General Data Protection Regulation (GDPR): a general overview (English Version)

In Privacy
Tempo di Lettura: 14 minuti
By Marcella Gigante

The new European data protection framework was adopted on April 8, 2016. It takes the form of a Regulation, which will be directly applicable in all Member States of the European Union as of May 25, 2018. You can find below the most important items contained in the GDPR.

Material and Territorial Scope

According to Article 2 of the GDPR, it applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. The GDPR, instead, does not apply to the processing of personal data (a) in the course of an activity which falls outside the scope of European law, (b) by a natural person in the course of a purely personal or household activity, and (c) by a competent authority for the purposes of the prevention, investigation or prosecution of criminal offences or the execution of criminal penalties.

According to Article 3 of the GDPR, it applies not only to individuals and companies located inside the European Union for professional processing of personal data worldwide, but also to the data processing carried out by data controllers or data processors, not established in the European Union, whose activities are related to: (i) the offering of goods and services to data subjects within the European Union or (ii) the monitoring of behaviors of such data subjects within the European Union.

Some definitions

Pursuant to Article 4 of the GDPR:

  • personal data means “…any information relating to an identified or identifiable natural person”;
  • processing means “…any operation or set of operations, which is performed on personal data or on sets of personal data, whether or not by automated means, such as the collection, recording, organizations, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment, combination, restriction, erasure or destruction”;
  • data subject” means “…an identifiable natural person who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or by one or more factors specific to the physical, physiological, mental, economic, cultural or social identity of that natural person”;
  • data controller means “…the natural or legal person, public authority, agency or other body which determines the purposes of the processing”;
  • data processor” means “…the natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller”.
  • Principles to Observe in the Processing of Personal Data

Personal data must be processed lawfully, fairly and in a transparent manner, collected and processed for a specified, explicit and legitimate purpose, adequate and accurate, relevant and limited to the necessary, processed in a manner that ensures appropriate security of the personal data, and collected and processed only with the consent of the data subjects, except for certain reasons, such as the necessity due to contractual reason, the safeguarding of the interests of the data subjects and reason relating to a public interest.

Conditions for the Consent

The consent of the data subjects to the data processing is required, when the personal data are processed:

  • for the purpose of profiling;
  • for marketing purposes and purchase choices;
  • for the purpose of monitoring cookies on websites;
  • in curricula vitae (and the personal data are sensitive data);
  • if the Personal Data contained in the curricula vitae must be communicated to third parties.

Instead, the consent of the data subjects to the data processing is not required (although various information regarding the source of data, the purpose of processing, the identity of the data controller and the recipients of the personal data must be provided to them), when the personal data are processed:

  • for the purpose of the performance or conclusion of an agreement and the obligations related to it;
  • by public administrations for the purpose of carrying out institutional functions;
  • if the Personal Data have been retrieved from public registers or lists;
  • if the Personal Data are used to assert a right in a court.

Rights of the Data Subjects regarding the Data Processing

A data subject, whose Personal Data are being processed by a data controller (or data processor), has the following main rights:

  • the right to access to the information of the personal data at any time;
  • the right to receive personal data in a structured, commonly used and machine readable format and, under certain circumstances, the right to transmit those personal data to another data controller (Article 20 of the GDPR);
  • the right to object to the processing of personal data, including profiling, for various reasons, such as unlawful use or direct marketing purposes (Article 21 of the GDPR);
  • the right to obtain rectification of wrong personal data without undue delay (Articles 16 and 19 of the GDPR);
  • the right to restriction of processing of personal data under certain specific conditions (as set forth in Articles 18 and 23 of the GDPR);
  • the right to erasure of personal data without undue delay under certain specific conditions (as set forth in Articles 17 and 19 of the GDPR);
  • the right not be affected legally or otherwise by decisions based on automated Processing, including Profiling, unless specific Consent has been given (Article 22 of the GDPR).

Privacy by design and by default

According to Articles 25 et seq. of the GDPR, taking into account the nature, scope, context and purposes of the processing, as well as the risks for the rights and freedoms of the data subjects, the data controller is required to:

  • implement appropriate technical and organizational measures (such as pseudonymization and data minimization) designed to safeguard data protection principles (privacy by design);
  • implement appropriate technical and organizational measures which ensure that, by default, only personal data, which are necessary for each specific purpose of the processing, are processed (privacy by default).

Data protection Impact Assessment

As set forth in Article 35 of the GDPR, a data protection impact assessment, which is an evaluation of the consequences of the use of specific data, is required when the processing is likely to result in a high risk to the rights and freedoms of the data subjects. The analysis of whether there is a high risk depends on the likelihood and severity of a negative impact on the rights and freedoms of a data subject, such as illegitimate access, undesired modification or disappearance of data.

A data protection impact assessment has to be carried out by the data controller prior to any processing in the following cases:

  • for a systematic evaluation of certain aspects of data subjects, based on automated processing, including profiling, which produces legal effects;
  • for processing of sensitive data on large scale;
  • for systematic monitoring of personal data on large scale.

In case of established high risk in correlation with the data processing, the data controller must consult the supervisory authority.

The data impact assessment shall contain: the description of the data processing and the purpose of the processing, the evaluation of the necessity and proportionality of the data processing in relation to its purpose, the evaluation of the risks of the data processing to the rights and freedoms of the data subjects and the description of the measures that the data controller and the data processor must adopt in order to avoid risks in the data processing.

Data Protection Officer

As set forth in Article 37 of the GDPR, the data controller and data processor must designate a data protection officer in the following cases:

  • the processing is carried out by a public authority;
  • the processing requires a regular and systematic monitoring of data subjects on large scale;
  • the processing of special categories of personal data (such as sensitive data) on large scale.

Usually the function of data protection officer is allocated to a compliance team or risk manager.

Cross-border Data Transfers

According to Article 45 of the GDPR, a transfer of personal data from a data controller within the European Union to a data Processor of a third country or an international organization may take place where the European Commission has decided that the third country or the international organization in question ensures an adequate level of data protection.

In the absence of a decision by the European Commission regarding the adequate level of data protection of a certain third country or international organization, the data controller has to take the appropriate safeguards (such as a code of conduct) prior to transferring data to any such third country or international organization (pursuant to Article 46 of the GDPR).

As set forth in Article 49 of the GDPR, in the absence of an adequate level of data protection or appropriate safeguards, a transfer of personal data from a Data Controller within the European Union to a data processor of a third country or an international organization is only allowed if one of the following conditions is met:

  • the data subject has explicitly consented to the transfer;
  • the transfer is necessary for the performance or the conclusion of a contract;
  • the transfer is necessary for important reasons of public interest;
  • the transfer is necessary to protect vital interests of other persons involved in the data processing, where the data subject is incapable of providing the consent;
  • the data transferred have been taken from a public register.

Data Breach and Fines

Any action or omission, that could affect the confidentiality, integrity or availability of personal data is considered a data breach. The data breach is a security incident, which affects personal data and has to be addressed immediately by the data controller or the data processor.

The data controller has to notify the data breach to the competent supervisory authority.  Where there is a likely high risk to the rights and freedoms of the data subjects, the data controller must also communicate the data breach to the affected individuals as soon as it is reasonably feasible (ordinarily within 72 hours as of the awareness of the data breach).

The notification of the data breach shall describe in a clear language:

  • the data breach;
  • the number of the data subjects involved;
  • the contact details of the data controller and data processor;
  • the measures adopted or to be adopted (by the data controller or data processor) as a remedy of the data breach.

According to Article 83 of the GDPR, in case of a data breach, the supervisory authority may impose an administrative fine that must be effective, proportionate and dissuasive. When deciding on an administrative fine, the supervisory authority must take into account: the nature, the gravity, the duration  and the intentional character of the data breach, the categories of personal data affected by the data breach and any action taken by the data controller (or data processor) to mitigate the damage suffered by the data subjects. The maximum administrative fines for infringements amount to Euro 20 million or, in case of an company, up to 4% of its total worldwide annual turnover of the preceding financial year.

One-Stop-Shop

It is a mechanism, based on the supervision of one lead authority towards companies with a presence in more than one Member State. The Article 29 Working Party (WP29) (which is composed of representatives of the national data protection authorities of the European Union) has provided guidance on how to identify a lead supervisory authority.

____________________________

Guida Pratica al General Data Protection Regulation (GDPR)

L’8 aprile 2016 è stato adottato il nuovo Regolamento sulla privacy, che sarà direttamente applicabile in tutti gli Stati Membri dell’Unione Europea a partire dal 25 maggio 2018. Di seguito, troverete un’analisi dei concetti più importanti introdotti dal summenzionato Regolamento.

Campo di Applicazione

Ai sensi dell’art. 2 del GDPR, esso si applica “al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”. Il GDPR, invece, non si applica al trattamento di dati personali (a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, (b) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico, e (c) effettuati da autorità competenti ai fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali.

Ai sensi dell’art. 3 del GDPR, esso si applica non solo al trattamento dei dati personali effettuato da persone fisiche o società aventi sede nel territorio dell’Unione, ma anche al trattamento dei dati personali effettuato da un titolare o un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: (i) l’offerta di beni o la prestazione di servizi a persone fisiche nel territorio dell’Unione o (ii) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Alcune definizioni

Secondo l’art. 4 del GDPR:

  • per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”;
  • per trattamento si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”;
  • per interessato si intende “una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale e sociale”;
  • per titolare del trattamento si intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”;
  • per responsabile del trattamento si intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Principi da osservare per il trattamento dei dati

I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, devono essere raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità. I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati e devono essere conservati in una maniera tale da garantire un’adeguata sicurezza dei dati personali.

Infine, i dati personali devono essere raccolti e trattati solo con il consenso della persona interessata, eccetto per specifiche motivazioni, come le necessità dovute a ragioni contrattuali, la salvaguardia di diritti dell’interessato o un pubblico interesse.

Consenso dell’interessato

Il consenso dell’interessato al trattamento dei dati è richiesto, quando i dati personali sono trattati:

  • per finalità di profilazione;
  • per finalità di marketing o scelte d’acquisto;
  • per finalità di monitoraggio dei cookies su siti Web;
  • nei curricula vitae (e si tratta di dati sensibili);
  • se i dati personali contenuti nei curricula vitae devono essere comunicati a terzi.

Invece, il consenso dell’interessato al trattamento dei dati non è richiesto (sebbene l’informativa riguardante le fonti dei dati, le finalità di trattamento, l’identità del titolare del trattamento e i destinatari dei dati debba essere comunque fornita all’interessato) quando i dati personali sono trattati:

  • per la finalità di esecuzione o conclusione di un contratto e per le obbligazioni ad esso relative;
  • dalla pubblica amministrazione per la finalità di espletare funzioni istituzionali;
  • se i dati personali sono tratti da registri pubblici;
  • se i dati personali sono usati per far valere un diritto in sede giurisdizionale.

Diritti dell’interessato in relazione al trattamento dei dati personali

Un interessato, i cui dati personali sono trattati da un titolare (o un responsabile) del trattamento, ha i seguenti diritti:

  • il diritto di accedere alle informazioni sui dati personali in ogni momento;
  • il diritto di ricevere dati personali in un formato strutturato, di uso comune e leggibile da un dispositivo automatico e, sulla base di alcune circostanze, il diritto di trasmettere questi dati personali ad un altro titolare del trattamento (art. 20 del GDPR);
  • il diritto di opporsi al trattamento dei dati personali, inclusa la profilazione, per varie motivazioni, come l’uso illegittimo o per finalità di marketing diretto (art. 21 del GDPR);
  • il diritto di ottenere la modifica dei dati personali sbagliati senza ingiustificato ritardo (artt. 16 e 19 del GDPR);
  • il diritto di ottenere una restrizione del trattamento dei dati personali sulla base di specifiche condizioni (art. 18 e 23 del GDPR);
  • il diritto alla cancellazione dei dati personali senza ingiustificato ritardo sulla base di specifiche condizioni (art. 17 e 19 del GDPR);
  • il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, tranne nel caso in cui sia stato dato uno specifico consenso (art. 22 del GDPR).

Privacy by design and by default

Ai sensi degli art. 25 e ss. Del GDPR, tenendo conto della natura, dello scopo, del contesto e delle finalità del trattamento, come anche dei rischi per i diritti e le libertà delle persone fisiche coinvolte nel trattamento, il titolare del trattamento è tenuto a:

  • implementare appropriate misure tecniche ed organizzative (come la pseudonimizzazione e la minimizzazione) tese a salvaguardare i principi della protezione dei dati, sia al momento di determinazione dei mezzi del trattamento sia al momento del trattamento stesso;
  • implementare appropriate misure tecniche ed organizzative le quali assicurano che, per impostazione predefinita, sono trattati solo i dati personali necessari per la specifica finalità del trattamento.

Valutazione d’impatto sulla protezione dei dati

Come enunciato nell’art. 35 del GDPR, la valutazione d’impatto sulla protezione dei dati, che rappresenta una valutazione delle conseguenze dell’uso di specifici dati, è richiesta quando il trattamento dei dati potrebbe determinare un elevato rischio per i diritti e le libertà dell’interessato. L’analisi di cosa possa essere considerato un elevato rischio dipende dalla probabilità e dal grado di severità di un impatto negativo sui diritti e sulle libertà dell’interessato: sono esempi di elevato rischio l’accesso illegittimo ai dati, la loro modifica indesiderata o la scomparsa dei dati stessi.

La valutazione d’impatto sulla protezione dei dati deve essere effettuata dal titolare prima di ogni trattamento nei seguenti casi:

  • in caso di una valutazione sistematica di alcuni aspetti dell’interessato, basata su un trattamento automatizzato, come la profilazione, che produce effetti giuridici;
  • per il trattamento di dati sensibili su larga scala;
  • per il monitoraggio sistematico di dati personali su larga scala.

Nel caso nel cui la probabilità di rischio elevato sia persistente, il titolare del trattamento deve consultare l’autorità di controllo.

La valutazione d’impatto sulla protezione dei dati deve contenere: la descrizione del trattamento e la corrispondente finalità, la valutazione della necessità e della proporzionalità del trattamento in correlazione con la finalità, la valutazione dei rischi del trattamento dei dati in relazione ai diritti e alle libertà dell’interessato e la descrizione delle misure che il titolare o il responsabile del trattamento dovranno adottare al fine di evitare rischi e problematiche durante il trattamento stesso.

Responsabile della protezione dei dati

Ai sensi dell’art. 37 del GDPR, il titolare e il responsabile del trattamento devono nominare un responsabile della protezione dei dati nei seguenti casi:

  • il trattamento è effettuato da una autorità pubblica;
  • il trattamento richiede un regolare e sistematico monitoraggio degli interessati su larga scala;
  • il trattamento di speciali categorie di dati personali (come dati sensibili) su larga scala.

Generalmente la funzione di responsabile della protezione dei dati è svolta da un soggetto appartenente all’area compliance o da un risk manager.

Trasferimenti internazionali di dati

Ai sensi dell’art. 45 del GDPR, il trasferimento di dati da un titolare del trattamento, con sede in uno degli Stati Membri dell’Unione Europea ad un responsabile del trattamento di un paese terzo o di un’organizzazione internazionale è ammesso se la Commissione europea ha deciso che il paese terzo o l’organizzazione internazionale garantiscano un adeguato livello di protezione dei dati.

In assenza di una decisione di adeguatezza da parte della Commissione europea, il titolare del trattamento deve adottare appropriate sicurezze (come un codice di condotta) o garanzie prima di trasferire i dati a qualunque Stato terzo o organizzazione internazionale (si veda a tal proposito l’art. 46 del GDPR).

Ai sensi dell’art. 49 del GDPR, in assenza di una decisione di adeguatezza o di appropriate garanzie, un trasferimento di dati personali da un titolare del trattamento con sede in uno Stato Membro dell’Unione Europea ad un responsabile del trattamento di uno Stato terzo o di un’organizzazione internazionale è permesso solo se ricorra una delle seguenti condizioni:

  • l’interessato ha esplicitamente acconsentito al trasferimento dei dati;
  • il trasferimento dei dati è necessario per l’esecuzione o la conclusione di un contratto;
  • il trasferimento dei dati è necessario per importanti ragioni di interesse pubblico;
  • il trasferimento dei dati è necessario per proteggere interessi vitali di soggetti terzi coinvolti nel trattamento dei dati, qualora l’interessato non sia capace di dare il proprio consenso;
  • i dati trasferiti sono tratti da un pubblico registro.

Violazioni di dati e sanzioni

Qualunque azione o omissione che possa impattare sulla confidenzialità, integrità e disponibilità dei dati personali di una persona fisica è considerata come una violazione. Tale violazione dei dati deve essere immediatamente notificata al titolare o al responsabile del trattamento.

Il responsabile del trattamento deve notificare la violazione dei dati alla competente autorità di controllo. Qualora vi sia la probabilità di un rischio elevato per i diritti e le libertà dell’interessato, il responsabile del trattamento deve comunicare la violazione dei dati anche ai soggetti interessati appena possibile (generalmente entro 72 ore dopo aver assunto consapevolezza della violazione).

La notificazione della violazione deve descrivere in modo chiaro:

  • la violazione;
  • il numero di soggetti coinvolti;
  • il contatto del titolare e del responsabile del trattamento;
  • le misure adottate o che devono essere adottate (dal titolare o dal responsabile del trattamento) come rimedi della violazione.

Ai sensi dell’art. 83 del GDPR, in caso di violazione dei dati, l’autorità di controllo può imporre sanzioni amministrative che devono essere effettive, proporzionate e con finalità deterrente. Quando decide sulla sanzione amministrativa da imporre, l’autorità di controllo deve tenere conto della natura, della gravità, della durata e dell’intenzionalità della violazione medesima, delle categorie di dati personali colpiti dalla violazione e di qualunque azione adottata dal titolare (o dal responsabile) del trattamento per mitigare il danno subito dall’interessato. L’ammontare massimo di sanzione amministrativa per le violazioni è di 20 milioni di Euro o, in caso di società, del 4% del fatturato mondiale totale annuo dell’esercizio precedente.

One-Stop-Shop

Si tratta di un meccanismo, basato sulla supervisione di un’autorità di controllo capofila nei confronti di società aventi sede in uno o più Stati Membri. Il gruppo di lavoro Articolo 29 (che è composto da rappresentanti di autorità sulla protezione dei dati dei Paesi dell’Unione Europea) ha pubblicato alcune direttive sulla modalità di identificazione dell’autorità di controllo capofila.

Print Friendly, PDF & Email

You may also read!

Ecco perché una motovedetta della Guardia di Finanza può essere definita “Nave da guerra”.

Redatto dal Dr. Fabrizio Salvi Dott. Fabrizio Salvi Redattore Fabrizio Salvi, S. Tenente di Vascello del copro delle Capitanerie

Read More...

PROTOCOLLO D’INTESA: mercato legale 4.0

PROTOCOLLO D’INTESA IL MERCATO LEGALE 4.0, APERTO TRASPARENTE E FONDATO SULLE COMPETENZE. SOTTOSCRITTO DA:   A.N.U.T.E.L. (Associazione Nazionale Uffici

Read More...

Il Contratto internazionale

Il contratto commerciale internazionale Nel mondo globalizzato in cui viviamo, sono sempre più diffusi i rapporti di vendita internazionale,

Read More...

Leave a reply:

Your email address will not be published.

Mobile Sliding Menu