Dubbi privacy

Il GDPR (Regolamento UE 2016/679), applicabile dal 25 maggio 2018, definisce le norme per la protezione dei dati personali nell'UE. L'obiettivo è restituire agli interessati un maggiore controllo sui propri dati, imponendo a chi li tratta obblighi precisi di trasparenza, sicurezza e responsabilità.

In Italia il quadro è integrato dal D.Lgs. 101/2018, che ha adeguato il Codice privacy (D.Lgs. 196/2003): nuove sanzioni, meccanismi di tutela e regole deontologiche settoriali che si aggiungono alle disposizioni generali del Regolamento.

In alcuni settori — sanitario, legale, ricerca scientifica — esistono regole specifiche per il trattamento di dati particolari. Conoscere il quadro normativo completo applicabile al proprio contesto è il punto di partenza per qualsiasi adeguamento serio.

Il Titolare è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento: stabilisce perché e come i dati vengono trattati, assumendo la piena responsabilità della loro gestione nei confronti degli interessati e delle autorità di controllo.

Deve adottare misure di sicurezza tecniche e organizzative adeguate al livello di rischio e documentare la propria conformità al GDPR secondo il principio di accountability — dimostrando non solo di rispettare le regole, ma di poterlo provare in caso di controllo.

Quando più soggetti determinano congiuntamente finalità e mezzi, sono Contitolari del Trattamento e devono formalizzare un accordo che chiarisca le rispettive responsabilità e che sia accessibile agli interessati.

La contitolarità si verifica quando due o più soggetti determinano congiuntamente finalità e mezzi del trattamento (art. 26 GDPR). Entrambi condividono la responsabilità delle decisioni e della gestione dei dati, indipendentemente da come si ripartiscono i compiti operativi.

I contitolari devono formalizzare un accordo chiaro e trasparente che definisca le rispettive responsabilità. L'accordo deve essere accessibile agli interessati, che devono sapere a chi rivolgersi per esercitare i propri diritti — accesso, rettifica, cancellazione.

Un esempio frequente: due aziende che collaborano a un progetto che implica la gestione congiunta di dati personali devono stabilire le rispettive responsabilità prima di iniziare il trattamento, non a posteriori in caso di contestazione da parte del Garante.

Il Responsabile è chi tratta dati personali per conto del Titolare (art. 4 GDPR), su istruzioni di quest'ultimo e non per finalità proprie. Esempi comuni: fornitori IT, consulenti del lavoro, commercialisti, amministratori di sistema, traduttori che trattano dati sensibili.

Il rapporto deve essere regolato da un contratto o atto giuridico vincolante che definisca oggetto, durata, natura e finalità del trattamento, il tipo di dati coinvolti e gli obblighi del Responsabile, incluse le misure di sicurezza da adottare.

Il Responsabile collabora con il Titolare nella sicurezza dei dati, nella gestione delle richieste degli interessati e nella documentazione delle attività. Il Titolare rimane comunque responsabile della scelta del Responsabile e del controllo continuativo sul suo operato.

Gli Autorizzati al trattamento sono persone fisiche designate dal Titolare o dal Responsabile per gestire i dati personali sotto la loro diretta supervisione. Accedono ai dati e svolgono le attività secondo le istruzioni ricevute, senza poter operare in modo autonomo al di fuori del mandato ricevuto.

La designazione deve essere formalizzata per iscritto, con istruzioni chiare sulle modalità di trattamento, sui limiti operativi e sulle misure di sicurezza da rispettare. Ogni autorizzato deve sapere esattamente cosa può e non può fare con i dati a cui ha accesso.

La formazione è parte integrante della designazione: gli autorizzati devono essere adeguatamente preparati sulle normative e sulle procedure interne. Una designazione formale senza un percorso formativo adeguato è una misura incompleta — e potenzialmente controproducente in caso di incidente o ispezione.

Il Data Protection Officer (DPO) è la figura introdotta dal GDPR per garantire la conformità dell'organizzazione alle normative sulla protezione dei dati. Fornisce consulenza al Titolare e al Responsabile, monitora l'applicazione delle misure, gestisce le richieste degli interessati e mantiene i contatti con l'Autorità Garante.

La nomina è obbligatoria per enti pubblici, soggetti che trattano dati sensibili su larga scala e chi effettua monitoraggio sistematico di individui. Il DPO può essere interno o esterno, purché indipendente, dotato delle competenze necessarie e liberamente contattabile dagli interessati.

Anche chi non è obbligato può beneficiarne: il DPO contribuisce a strutturare i processi, ridurre i rischi di non conformità e gestire in modo più efficace le richieste degli interessati. È una scelta di governance prima ancora che un adempimento.

L'informativa privacy garantisce la trasparenza nel trattamento dei dati personali (artt. 13-14 GDPR). Informa gli interessati su come i loro dati vengono raccolti, trattati e protetti, e deve essere redatta in modo chiaro, comprensibile e accessibile, senza tecnicismi che ne rendano difficile la comprensione.

Deve contenere, tra gli altri elementi: la base giuridica del trattamento, le finalità, i tempi di conservazione, i destinatari dei dati, gli eventuali trasferimenti extra-UE e i diritti esercitabili dall'interessato. Un'informativa incompleta o generica espone il Titolare a rilievi del Garante anche in assenza di altri illeciti.

In casi specifici l'obbligo non sussiste: quando l'interessato ha già le informazioni necessarie, quando il trattamento è espressamente previsto dalla legge, o quando fornirla risulta sproporzionato rispetto allo scopo — ad esempio in contesti di archiviazione nel pubblico interesse o ricerca scientifica.

No. L'art. 6 GDPR prevede sei basi giuridiche per il trattamento: consenso, esecuzione di un contratto, adempimento di un obbligo legale, protezione di interessi vitali, compito di interesse pubblico e legittimo interesse del Titolare. Il consenso è solo una delle opzioni possibili.

Diventa necessario quando si trattano categorie particolari di dati — salute, convinzioni religiose, dati giudiziari — e non esistono altre basi giuridiche applicabili. Se richiesto, deve essere libero, specifico, informato e inequivocabile, documentabile e revocabile in qualsiasi momento.

Un errore frequente è raccogliere il consenso anche quando si potrebbe ricorrere al legittimo interesse o all'esecuzione di un contratto. Questo genera oneri inutili e rende il trattamento più fragile — il consenso è revocabile, le altre basi no. Scegliere la base giuridica corretta è una decisione strategica.

Il Registro delle Attività di Trattamento è il documento che traccia tutte le operazioni di trattamento svolte da un'organizzazione. È obbligatorio per Titolari e Responsabili, con l'eccezione delle imprese con meno di 250 dipendenti, salvo che il trattamento sia regolare, coinvolga dati sensibili o comporti rischi elevati per gli interessati.

Deve contenere, tra gli altri elementi: identità del Titolare e del DPO, finalità e basi giuridiche del trattamento, categorie di dati e di interessati, eventuali trasferimenti extra-UE, tempi di conservazione e descrizione delle misure di sicurezza adottate.

Non è solo un adempimento formale: è uno strumento di accountability. Il Garante può richiederne la visione in qualsiasi momento — averne uno incompleto o assente è tra i rilievi più frequenti nei procedimenti sanzionatori, e segnala l'assenza di una governance strutturata dei dati.

La DPIA (Valutazione d'Impatto sulla Protezione dei Dati) è prevista dall'art. 35 GDPR per identificare in anticipo i rischi per la privacy e stabilire misure efficaci per mitigarli. È obbligatoria per trattamenti ad alto rischio: elaborazione automatizzata su larga scala, dati sensibili, sistemi di videosorveglianza estesa.

Il processo prevede la descrizione del trattamento, la valutazione della sua necessità e proporzionalità, la stima dei rischi per gli interessati e le misure pianificate per affrontarli. In alcuni casi, se i rischi residui rimangono elevati, è necessario consultare preventivamente il Garante.

È consigliabile anche in contesti meno rischiosi, specialmente quando si adottano nuove tecnologie o piattaforme digitali. Documentare la DPIA rafforza la posizione dell'organizzazione in caso di controllo e dimostra un approccio responsabile e strutturato alla gestione dei dati.

Un Data Breach è una violazione della sicurezza che porta a distruzione, perdita, modifica o divulgazione non autorizzata di dati personali. Può derivare da attacchi informatici, furto di dispositivi, errori umani, accessi non autorizzati o malfunzionamenti di sistema.

Il GDPR impone la notifica al Garante entro 72 ore dalla scoperta, salvo che il rischio per i diritti degli interessati sia improbabile. Se il rischio è elevato, gli interessati coinvolti devono essere informati senza ritardo, con indicazione delle conseguenze e delle misure adottate o in corso.

Avere una procedura operativa pronta prima che l'incidente accada è la differenza tra una gestione efficace e un'esposizione sanzionatoria. Tutto il personale deve sapere come riconoscere un breach, a chi segnalarlo e con quali tempi — improvvisare durante un incidente moltiplica le conseguenze legali e reputazionali.