati

Il diritto alla portabilità è sancito dall'articolo 20: "L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti".

Una persona deve essere in grado quindi di trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro senza impedimenti. Inoltre, i dati devono essere forniti dal controllore in un formato leggibile da un elaboratore di dati e in nessun modo di tipo cartaceo. Non ci sono indicazioni sul formato ma un documento come un PDF non è sufficiente non essendo elaborabile. Quando una persona decide di esercitare il diritto alla portabilità, il titolare interpellato deve adempiere a quanto richiesto in tempi ragionevoli in base al contesto e alla specifica situazione (in generale entro un mese dalla richiesta). Gli esperti legali vedono nella versione finale di questa misura la creazione di un "nuovo diritto" che "si estende oltre l'ambito della portabilità dei dati tra due controllori, così come stipulato dall'Articolo 18".[33]

L'obiettivo di questo diritto è di agevolare il passaggio e lo scambio di dati evitando fenomeni di lock-in tecnologici e promuovendo la libera circolazione dei dati stimolando la concorrenza tra i titolari del trattamento. Questi dati devono rispettare delle condizioni affinché il diritto possa essere esercitato: devono essere "dati personali" e non anonimi. Questi dati devono essere stati forniti consapevolmente e in modo attivo dall'interessato. Il diritto si estende anche ai dati generati dalle attività dell'interessato come i dati di localizzazione, storia delle ricerche, ecc.). Non sono compresi invece i dati generati dal titolare sulla base dei dati raccolti o ottenuti da terze parti. Può capitare che, come nel caso dei gestori di telefonia, i dati personali dell'interessato siano collegati a dati di terzi (come i numeri dei contatti telefonici), in questo caso l'interessato ha il diritto di riceverli, ma se dovesse trasferirli ad altro fornitore, quest'ultimo avrebbe l'obbligo di non processare tali dati di terzi.

Trasferimento di dati all'estero

Mentre la circolazione dei dati all’interno dell’SEE è libera, i trasferimenti al di fuori di esso non sono generalmente autorizzati, a meno che non intervengano specifiche garanzie: il paese destinatario deve garantire, infatti, un adeguato livello di sicurezza (GDPR Art. 45) definito dalla Commissione Europea. Le decisioni di adeguatezza sono strumenti vincolanti per i paesi dell'Unione, e in base ad esse è ammesso il trasferimento di dati verso il paese indicato. Le decisioni di adeguatezza possono essere modificate, sospese o revocate, se risulta che il paese terzo non soddisfi più i criteri necessari. L'EDPD ha il compito di fornire un parere in materia alla commissione.

In mancanza di una decisione di adeguatezza , è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale soltanto se si verifica una delle seguenti condizioni (GDPR Art. 49): consenso dell’interessato, trasferimento necessario all’esecuzione, conclusione di un contratto, importanti motivi di interesse pubblico, accertamento, esercitazione o difesa di un diritto in sede giudiziaria, tutela di interessi vitali dell’interessato.

Norme vincolanti d'impresa

Le norme vincolanti d'impresa sono da considerarsi all'interno delle garanzie che possono permettere il trasferimento di dati all'esterno dell'SEE. Il meccanismo di funzionamento e le condizioni necessarie per il trasferimento dei dati in forza di queste norme viene espresso in maniera approfondita nell'articolo 47 del GDPR(Art.47).

Queste norme sono state create per rendere più semplice la gestione amministrativa di società che fanno capo ad uno stesso gruppo con sedi dislocate in diversi Paesi, in particolare paesi esterni allo spazio economico europeo. Viene così data la possibilità, alle società facenti parte di uno stesso gruppo, di trasferire dati personali senza l'obbligo di rispettare tutti gli adempimenti altrimenti richiesti(Art.45,Art.49). Le norme vincolanti d’impresa vengono concretizzate attraverso un documento in cui sono inclusi principi, clausole, garanzie e regole di condotta che è necessario rispettare nel caso di trasferimenti di dati personali all'interno di una o più società dello stesso gruppo aziendale.

All'interno del primo paragrafo dell'art. 47 del GDPR viene esplicitato il ruolo dell'autorità competente, ovvero quello di approvare o no le Binding Corporate Rules, con la condizione che siano conformi al principio di coerenza dell'art.63. Per quanto concerne i diritti dei soggetti interessati al trattamento dei dati, le norme vincolanti d’impresa garantiscono all’interessato:

  • Di non venire sottoposto a decisioni basate esclusivamente su di un trattamento automatizzato (paragrafo 2 lett.e dell'art.47 GDPR).
  • Il diritto di fare un reclamo presso l’autorità di controllo competente e di venire tutelato presso le autorità giurisdizionali competenti degli Stati Europei (paragrafo 2 lett.i dell'art.47 GDPR).
  • Il diritto di ricevere una riparazione ed un risarcimento nel caso di una violazione delle Binding Corporate Rules (paragrafo 2 lett.e dell'art.47 GDPR).

In merito alla responsabilità del titolare e/o del responsabile del trattamento dei dati, le norme in questione definiscono al paragrafo 2 lett.f dell'art.47 GDPR che :

  • Il titolare o il responsabile del trattamento si faccia carico di qualunque violazione delle norme vincolanti d'impresa commesse da un membro interessato non stabilito in uno dei Paesi dell'Unione Europea.
  • La mancata responsabilità, totale o parziale, del titolare e/o del responsabile è presente solo se quest'ultimo è capace di dimostrare che l'evento dannoso non è stato causato dal soggetto in questione.

Il gruppo di imprese che svolge il trattamento deve garantire una verifica di conformità alle norme vincolanti d'impresa; per fare ciò deve svolgere delle verifiche sui metodi utilizzati per la protezione dei dati e deve assicurare dei provvedimenti correttivi in caso il trattamento non sia conforme alle norme. Inoltre i risultati ottenuti dalle verifiche effettuate dovrebbero essere comunicati agli interessati del trattamento dei dati ed all'organo amministrativo dell'impresa; e dovrebbero essere forniti all'autorità di controllo competente se quest'ultima li richiedesse.

Per quanto riguarda la Commissione, essa in merito al trattamento dei dati ha la possibilità di specificare il formato e le procedure con cui titolari del trattamento, responsabili del trattamento e autorità di controllo possano scambiarsi informazioni in maniera adeguata circa le norme vincolanti d'impresa.

Cronologia

La sequenza temporale che ha condotto all'adozione del Regolamento GDPR è la seguente:

  • 21 ottobre 2013: il Comitato del Parlamento Europeo su Libertà Civili, Giustizia e Affari Interni (LIBE) dà il proprio voto di orientamento.
  • 15 dicembre 2015: le trattative tra il Parlamento Europeo, il Consiglio e la Commissione risultano in una proposta congiunta.
  • 17 dicembre 2015: il LIBE dà il proprio voto positivo al risultato delle trattative nel dialogo a tre.
  • 8 aprile 2016: adozione da parte del Consiglio dell'Unione Europea.[34]
  • 14 aprile 2016: adozione da parte del Parlamento Europeo.[35]
  • 4 maggio 2016: il regolamento entra in vigore, 20 giorni dopo la sua pubblicazione sulla rivista ufficiale dell'UE.[36]
  • 25 maggio 2018: le disposizioni del GDPR sono direttamente applicabili in tutti gli stati membri.[36]

Dispute e tensioni

La proposta di un nuovo regolamento ha dato vita a molte discussioni e controversie. Sono stati proposti migliaia di emendamenti.[37] Si supponeva che l'insieme unico di regole e la rimozione di requisiti amministrativi risultassero in un risparmio economico, ma i critici hanno sollevato queste obiezioni:

  • La richiesta di avere un funzionario per la protezione dei dati è nuova per molte nazioni europee ed è stata criticata da alcune per il carico amministrativo.
  • Nel testo si parla di imprese (indipendentemente dalla forma giuridica, ivi comprese le ditte individuali) o di enti pubblici ma non (esplicitamente) di associazioni non a carattere economico; tuttavia la giurisprudenza è orientata a considere anche queste come soggetti che devono implementare il regolamento.
  • Il GDPR è stato sviluppato con un'attenzione particolare per i social network e i provider di servizi cloud, ma non ha preso in sufficiente considerazione i requisiti per il trattamento dei dati dei lavoratori.
  • La portabilità dei dati non è vista come un aspetto fondamentale per la protezione dei dati, ma più come un requisito funzionale per i social network e i provider di servizi cloud.
  • Sfide linguistiche e di personale per le autorità di protezione dei dati:
    • Le imprese extraeuropee potrebbero preferire le DPA britanniche o irlandesi in virtù della lingua inglese. Questo implicherà l'uso di ampie risorse in quei paesi.
    • I cittadini europei non avranno più una singola DPA da contattare per i propri problemi, ma dovranno rivolgersi alla DPA scelta dall'azienda coinvolta. Ci si possono aspettare problemi di comunicazione a causa delle lingue straniere.
  • Il nuovo regolamento è in conflitto con altre leggi, regolamentazioni e prassi non europee (ad esempio la sorveglianza da parte dei governi). Le imprese in tali paesi non andrebbero più considerate accettabili per la gestione dei dati personali nell'UE.
  • Le problematiche maggiori potrebbero riguardare la messa in pratica del GDPR:
    • L'implementazione del GDPR europeo richiederà un sostanziale cambiamento nelle pratiche commerciali per quelle imprese che non avevano implementato un livello confrontabile di privacy prima che il regolamento entrasse in vigore (soprattutto le imprese extraeuropee che trattano dati personali europei).
    • Vi è già a tutt'oggi una carenza di esperti sulla privacy e i nuovi requisiti potrebbero peggiorare la situazione. Pertanto, la formazione nella protezione dei dati sarà un fattore cruciale per il successo del GDPR.
    • La Commissione Europea e le DPA devono fornire risorse e poteri sufficienti per mettere in atto l'implementazione ed è necessario raggiungere un accordo su un livello uniforme di protezione dei dati da parte di tutte le DPA europee, poiché una interpretazione diversa del regolamento può comunque portare a livelli di privacy differenti.

Altre norme correlate

Il GDPR è integrato da altre norme UE che ne ampliano o limitano la portata. In pratica norme specifiche correlate allo schema base. Di seguito alcuni esempi.

  • Direttiva UE 2016/680. In aggiunta al GDPR, è applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorità Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale.[38]
  • Direttiva UE 2016/681. La norma regolamenta l'uso delle informazioni relative al codice di prenotazione (PNR) rilasciato dalle compagnie aeree[39].
  • Direttiva 2002/58/CE. Conosciuta anche come direttiva ePrivacy[40]. Questa norma disciplina il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche. La norma è in fase di revisione e dovrebbe diventare un regolamento (regolamento UE ePrivacy[41]).

Impatto

L'impatto del RGPD è tuttavia abbastanza limitato. Uno studio[42] pubblicato nel novembre 2019 dimostra che il numero dei reclami inviati all' APD (Autorità Protezione Dati) nel 2018 era di appena 3 per 10.000 abitanti. I casi di 24 Paesi sono stati analizzati e le statistiche rivelano grandi differenze: da 0,17 reclami per 10.000 abitanti a 8.6 in Irlanda. In alcuni stati (Grecia, Islanda) il numero dei reclami è persino diminuito nel 2018, evocando dubbi a proposito dell'impatto del regolamento .

Informativa sulla privacy

INFORMATIVA PRIVACY (semplificata)

informativaLo scopo dell'informativa privacy è di fornire la massima trasparenza relativamente alle informazioni che il sito raccoglie e come le usa.

In ottemperanza degli obblighi derivanti dalla normativa nazionale (Codice in materia di protezione dei dati personali) e europea (Regolamento europeo per la protezione dei dati personali), il presente sito rispetta e tutela la riservatezza dei visitatori e degli utenti, ponendo in essere ogni sforzo possibile e proporzionato per non ledere i diritti degli utenti. 

Il presente sito non pubblica annunci pubblicitari, non usa dati a fini di invio di pubblicità, però fa uso di servizi di terze parti al fine di migliorare l'utilizzo del sito, terze parti che potrebbero raccogliere dati degli utenti e poi usarli per inviare annunci pubblicitari personalizzati su altri siti. Tuttavia il presente sito pone in essere ogni sforzo possibile per tutelare la privacy degli utenti e minimizzare la raccolta dei dati personali. Ad esempio, il sito usa in alcuni casi video di YouTube, i quali sono impostati in modo da non inviare cookie (e quindi non raccogliere dati) fino a quando l'utente non avvia il video. Potete osservare, infatti, che al posto del video c'è solo un segnaposto (placeholder). Il sito usa anche plugin sociali per semplificare la condivisione degli articoli sui social network. Tali plugin sono configurati in modo che inviino cookie (e quindi eventualmente raccolgano dati) solo dopo che l'utente ha cliccato sul plugin. 

A titolo informativo si precisa che la gestione dei cookie è complicata, sia da parte del gestore del sito (che potrebbe non riuscire a gestire correttamente i cookie di terze parti) che da parte dell'utente (che potrebbe bloccare cookie essenziali per il funzionamento dei sito). Per cui un modo migliore, e più semplice, per tutelare la privacy sta nell'utilizzo di strumenti anti-traccianti, che bloccano quindi il tracciamento da parte dei siti terzi (leggi -> Proteggere la privacy online. A tal fine si consiglia l'utilizzo di Privacy Badger e uBlock Origin)

 

Informativa completa 

Soggetti del trattamento

person Titolare del trattamento ai sensi delle leggi vigenti è l'amministratore del sito, Giorgio Gobbo, contattabile tramite la sezione CONTATTI (link in fondo alla pagina).

 

 

Base giuridica del trattamento

Il presente sito tratta i dati prevalentemente in base al consenso degli utenti. Il conferimento del consenso avviene tramite il banner posto in fondo alla pagina, oppure tramite l’uso o la consultazione del sito, quale comportamento concludente. Con l'uso o la consultazione del sito i visitatori e gli utenti approvano la presente informativa privacy e acconsentono al trattamento dei loro dati personali in relazione alle modalità e alle finalità di seguito descritte, compreso l'eventuale diffusione a terzi se necessaria per l'erogazione di un servizio. Tramite i moduli di comunicazione o di richiesta di servizi vengono raccolti ulteriori consensi relativi alla finalità specifica del servizio.

Il conferimento dei dati e quindi il consenso alla raccolta e al trattamento dei dati è facoltativo, l'Utente può negare il consenso, e può revocare in qualsiasi momento un consenso già fornito (tramite il banner posto a fondo pagina o le impostazioni del browser per i cookie, o il link Contatti). Tuttavia negare il consenso può comportare l'impossibilità di erogare alcuni servizi e l'esperienza di navigazione nel sito sarebbe compromessa.  

I dati per la sicurezza del sito e per la prevenzione da abusi e SPAM, nonché i dati per l’analisi del traffico del sito (statistica) in forma aggregata, sono trattati in base al legittimo interesse del Titolare del trattamento alla tutela del sito e degli utenti stessi. In tali casi l'utente ha sempre il diritto di opporsi al trattamento dei dati (vedi par. Diritti dell'utente). 

I dati forniti per consulenze o incarichi professionali sono trattati in base all'adempimento di un contratto e l'adempimento di un obbligo legale. In tali casi viene fornita apposita informativa. 

 

Finalità del trattamento

finalità Il trattamento dei dati raccolti dal sito, oltre alle finalità connesse, strumentali e necessarie alla fornitura del servizio, è volto alle seguenti finalità:

– Statistica (analisi)
Raccolta di dati e informazioni in forma esclusivamente aggregata e anonima al fine di verificare il corretto funzionamento del sito. Nessuna di queste informazioni è correlata alla persona fisica-Utente del sito, e non ne consentono in alcun modo l'identificazione. Non occorre il consenso. 

– Sicurezza
Raccolta di dati e informazioni al fine di tutelare la sicurezza del sito (filtri antispam, firewall, rilevazione virus) e degli Utenti e per prevenire o smascherare frodi o abusi a danno del sito web. I dati sono registrati automaticamente e possono eventualmente comprendere anche dati personali (indirizzo Ip) che potrebbero essere utilizzati, conformemente alle leggi vigenti in materia, al fine di bloccare tentativi di danneggiamento al sito medesimo o di recare danno ad altri utenti, o comunque attività dannose o costituenti reato. Tali dati non sono mai utilizzati per l'identificazione o la profilazione dell'Utente e vengono cancellati periodicamente. Non occorre il consenso. 

Attività accessorie
Comunicare i dati a terze parti che svolgono funzioni necessarie o strumentali all'operatività del servizio (es. box commenti), e per consentire a terze parti di svolgere attività tecniche, logistiche e di altro tipo per nostro conto. I fornitori hanno accesso solo ai dati personali che sono necessari per svolgere i propri compiti, e si impegnano a non utilizzare i dati per altri scopi, e sono tenuti a trattare i dati personali in conformità delle normative vigenti.

- Consulenze e incarichi professionali
In caso di invio spontaneo di dati al fine di chiedere una consulenza professionale oppure per un'incarico professionale, i dati saranno utilizzati al solo fine della valutazione dell'incarico e per l'eventuale adempimento dello stesso. In tali casi sarà fornita apposita informativa. 

 

Dati raccolti

data Il presente sito raccoglie dati degli utenti in due modi.

Dati raccolti in maniera automatizzata
Durante la navigazione degli Utenti possono essere raccolte le seguenti informazioni che vengono conservate nei file di log del server (hosting) del sito:
- indirizzo internet protocol (IP);
- tipo di browser;
- parametri del dispositivo usato per connettersi al sito;
- nome dell'internet service provider (ISP);
- data e orario di visita;
- pagina web di provenienza del visitatore (referral) e di uscita;
- eventualmente il numero di click.

Questi dati sono utilizzati a fini di statistica e analisi, in forma esclusivamente aggregata. L’indirizzo IP è utilizzato esclusivamente a fini di sicurezza e non è incrociato con nessun altro dato.

Dati conferiti volontariamente

Il sito può raccogliere altri dati in caso di utilizzo volontario di servizi da parte degli utenti, quali servizi di commenti, di comunicazione (moduli per contatti, box commenti), e verranno utilizzati esclusivamente per l'erogazione del servizio richiesto: 
- nome; 
- indirizzo email; 
- eventuali dati ulteriori inviati spontaneamente dall'utente. 

 

Luogo del trattamento

I dati sono trattati presso la sede del Titolare del Trattamento, e presso il datacenter del web Hosting (VHosting Solution s.r.l). Il web hosting (VHosting Solution s.r.l Unipersonale - Via A. Telesino 67, Palermo, IT), è responsabile del trattamento, elaborando i dati per conto del titolare. VHosting si trova nello Spazio Economico Europeo e agisce in conformità delle norme europee (policy privacy di VHosting). 

 

Periodo di conservazione dei dati

time I dati raccolti dal sito durante il suo funzionamento sono conservati per il tempo strettamente necessario a svolgere le attività precisate. Alla scadenza i dati saranno cancellati o anonimizzati, a meno che non sussistano ulteriori finalità per la conservazione degli stessi.

I dati (indirizzo IP) utilizzati a fini di sicurezza del sito (blocco tentativi di danneggiare il sito) sono conservati per 30 giorni. 
I dati per finalità di analytics (statistica) sono conservati in forma aggregata per 24 mesi. 

 

Trasferimento dei dati raccolti a terze parti

I dati rilevati dal sito generalmente non vengono forniti a terzi, tranne che in casi specifici: legittima richiesta da parte dell’autorità giudiziaria e nei soli casi previsti dalla legge; qualora sia necessario per la fornitura di uno specifico servizio richiesto dell'Utente; per l'esecuzione di controlli di sicurezza o di ottimizzazione del sito.

 

Trasferimento dei dati in paesi extra UE

Il presente sito potrebbe condividere alcuni dei dati raccolti con servizi localizzati al di fuori dell'area dell'Unione Europea. In particolare con Google, Facebook e Microsoft (LinkedIn) tramite i social plugin e il servizio di Google Analytics. Il trasferimento è autorizzato in base a specifiche decisioni della Commissione europea, oppure in base alle clausole contrattuali standard dei singoli servizi. 

 

Misure di sicurezza

security Trattiamo i dati dei visitatori/utenti in maniera lecita e corretta, adottando le opportune misure di sicurezza volte ad impedire accessi non autorizzati, divulgazione, modifica o distruzione non autorizzata dei dati. Ci impegniamo a tutelare la sicurezza dei tuoi dati personali durante il loro invio, utilizzando il software Secure Sockets Layer (SSL), che cripta le informazioni in transito. Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate. Oltre al Titolare, in alcuni casi, potrebbero avere accesso ai dati categorie di incaricati coinvolti nell’organizzazione del sito ovvero soggetti esterni (come fornitori di servizi tecnici terzi, hosting provider). 

 

Cookie

Questo sito fa uso di cookie, file di testo che vengono registrati sul terminale dell'utente oppure che consentono l'accesso ad informazioni sul terminale dell'utente. I cookie permettono di conservare informazioni sulle preferenze dei visitatori, sono utilizzati al fine di verificare il corretto funzionamento del sito e di migliorarne le funzionalità personalizzando il contenuto delle pagine in base al tipo del browser utilizzato, oppure per semplificarne la navigazione automatizzando le procedure (es. Login, lingua sito), ed infine per l'analisi dell'uso del sito da parte dei visitatori.

Il presente sito fa uso delle seguenti categorie di cookie:

cookie tecnici, utilizzati al solo fine di effettuare la trasmissione di una comunicazione elettronica, per garantire la corretta visualizzazione del sito e la navigazione all’interno di esso. Inoltre, consentono di distinguere tra i vari utenti collegati al fine di fornire un servizio richiesto all’utente giusto (Login), e per motivi di sicurezza del sito. Alcuni di questi cookie sono eliminati alla chiusura del browser (cookie di sessione), altri hanno una durata maggiore (come ad esempio il cookie necessario per conservazione il consenso dell’utente in relazione all’uso dei cookie, che dura 1 anno). Per questi cookie non occorre consenso;

cookie di analisi, utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso. Sono assimilati ai cookie tecnici se il servizio è anonimizzato.

cookie di profilazione e marketing, utilizzati esclusivamente da terze parti diverse dal titolare del presente sito per raccogliere informazioni sul comportamento deli utenti durante la navigazione, e sugli interessi e abitudini di consumo, anche al fine di fornire pubblicità personalizzata. 

informazioni importanti

Cliccando OK sul banner presente al primo accesso al sito oppure navigando il sito, il visitatore acconsente espressamente all'uso dei cookie e delle tecnologie similari, e in particolare alla registrazione di tali cookie sul suo terminale per le finalità sopra indicate, oppure all'accesso tramite i cookie ad informazioni sul suo terminale.

 

  

Disabilitazione cookie

scelte e obblighi

L'utente può rifiutare l'utilizzo dei cookie e in qualsiasi momento può revocare un consenso già fornito. Poiché i cookie sono collegati al browser utilizzato, POSSONO ESSERE DISABILITATI DIRETTAMENTE DAL BROWSER, così rifiutando/revocando il consenso all'uso dei cookie, oppure tramite il banner posto a fondo pagina.

LA DISABILITAZIONE DEI COOKIE POTREBBE IMPEDIRE IL CORRETTO UTILIZZO DI ALCUNE FUNZIONI DEL SITO STESSO, in particolare i servizi forniti da terze parti potrebbero non essere accessibili, e quindi potrebbero non essere visualizzabili:
- video di YouTube o altri servizi di condivisione video;
- i social button dei social network;
- le mappe di Google.


Le istruzioni per la disabilitazione dei cookies si trovano alle seguenti pagine web: 

Mozilla Firefox - Microsoft Internet Explorer - Microsoft Edge - Google Chrome - Opera - Apple Safari 

 

Cookie di terze parti

Questo sito funge anche da intermediario per cookie di terze parti (come i pulsanti per i social network), utilizzati per poter fornire ulteriori servizi e funzionalità ai visitatori e per semplificare l'uso del sito stesso, o per fornire pubblicità personalizzata. Questo sito non ha alcun controllo sui loro cookie interamente gestiti dalle terze parti e non ha accesso alle informazioni raccolte tramite detti cookie. Le informazioni sull'uso dei detti cookie e sulle finalità degli stessi, nonché sulle modalità per l'eventuale disabilitazione, sono fornite direttamente dalle terze parti alle pagine indicate di seguito.

Si rammenta che generalmente il tracciamento degli utenti non comporta identificazione dello stesso, a meno che l'Utente non sia già iscritto al servizio e non sia anche già loggato, nel qual caso si intende che l'Utente ha già espresso il suo consenso direttamente alla terza parte al momento dell'iscrizione al relativo servizio (es. Facebook).

Il presente sito utilizza cookie delle seguenti terze parti.

Google Ireland ltd 
Per informazioni sull'uso dei dati e sul loro trattamento da parte di Google Ireland ltd si raccomanda di prendere visione dell’informativa privacy di Google, delle Modalità di utilizzo dei dati da parte di Google quando si utilizzano siti o app dei partner e dei Termini contrattuali per il trattamento dei dati degli Annunci di Google

Google Analytics: utilizzato per analizzare l’uso del sito da parte degli utenti, compilare report sulle attività del sito e il comportamento degli utenti, verificare quanto spesso gli utenti visitano il sito, come il sito viene rintracciato e quali pagine sono visitate più frequentemente. Le informazioni sono combinate con informazioni raccolte da altri siti al fine di creare un quadro comparativo dell'uso del sito rispetto ad altri siti delle medesima categoria.
Dati raccolti: identificativo del browser, data e orario di interazione col sito, pagina di provenienza, indirizzo IP.
Luogo di trattamento dei dati: Unione europea essendo attiva l’anonimizzazione del servizio.

I dati raccolti non consentono l'identificazione personale degli utenti, e non sono incrociati con altre informazioni relative alla stessa persone. Sono trattati in forma aggregata e anonimizzati (troncati all'ultimo ottetto). In base ad apposito accordo (DPA) è vietato a Google Inc. (responsabile del trattamento) l'incrocio di tali dati con quelli ricavati da altri servizi.

Ulteriori informazioni sui cookies di Google Analytics si trovano alla pagina Google Analytics Cookie Usage on Websites

L'utente può disabilitare (opt-out) in modo selettivo la raccolta dei dati da parte di Google Analytics installando sul proprio browser l'apposito componente fornito da Google (opt out).

Youtube: piattaforma, di proprietà di Google, per la condivisione di video. I cookie sono impostati all'accesso della pagine contenente l'embed, e all'avvio del video, e non consentono l'identificazione dell'Utente a meno che non sia già loggato nel profilo Google.
Per i video presenti sul sito è stata attivata l'opzione  "privacy avanzata (no cookie)" che fa in modo che YouTube non memorizzi le informazioni sui visitatori a meno che non riproducano volontariamente il video. 
Dati raccolti: numero e comportamento degli utenti del servizio, indirizzo IP, informazioni che collegano le visite al sito all'account Google per gli utenti già loggati, preferenze sulla visualizzazione dei video. 
Luogo di trattamento dei dati: USA. 

 

Plugin Social Network

Il presente sito incorpora anche plugin e/o bottoni al fine di consentire una facile condivisione dei contenuti sui vostri social network preferiti. Quando visiti una pagina del nostro sito web che contiene un plugin, il tuo browser si collega direttamente ai server del social network da dove è caricato il plugin, il quale server può tracciare la tua visita al nostro sito web e, se del caso, associarla al tuo account del social, in particolare se sei connesso al momento della visita o se hai recentemente navigato in uno dei siti web contenenti plugin social. Se non desideri che il social network registri i dati relativi alla tua visita sul nostro sito web, devi uscire dal tuo account del social e, probabilmente, eliminare i cookie che il social network ha installato nel tuo browser.

Sul presente sito sono installati plugin con funzioni di tutela avanzata della privacy degli Utenti, che non inviano cookie o accedono ai cookie presenti sul browser dell’Utente all’apertura della pagina ma solo dopo il click sul plugin.

La raccolta e l’uso delle informazioni da parte di tali terzi sono regolati dalle rispettive informative privacy alle quali si prega di fare riferimento.

Facebook (link informativa cookie)
Twitter  (link informativa cookie)
LinkedIn (link informativa cookie)
 

 

Diritti dell'utente
scelte e obblighi

Ai sensi del Regolamento europeo 679/2016 (GDPR) l'Utente può, secondo le modalità e nei limiti previsti dalla vigente normativa, esercitare i deguenti diritti:

- opporsi in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale;
- richiedere la conferma dell'esistenza di dati personali che lo riguardano (diritto di accesso);
- conoscerne l'origine;
- riceverne comunicazione intelligibile;
- avere informazioni circa la logica, le modalità e le finalità del trattamento;
- richiederne l'aggiornamento, la rettifica, l'integrazione, la cancellazione, la trasformazione in forma anonima, il blocco dei dati trattati in violazione di legge, ivi compresi quelli non più necessari al perseguimento degli scopi per i quali sono stati raccolti;
- nei casi di trattamento basato su consenso, ricevere al solo costo dell’eventuale supporto, i suoi dati forniti al titolare, in forma strutturata e leggibile da un elaboratore di dati e in un formato comunemente usato da un dispositivo elettronico;
- il diritto di presentare un reclamo all’Autorità di controllo (Garante Privacy – link alla pagina del Garante);
- nonché, più in generale, esercitare tutti i diritti che gli sono riconosciuti dalle vigenti disposizioni di legge.

Le richieste vanno rivolte al Titolare del trattamento.

Vieni a fare un'escursione con noi ti daremo modo di imparare nozioni sulla pesca o semplicemente goderti il mar Ligure in tutte le sue sfumature...