La tentazione di non fare nulla è grande, vista la scarsa probabilità di ricevere un controllo. Il fatto è che alcune attività estremamente palesi e facili da identificare rientrano tra quelle regolamentate.

Per intenderci, se il governo volesse fare cassa, basterebbe individuare quei siti web che non forniscono una adeguata informativa, che non richiedono un consenso a norma o che raccolgono cookies e dati sulla geolocalizzazione, per procedere alle sanzione e recupero qualche milione in bilancio.

Ma i rischi possono venire anche dai propri concorrenti, che all’unico scopo di rendere la vita difficile, potrebbero segnalare eventuali mancanze al Garante per la protezione dei dati. Le multe previste dall’articolo 83 prevedono sanzioni pari al 4% del fatturato annuale e fino a 20 milioni di Euro.

Recita il GDPR per identificare i dati personali : «Qualunque informazione relativa all’individuo, collegata alla sua vita privata, sia professionale o pubblica»

• Nomi, Cognomi
• Date o anni di nascita
• Codice fiscale
• Indirizzi postali o email
• Dati bancari
• Fotografie e video
• Indirizzi IP e cookies
• Geolocalizzazioni

O anche qualsiasi dato che permetta di identificare «l’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»

Il Regolamento disciplina la contitolarità del trattamento: impone ai titolari di definire in modo specifico il rispettivo ambito di responsabilità e i compiti.

>l Responsabile del trattamento
È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

Il Titolare del trattamento
È colui che determina le finalità e gli strumenti del trattamenti di dati personali. Ed è responsabile dell’ottemperanza degli obblighi giuridici.

Il Data handler
È la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di trattamento dei dati.

Il Data Protectionofficer
Il Data ProtectionOfficer(DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali.

Interessato al trattamento
L’interessato (data subject) al trattamento è la persona fisica a cui si riferiscono i dati personali, o più esattamente il proprietario dei suoi dati.

Il Regolamento disciplina la contitolarità del trattamento: impone ai titolari di definire in modo specifico il rispettivo ambito di responsabilità e i compiti.

Gli interessati possono rivolgersi ad uno o all’altro indifferentemente;
I responsabili devono essere nominati tramite un contratto (o altro atto giuridico conforme al diritto nazionale) che deve disciplinare puntualmente le materie previste al par. 3 dell’art. 28., così da poter dimostrare che il Responsabile fornisce“garanzie sufficienti”;
E’ possibile per un responsabile del trattamento nominare sub-responsabili, nel rispetto degli stessi obblighi contrattuali con il Titolare del trattamento; il responsabile primario risponde nei confronti del Titolare di eventuali inadempimenti del sub-responsabile;
Ai responsabili del trattamento è dato l’obbligo di tenere il registro dei trattamenti svolti, di adottare idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti e di designare un DPO(qualora richiesto dal Regolamento);
Il Titolare del trattamento e/o il responsabile che non abbia sede nell’UE, dovrà nominare un Rappresentante in Italia, qualora trattasse dati personali di interessati italiani;
I titolari dovranno notificare all’autorità di controllo violazioni di dati personali di cui siano a conoscenza entro 72 ore, se ritengono che da tale violazione derivino dei rischi.

Il GDPR prevede una figura particolare e molto importante, che si aggiunge a quelle “classiche privatistiche” quali titolare e responsabile del trattamento: quella del Data Protection Officer (DPO). Una persona fisica, una sorta di figura ibrida fra il ruolo di vigilanza dei processi interni alla struttura (del titolare e del responsabile, che lo devono nominare, obbligatoriamente in taluni casi previsti per legge), ed il ruolo di consulenza; funge inoltre da “ponte di contatto” e superpartescon l’Autorità Garante nazionale.

Quali sono i requisiti?

Il Responsabile della protezione dei dati, nominato dal titolare o dal responsabile del trattamento, dovrà:

• possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
• adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
• operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

Il titolare o il responsabile dovranno mettere a disposizione del DPO le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Il DPO dovrà:

a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
c) fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;

e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Per tutti i diritti degli interessati, il Regolamento prevede il termine di un mese(estendibile fino a tre mesi in casi complessi) per la risposta da parte del Titolare del trattamento, anche in caso di diniego.

Il Titolare del trattamento può decidere, sulla base della complessità del riscontro, di chiedere un contributo(in caso di richieste manifestamente infondate o eccessive);
Il Titolare del Trattamento deve dare il riscontro agli interessati in forma scritta, anche tramite strumenti elettronici; in forma orale solamente se lo richiede l’interessato stesso;
La risposta all’interessato deve essere intelligibile, concisa, trasparente, facilmente accessibile e data in un linguaggio semplice e chiaro;
Il diritto di accesso dell’interessato comporta in ogni caso il diritto di ricevere una copia dei dati oggetto di trattamento;
Il diritto all’oblio, cioè il diritto di cancellazione dei dati, è più esteso rispetto a quanto previsto nel Codice (per esempio, l’interessato può richiedere la cancellazione dei propri dati anche dopo la revoca del consenso);
Il diritto di limitazione del trattamento(non di “blocco”, come nel Codice), non si applica più solo se c’è stata una violazione dei fondamenti di liceità del trattamento, ma anche se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento;
Il diritto alla portabilità dei datisi applica a trattamenti automatizzati e può essere esercitato solo qualora siano trattati in forza del consenso dell’interessato o di un contratto con lui stipulato, inoltre i dati devono essere stati forniti al Titolare direttamente dall’interessato.

La tenuta del registro dei trattamenti è prevista dall’articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti.
L’onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all’analisi del rischio di tali trattamenti e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo negli stessi ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.
Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante) in caso di verifiche.

Sono esentate dall’obbligo di tenuta del registro le imprese o le organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato:

• possa presentare un rischio per i diritti e le libertà degli interessati,
• non sia occasionale,
• o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 (cioé dati sensibili o giudiziari).

L’attività di videosorveglianza è considerata estremamente invasiva, e per questo l’Autorità Garante per la tutela dei dati personali le ha dedicato vari provvedimenti generali.
Il provvedimento generale dell’8 aprile 2010 sostituisce quello del 2004, fissando dei requisiti più stringenti per evitare che l’attività di videosorveglianza si espanda fino a minacciare i diritti del cittadini.

Presupposti
Infatti, il presupposto è la libertà dei cittadini, che devono poter circolare nei luoghi pubblicisenza dover subire ingerenze eccessive nella loro privacy. Nel mentre occorre anche contemperare tali esigenze con le esigenze di sicurezza dei cittadini.
Quindi, il Garante ha stabilito che l’attività di videosorveglianza è consentita se sono rispettati i seguenti principi:

1. liceità;
   
2. necessità;
   
3. proporzionalità;
   
4. >finalità.