GDPR e privacy: il bilancio dell’applicazione del RGDP
I dati ufficiali del Garante Privacy Italiano
Sul sito del Garante per la Protezione dei Dati Personali è possibile consultare il bilancio completo dell’applicazione del GDPR dal 25 maggio 2018 fino all’ultimo trimestre completo.
Oggi vogliamo mostrare i dati che ci vengono forniti dal Garante stesso per avere una visione d’insieme riguardo all’applicazione del RGDP in Italia.
I dati sono suddivisi in trimestri, tranne il primo periodo 2018 che copre un quadrimestre.
I numeri in questa reportistica riguardano:
- le comunicazioni dei dati di contatto degli RPD;
- i reclami e le segnalazioni;
- le notifiche di Data Breach.
Prima di passare ai dati definiamo cosa significano queste tre voci su cui sono basate i report.
1. Cosa significa RPD? Perché bisogna comunicare i dati di contatto degli RPD al Garante Privacy?
RPD significa Responsabile della Protezione dei Dati, la traduzione italiana di Data Protection Officer (DPO).
La figura professionale del RPD/DPO è introdotta e definita con gli artt. 37, 38 e 39 del GDPR.
Nel nostro articolo “GDPR e privacy: chi è il DPO e cosa fa? – Q&A sul Responsabile della protezione dei dati” spieghiamo approfonditamente compiti e competenze del Responsabile della Protezione dei Dati.
Se vogliamo però darne una definizione breve, possiamo dire che il RPD o DPO è un consulente tecnico e legale con competenze specialistiche in campo giuridico, informatico, della gestione del rischio, dell’analisi dei processi e ovviamente in campo privacy.
È necessario nominare un RDP/DPO solo nei casi definiti dall’art. 37 del GDPR, ma per tutti gli altri soggetti è sempre possibile nominarne uno su base volontaria.
Quando si designa un RPD/DPO, per obbligo o volontà, deve essere correttamente comunicato all’Autorità di controllo nazionale. Questo perché uno dei principali compiti svolti dal RPD/DPO è quello di fungere da collegamento tra gli enti o le aziende per cui fa da consulente e il Garante Privacy.
Ricordiamo inoltre che, in caso di nomina, i dati di contatto del RPD/DPO devono altresì essere inseriti nell’informativa privacy del sito web aziendale.
Per tutte le informazioni, gli approfondimenti e gli aggiornamenti ufficiali rimandiamo al sito del Garante Italiano nell’area “Responsabile della Protezione dei Dati (RPD / DPO)”.
Fateci sapere se la vostra attività rientra tra quelle obbligate alla nomina del DPO oppure, se state valutando di nominarne uno e non sapete a chi rivolgervi. Sapremo consigliarvi il professionista più adatto alle vostre esigenze.
2. Chi e come può sporgere un reclamo o una segnalazione e che differenza c’è tra uno e l’altro?
La segnalazione e il reclamo sono gli strumenti di tutela messi a disposizione dell’interessato (cittadino), il quale può far valere il proprio diritto alla protezione dei dati personali. Queste modalità di tutela sono differenziate e graduali.
I diritti degli interessati garantiti secondo il GDPR possono così essere riassunti:
- diritto di essere informato;
- diritto di opposizione;
- diritto di accesso;
- diritto di rettifica;
- diritto all’oblio;
- diritto alla portabilità.
In un primo momento, l’interessato può far valere i propri diritti (artt. 15-22) nei confronti dei soggetti che trattano i suoi dati. Il titolare del trattamento deve quindi adempiere alla sua richiesta entro un mese dal ricevimento della stessa.
Nel caso in cui la richiesta dell’interessato non venga soddisfatta, non sia soddisfacente o non sia eseguita entro i termini definiti dal GDPR, può rivolgersi direttamente al Garante attraverso una segnalazione o un reclamo.
Segnalazioni e reclami hanno delle similitudini, ma sono due strumenti di tutela differenti.
Tutti i cittadini possono scegliere di inviare una segnalazione al Garante, quando non è possibile presentare un reclamo e quindi non disponendo di sufficienti informazioni, oppure in caso in cui si voglia effettuare una semplice denuncia che induca il Garante ad effettuare un controllo.
Il reclamo invece, è un atto circostanziato con il quale l’interessato, direttamente oppure tramite legale o ente del terzo settore, rivolge al Garante una violazione della disciplina in materia di protezione dei dati. Il reclamo deve contenere quante più indicazioni possibili dei fatti e delle circostanze che dimostrano la violazione dei propri diritti oltre ai propri estremi identificativi, quelli del titolare e dell’eventuale responsabile dei dati.
Come anticipato ci sono però delle “cose in comune” fra questi due strumenti. Sia per la segnalazione che per il reclamo:
- non sono previsti particolari vincoli di forma (per entrambi sono disponibili dei modelli che inseriamo nei link utili qui sotto);
- non sono previsti costi per la presentazione;
- non è possibile richiedere eventuale risarcimento del danno direttamente al Garante.
Lasciamo qui di seguito dei link utili forniti dal Garante Privacy Italiano in merito ai diritti degli interessati e al loro esercizio tramite segnalazione o reclamo:
- I miei diritti per “conoscere i diritti riconosciuti alle persone in materia di protezione dei dati, scoprire le tutele previste dalla normativa vigente e come attivarle”.
- Conosci i principali diritti previsti dal Regolamento UE 2016/679 (scheda di sintesi in pdf).
- Esercizio dei diritti per “sapere come agire per tutelare i tuoi dati personali”.
- Che cos’è il reclamo e come si presenta al Garante (con modello di reclamo in formato .docx e .pdf).
- Segnalazione e reclamo – Gli strumenti di tutela a disposizione dell’interessato (scheda informativa in .pdf).
3. Cos’è un Data Breach e perché deve essere notificato al Garante della Privacy?
Il data breach è una violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali trattati. Ricordiamo che la semplice conservazione di dati personali è a tutti gli effetti un trattamento ai sensi del GDPR.
A questa pagina vengono forniti alcuni esempi di Data Breach che riportiamo:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
Il titolare del trattamento, se possibile, deve notificare la violazione al Garante entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Nel caso in cui la notifica al Garante venga effettuata dopo le 72 ore devono essere presentate le motivazioni del ritardo.
Il titolare deve inoltre comunicare anche agli interessati l’avvenuta violazione nel caso in cui tale violazione comporti un rischio per i diritti delle persone e il titolare non abbia già preso delle misure per ridurre l’impatto.
Il sito del Garante riporta che:
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
L’avvenuta violazione deve essere sempre documentata in un registro apposito dal titolare del trattamento cosicché l’Autorità di controllo possa effettuare le dovute verifiche sul rispetto della normativa. Questa documentazione deve essere sempre redatta, anche nei casi in cui non vi è l’obbligo di notifica al Garante.
Per la notifica di una violazione dei dati personali lo strumento ufficiale è il seguente:
Notifica di una violazione dei dati personali (data breach)
art. 33 del Regolamento (UE) 2016/679 – art. 26 del D.Lgs. 51/2018
https://servizi.gpdp.it/databreach/s/
Il bilancio dell’applicazione del GDPR
Ora che sappiamo il significato di quanto rappresentato nei report possiamo capire meglio i dati mostrati.
L’ultimo bilancio pubblicato è aggiornato al primo trimestre del 2023 e riporta quanto segue:
Se teniamo come punto di riferimento il primo trimestre dell’anno in corso e lo confrontiamo con il primo trimestre degli anni precedenti possiamo notare l’aumento in percentuale delle voci considerate: le comunicazioni dei dati di contatto degli RPD/DPO, il numero di reclami e segnalazioni pervenute al Garante e le notifiche di data breach.
Conclusioni e Raccomandazioni
Ad integrazione di questi dati consigliamo la lettura dell’articolo “GDPR e privacy: come si stanno muovendo le Autority? – Una panoramica delle violazioni del Regolamento Europeo” in cui facciamo una panoramica di multe e sanzioni a livello europeo e dell’articolo “GDPR e privacy: quali sono gli errori ricorrenti delle aziende italiane? – La TOP 10 degli articoli del GDPR più sanzionati dal Garante Italiano” in cui analizziamo nello specifico le violazioni delle aziende italiane.
Hai dubbi o necessiti di una consulenza dedicata?
Vedi rendere conforme il tuo sito web alla normativa privacy e cookie?
Vuoi adeguare i trattamenti di dati personali della tua azienda, il tuo studio professionale o attività commerciale?
Contattaci oggi stesso a privacy@microteam.it o compilando il form nella pagina contatti
Dal 2000 Microteam aiuta aziende, professionisti e commercianti che trattano dati personali a farlo in conformità alle principali normative nazionali ed estere.
Ci occupiamo della visibilità, sicurezza e aggiornamento del tuo sito web.
Sei sicuro che il tuo sito web rispetti il GDPR e le altre normative privacy / cookie internazionali?
Sei sicuro che il tuo sito web rispetti il GDPR e le altre normative privacy / cookie internazionali?