In questo momento, il GDPR è una delle leggi sulla privacy più influenti e discusse al mondo, se non la più importante. La privacy digitale si sta spostando sempre più in primo piano nelle pratiche aziendali. Ed era ora. 10 anni dopo che i file di Snowden hanno raggiunto la superficie terrestre, siamo ancora agli inizi della protezione della nostra privacy.
Ultimamente, le autorità stanno prendendo posizione e la ONG per la privacy noyb sta sfidando i grandi(Facebook e Google), e tutto sembra ricondursi alla privacy dell'UE chiamata GDPR. Questo articolo approfondisce questa legge sulla privacy e affronta alcune domande generali e importanti su di essa. Che cos'è il GDPR? Quando si applica? Come viene applicato?
- Che cos'è il GDPR?
- Il GDPR si applica direttamente?
- Quando si applica il GDPR?
- A chi si applica il GDPR?
- Chi applica il GDPR?
- Il GDPR protegge la privacy?
- Chi ha i diritti previsti dal GDPR?
- Quali sono i principi del GDPR?
- Quali sono i dati personali ai sensi del GDPR?
- Quali sono i dati sensibili ai sensi del GDPR?
- Quali sono i diritti dei dati tutelati dal GDPR?
- Quali sono i doveri previsti dal GDPR?
- Quali sono le multe previste dal GDPR?
- Il GDPR richiede il consenso?
- Il GDPR richiede il consenso per i cookie?
- In che modo il GDPR regolamenta il trasferimento dei dati?
- Il GDPR è l'unica legge europea sulla privacy?
- Come posso conformarmi al GDPR?
- Conclusioni
Scopriamolo!
Che cos'è il GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) è un regolamento dell'Unione europea (Regolamento (UE) 2016/679). È il più importante regolamento europeo sulla privacy e il fulcro del quadro europeo di protezione dei dati. Il regolamento è stato approvato nel 2016 ed è entrato in vigore nel 2018.
Il GDPR mira a proteggere i diritti dei dati delle persone fisiche, incoraggiando al contempo la libera circolazione dei dati. Questi obiettivi non sono facili da bilanciare, ed è per questo che il GDPR è una normativa lunga e complessa con molti principi, regole ed esenzioni. Ma in poche parole, il GDPR riguarda ciò che si può o non si può fare con i dati personali.
Il GDPR si applica direttamente?
Sì, perché è un regolamento. Nel diritto europeo, i regolamenti si contrappongono alle direttive perché non devono essere attuati. D'altra parte, le direttive non si applicano direttamente e devono essere attuate dagli Stati membri attraverso la legislazione nazionale.
Il GDPR ha avuto un predecessore nella Direttiva sulla protezione dei dati. Il GDPR eredita molte regole dalla direttiva, ma stabilisce una base più solida per i diritti alla privacy in tutti gli Stati membri perché è un regolamento.
Quando si applica il GDPR?
Il GDPR si applica a tutti gli Stati membri dell'Unione europea e dello Spazio economico europeo (in pratica gli Stati membri dell'UE, oltre a Islanda, Liechtenstein e Norvegia).
Il GDPR ha anche un effetto extraterritoriale, poiché talvolta si applica a società e altre entità al di fuori dell'UE/SEE. Le regole sull'ambito territoriale del GDPR sono troppo complesse per essere riassunte in poche parole, ma per semplificare grossolanamente possiamo dire che si applica a qualsiasi azienda o servizio che si rivolge a un mercato o a un pubblico europeo. Per una spiegazione più dettagliata e accurata è possibile consultare il sito gdprhub.eu.
Si noti inoltre che il GDPR si applica solo ai dati personali.
A chi si applica il GDPR?
Il GDPR si applica ai responsabili e agli incaricati del trattamento dei dati.
Il titolare del trattamento è l'entità che "controlla" il trattamento dei dati, in quanto decide i mezzi e le finalità del trattamento. D'altro canto, l'incaricato del trattamento è l'entità che elabora i dati per conto di qualcun altro e ne segue le istruzioni. Quindi, se un'azienda utilizza un servizio cloud per archiviare i dati personali dei dipendenti, l'azienda è un responsabile del trattamento dei dati e il fornitore del cloud è un incaricato del trattamento (mentre i dipendenti sono gli interessati).
Sono possibili altri scenari. Se ci sono due o più responsabili del trattamento per un'unica operazione, si tratta di responsabili congiunti. E se un incaricato del trattamento lavora per un altro incaricato del trattamento, si tratta di un subincaricato.
La distinzione tra responsabile del trattamento e incaricato del trattamento è importante in quanto i due soggetti hanno obblighi diversi ai sensi del GDPR. È anche complicata: alcuni casi sono chiari, ma altri sono più complicati.
Chi applica il GDPR?
Sia i tribunali che le autorità di protezione dei dati applicano il GDPR.
Ogni Stato membro dell'UE e del SEE ha un'autorità di protezione dei dati (DPA), e alcuni ne hanno più di una, come la Germania. Le autorità di protezione dei dati sono autorità amministrative che agiscono in base al diritto nazionale per far rispettare il GDPR e la legge sulla privacy. Tutte le autorità di protezione dei dati fanno parte del Comitato europeo per la protezione dei dati, un'istituzione dell'UE che coordina l'applicazione del GDPR.
È inoltre possibile far rispettare il GDPR attraverso il sistema giudiziario degli Stati membri. Quindi, se i vostri diritti ai sensi del GDPR vengono violati, potete andare in tribunale e chiedere un risarcimento danni o presentare un reclamo al vostro DPA nazionale.
Esistono importanti differenze tra queste due vie di applicazione. Per esempio, le DPA non hanno l'autorità di concedere danni e i tribunali civili non hanno l'autorità di emettere multe. Pertanto, i tribunali e le DPA svolgono ruoli diversi nell'applicazione delle norme.
I ricorsi funzionano in modo diverso per i tribunali e le DPA, ma in entrambi gli scenari un caso può finire davanti alla Corte di giustizia dell'UE. La Corte di giustizia ha essenzialmente l'ultima parola sull'interpretazione del GDPR. Per questo motivo le DPA, gli avvocati che si occupano di dati e gli altri tribunali fanno spesso riferimento alla giurisprudenza della Corte quando interpretano il GDPR. Se seguite il nostro blog, probabilmente avete perso il conto delle volte in cui abbiamo citato la sentenza Schrems II - noi lo abbiamo fatto di sicuro!
Il GDPR protegge la privacy?
Più o meno. Per essere precisi, tutela il diritto alla protezione dei dati. Privacy e protezione dei dati sono spesso usati come sinonimi. Lo facciamo anche noi, a volte, per motivi di leggibilità. Ma la Carta europea dei diritti fondamentali li riconosce come diritti umani distinti, quindi le due cose non sono esattamente la stessa cosa ai sensi del diritto dell'UE.
La distinzione tra privacy e protezione dei dati può sembrare inizialmente strana, ma ha senso da un punto di vista pratico. Per esercitare i diritti previsti dal GDPR, non è necessario dimostrare che sono state rivelate informazioni intime o che la vostra sfera privata è stata invasa in altro modo. Se qualcuno tratta i vostri dati personali, avete semplicemente dei diritti ai sensi del GDPR. Quindi la distinzione tra privacy e protezione dei dati rende più facile l'esercizio dei vostri diritti, e questo è ciò che conta davvero.
Chi ha i diritti previsti dal GDPR?
Ogni persona in Europa ha i diritti previsti dal GDPR, indipendentemente dalla sua residenza o cittadinanza. Ciò significa che i cittadini dell'UE e quelli extracomunitari godono degli stessi diritti ai sensi del GDPR, purché si trovino nell'UE/SEE. D'altra parte, un cittadino dell'UE non gode di alcun diritto sui dati ai sensi del GDPR quando si trova al di fuori dell'Unione/SEE.
Inoltre, ogni persona gode dei diritti previsti dal GDPR, ovunque si trovi, purché i suoi dati siano trattati in Europa. Ad esempio, un'azienda francese che tratta esclusivamente dati di residenti giapponesi è ancora vincolata dal GDPR.
Quali sono i principi del GDPR?
La maggior parte dei principi del GDPR si trova all'articolo 5:
- i dati devono essere trattati in modo lecito, equo e trasparente (principi di legalità, equità e trasparenza)
- i dati devono essere raccolti per uno scopo specifico e devono essere adeguati a tale scopo (limitazione delle finalità)
- i dati devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui sono trattati (minimizzazione dei dati - ne abbiamo scritto)
- i dati devono essere accurati e aggiornati (accuratezza)
- i dati devono essere cancellati o resi anonimi non appena non sono più necessari (limitazione della conservazione)
- i dati devono essere trattati in modo sicuro e confidenziale per evitare violazioni dei dati (integrità e riservatezza)
- se trattate dati personali, siete responsabili di dimostrare la vostra conformità a tutti questi principi (accountability).
Quali sono i dati personali ai sensi del GDPR?
I dati personali sono tutte le informazioni relative a una persona fisica identificata o identificabile (una persona interessata nel GDPR).
In termini giuridici, una persona fisica è una persona nel senso comune del termine. Quindi le persone fisiche hanno diritti ai sensi del GDPR, mentre le organizzazioni pubbliche e private non ne hanno. Anche i defunti non hanno diritti ai sensi del GDPR.
Non è necessario che i dati siano invasivi della privacy per essere protetti, basta che siano relativi a qualcuno. Non sarebbe la fine del mondo se veniste a sapere che stamattina ho preso un caffè, ma questa informazione è comunque un dato personale perché il mio nome è in cima a questo blog.
La definizione di dati personali sembra abbastanza semplice, ma non lo è affatto. L'aggettivo "identificabile" è la parte più scivolosa. Secondo il GDPR, una persona è identificabile quando può essere individuata, cioè quando i dati possono essere riferiti a lei individualmente. Non è necessario che i dati rivelino l'identità dell'interessato per essere considerati dati personali.
Ad esempio, alcuni cookie contengono identificatori unici, ovvero stringhe di lettere e numeri generate casualmente. Queste stringhe non contengono informazioni sull'identità dell'interessato, ma la loro natura unica li rende dati personali ai sensi del GDPR perché ogni stringa si riferisce a un singolo utente.
La definizione di dati personali ha altre importanti conseguenze. Alcuni dati possono non identificare una persona in modo autonomo, ma possono farlo se combinati con altri dati (si pensi al modo in cui alcuni siti web rilevano le impronte digitali degli utenti in base ai dati del dispositivo). Questo può rendere i dati personali ai sensi del GDPR. I dati anonimizzati e aggregati presentano problemi simili di re-identificazione.
In conclusione, la nozione di dati personali è un grosso problema. Non possiamo approfondire in questa sede, ma se siete curiosi, il gdprhub offre alcuni preziosi commenti sull'argomento.
Quali sono i dati sensibili ai sensi del GDPR?
I dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza a sindacati, i dati genetici, i dati biometrici, i dati sanitari e i dati sulla vita sessuale o sull'orientamento sessuale di una persona sono tutti trattati come dati sensibili dal GDPR.
Il GDPR stabilisce regole specifiche e più severe per il trattamento dei dati sensibili.
Quali sono i diritti dei dati tutelati dal GDPR?
Sono parecchi. La maggior parte di essi ha lo scopo di dare alle persone un certo controllo sui propri dati. Ad esempio, si può richiedere la cancellazione o la correzione dei propri dati, si può richiedere l'accesso agli stessi e si ha il diritto di ricevere alcune informazioni di base sul trattamento dei propri dati. In alcune situazioni è anche possibile opporsi al trattamento dei propri dati o revocare il proprio consenso al trattamento.
Quali sono i doveri previsti dal GDPR?
Ogni diritto dell'interessato comporta un dovere per il responsabile del trattamento. Pertanto, quando esercitate il diritto alla cancellazione dei vostri dati, il responsabile del trattamento ha il dovere di cancellarli, e così via.
I responsabili del trattamento hanno anche doveri che non hanno una controparte diretta tra i diritti dell'interessato. Ad esempio, i responsabili del trattamento devono trattare i dati personali in modo lecito, non devono conservarli più a lungo del necessario, devono trattarli in modo sicuro e devono notificare le violazioni dei dati alle autorità di protezione dei dati. Questi sono tutti doveri generali ai sensi del GDPR e i responsabili del trattamento devono rispettarli anche se gli interessati non lo richiedono.
I responsabili del trattamento devono anche essere in grado di dimostrare che si stanno conformando al GDPR. Questo è noto come principio di responsabilità.
Anche gli incaricati del trattamento hanno dei doveri, ma la maggior parte di essi sono diversi da quelli del responsabile del trattamento. Questo ha senso perché seguono le istruzioni e non hanno lo stesso potere decisionale del responsabile del trattamento dei dati.
Quali sono le multe previste dal GDPR?
Il GDPR è noto per le multe spaventose. Le sanzioni hanno un tetto massimo di 20 milioni di euro o del 4% del fatturato annuo globale di un'azienda, a seconda del valore più alto. L'attuale detentore del record è Amazon, con una multa di 746 milioni di euro, e recentemente abbiamo parlato di due multe emesse contro Meta per un totale di 390 milioni di euro.
La conformità può essere costosa, ma le multe sono personalizzate caso per caso. Le piccole imprese che hanno commesso un errore onesto e le grandi aziende che cercano di aggirare il sistema vengono trattate in modo diverso. Inoltre, le DPA cercano di lavorare con le aziende per raggiungere la conformità, piuttosto che emettere grosse multe a destra e a manca. Esse guardano con favore alle aziende che collaborano alle indagini e prendono provvedimenti per risolvere i problemi di conformità, anche se lo fanno solo dopo la presentazione di un reclamo.
Il GDPR richiede il consenso?
No, il GDPR non richiede il consenso. Non sempre, almeno.
Abbiamo già scritto un blog sul consenso, quindi ecco una spiegazione sintetica: secondo il GDPR, i dati possono essere elaborati solo per un motivo. Ogni operazione di trattamento dei dati ha bisogno di una base giuridica, in sostanza di una giustificazione. Il consenso è una di queste giustificazioni. Il GDPR ne prevede altre cinque, come il legittimo interesse o un obbligo legale.
Quindi la risposta più corretta alla domanda è che dipende. L'idea che il GDPR richieda sempre il consenso è sbagliata. Ma è sempre necessaria una base giuridica per il trattamento dei dati. Questa può essere il consenso o qualcos'altro (come un obbligo legale o l'esecuzione di un contratto). Ci sono casi in cui il consenso è l'unica opzione perché nessun'altra base giuridica si applica allo scenario specifico, ma non è una regola generale.
Il GDPR richiede il consenso per i cookie?
Dipende. I cookie necessari, come quelli di sicurezza, non richiedono il consenso. D'altro canto, i cookie non necessari, come quelli di analisi e di marketing, richiedono sempre il consenso. Questo è il motivo per cui si vedono molti banner di cookie durante la navigazione.
Questo non è dovuto al GDPR. I cookie rientrano nella Direttiva ePrivacy, che richiede il consenso per i cookie. Come nota a margine, la direttiva copre anche tecnologie simili ai cookie, come i tracker pubblicitari sui dispositivi (abbiamo recentemente trattato un caso interessante su questo tema).
In che modo il GDPR regolamenta il trasferimento dei dati?
In linea di principio, i dati devono essere trasferiti in modo sicuro al di fuori dell'Europa. Per garantire ciò, il regolamento stabilisce un complesso sistema di regole per il trasferimento dei dati. Abbiamo trattato questo argomento in modo approfondito, ma in breve, ogni volta che si trasferiscono dati in un Paese terzo, è necessario affidarsi a uno dei diversi meccanismi di conformità elencati dal GDPR, tutti destinati ad agire come garanzie per i dati.
Dal 2020 la sentenza Schrems II della Corte di giustizia dell'UE ha reso difficile la conformità alle norme sul trasferimento dei dati quando questi vengono inviati negli Stati Uniti. Schrems II è un caso famoso e molto discusso. La sentenza è al centro dei problemi di Google Analytics con il trasferimento dei dati ed è il motivo per cui Google Analytics è stato praticamente vietato in Austria, Francia, Italia, Danimarca e Finlandia (oltre che in Norvegia, anche se la decisione è solo preliminare e il caso è ancora pendente).
Ma la questione è più ampia del solo Google Analytics e potrebbe coinvolgere altri fornitori di servizi in futuro. Per questo motivo la Commissione europea ha elaborato una nuova decisione di adeguatezza. La bozza deve ancora essere approvata e sarà probabilmente impugnata presso la Corte di giustizia.
Il GDPR è l'unica legge europea sulla privacy?
No. Il GDPR è fondamentale per la legislazione europea sulla privacy, ma esistono anche altre fonti importanti.
Ne abbiamo già citata una: la direttiva ePrivacy. La direttiva si rivolge principalmente ai fornitori di servizi di comunicazione, come le società di telecomunicazioni e i fornitori di Internet (ma le norme sui cookie che abbiamo citato hanno un campo di applicazione più ampio). È in fase di elaborazione un regolamento ePrivacy destinato a sostituire la direttiva, proprio come il GDPR ha sostituito la vecchia direttiva sulla protezione dei dati.
La direttiva sull'applicazione della legge è un altro pezzo del puzzle. Si occupa di indagini penali e giustizia penale ed è stata redatta e approvata parallelamente al GDPR. L'oggetto della direttiva non rientra nell'ambito di applicazione del GDPR, pertanto le due fonti si completano a vicenda.
Altre fonti del diritto dell'UE non sono leggi sulla privacy, ma hanno un impatto sui diritti alla privacy. La recente legge sui mercati digitali e la legge sui servizi digitali sono due esempi significativi.
A un livello superiore, la Carta dei diritti fondamentali dell'Unione europea tutela i diritti alla privacy e alla protezione dei dati. La Carta ha lo stesso status giuridico dei Trattati che istituiscono l'Unione: è una delle più alte fonti del diritto dell'UE e "batte" le direttive e i regolamenti.
Anche la Convenzione europea dei diritti dell'uomo riconosce la privacy come diritto fondamentale. La Convenzione non fa tecnicamente parte del quadro giuridico dell'UE, ma è comunque influente nel diritto dell'UE. Lo stesso vale per la giurisprudenza della Corte europea dei diritti dell'uomo, una Corte che applica la Convenzione e non è un'istituzione dell'UE.
Come posso conformarmi al GDPR?
Non esiste una risposta univoca. Non esiste nemmeno una lista di controllo completa. Ogni strategia di conformità deve essere adattata a uno scenario specifico e tenere conto dei tipi di dati, delle finalità per cui vengono trattati, della portata del trattamento dei dati e così via. Una buona strategia di conformità deve inoltre coinvolgere tutte le parti interessate all'interno di un'organizzazione e richiede una buona comprensione del modo in cui i dati vengono elaborati, cosa non banale(sì, Meta, sto guardando te).
Detto questo, l'articolo 5 del GDPR riassume la maggior parte dei principi alla base del GDPR, quindi si può usare come punto di partenza per porsi le domande giuste. Ad esempio:
- quale base giuridica ho per trattare i dati personali?
- Sto fornendo informazioni sufficienti agli interessati? Capiscono cosa faccio con i loro dati e perché lo faccio, almeno in termini molto generali?
- raccolgo e tratto i dati con uno scopo chiaro e specifico?
- Ho davvero bisogno di tutti questi dati? Ce ne sono alcuni che potrei cancellare e rendere anonimi? Sto conservando i dati più a lungo del necessario?
- Posso fare qualcosa per ridurre il rischio di violazione dei dati? Posso migliorare la sicurezza tecnica dei miei sistemi? Qualcuno del mio personale può accedere a dati personali di cui non ha realmente bisogno?
Non sono domande facili, ma tenerle a mente è un buon primo passo, anche se non avete ancora tutte le risposte.
A parte questo, assicuratevi di utilizzare il consenso nel modo giusto. Il consenso è talvolta visto come una pallottola d'argento per la conformità, ma ci sono limiti a ciò che il consenso consente di fare e scenari in cui affidarsi al consenso non funziona. Il nostro blog può fornirvi una panoramica generale su come funziona il consenso ai sensi del GDPR.
Infine, se utilizzate Google Analytics, passare a un altro servizio di analisi web sarà un passo verso la conformità. Naturalmente c'è molto altro da fare per la conformità, ma abbandonare Google Analytics è il frutto più facile per molte aziende.
Conclusioni
La privacy ci sta a cuore. Per questo motivo facciamo del nostro meglio per coprire le notizie sulla privacy e discutere le leggi sulla privacy in modo accurato e accessibile. Crediamo che la normativa sulla privacy riguardi tutti noi e che non debba essere appannaggio di avvocati e di chi parla in legalese.
Crediamo anche che Internet possa essere un luogo migliore e più rispettoso della privacy. Ecco perché abbiamo costruito Simple Analytics. Siamo orgogliosi di fornire ai nostri clienti tutti gli approfondimenti di cui hanno bisogno, senza tracciare gli utenti e senza raccogliere dati personali. Se vi sembra una buona idea, non esitate a provarci!