25 maggio 2018: al via il nuovo Regolamento Europeo sulla protezione dei dati personali

Un’opportunità per la propria organizzazione aziendale, cambia la privacy e le novità sono molteplici

Dal 25 maggio 2018 entra in vigore il G.D.P.R., nuovo Regolamento Europeo (Regolamento (UE) 2016/679) in materia di protezione dei dati personali.

Le modifiche alla normativa sulla Privacy sono di carattere sostanziale ed impongono, a fronte di una postulata maggior tutela dei dati personali delle persone fisiche, una serie di importanti adempimenti a cui le imprese sono tenute ad adeguarsi.

Di seguito un riepilogo delle principali novità introdotte:

  • Titolare, responsabile, incaricato del trattamento

Il Regolamento continua a definire le caratteristiche soggettive, le responsabilità del titolare e del responsabile del trattamento, mantenendo le caratteristiche principali di tali figure, così come già previste dal Codice privacy – D. Lgs. 196/2003.

Le novità riguardano invece specifici oneri a cui tali soggetti dovranno conformarsi:

  • La tenuta di uno specifico registro dei trattamenti svolti, obbligatorio per tutti gli organismi con più di 250 dipendenti e per tutti quelli che effettuano trattamenti a rischio, ovvero di dati sensibili;
  • L’adozione di misure tecniche e organizzative per garantire la sicurezza dei trattamenti e la conformità a tutte le disposizioni previste nel Regolamento.
  • La disegnazione di un RPD – DPO (“Data protection officer”o “Responsabile per la protezione dei dati”), obbligatoria in determinati casi ovvero quando le principali attività del titolare o del responsabile del trattamento consistono nella gestione, su larga scala, di categorie particolari di dati personali oppure quando venga richiesto un monitoraggio regolare e sistematico degli interessati su larga scala.
  • Informativa

L’informativa rimane un documento di primaria importanza essendo elevata dal Regolamento a diritto fondamentale dell’interessato.

Deve essere fornita prima o comunque nel momento in cui i dati sono ottenuti dal titolare del trattamento il quale deve sempre specificare: la propria identità e quella dell’eventuale rappresentante, le finalità del trattamento, i diritti degli interessati, l’eventuale responsabile del trattamento, la sua identità ed infine i soggetti destinatari dei dati.

Contenuto

Alcune modifiche introdotte dal Regolamento riguardano anche il contenuto dell’informativa, quest’ultimo viene elencato in modo tassativo ed è in parte più ampio rispetto al Codice privacy. In tal senso deve essere specificato anche il periodo di conservazione dei dati tratti, (o dei criteri utilizzati per determinarlo).

Nell’informativa inoltre, il titolare deve sempre specificare i dati di contatto del RPD – DPO ove presente rendendo altresì esplicita la base giuridica del trattamento, qual è il suo interesse legittimo ovvero la ragione che ne autorizza il relativo trattamento: (generalmente identificato nel consenso o nell’adempimento di obblighi contrattuali).

Va infine espressamente indicata l’intenzione di trasferire i dati a un paese terzo e le garanzie appropriate/opportune; il diritto di proporre reclamo ad un’Autorità di controllo; l’esistenza di un processo decisionale automatizzato, compresa la profilazione.

Modalità

Visto che l’informativa prima era spesso lunga, a volte incomprensibile e con molti richiami complessi, il Regolamento impone che la stessa debba essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile e in tal senso viene ammesso l’utilizzo di icone volte a presentarne i contenuti.

Deve essere data generalmente per iscritto e cambiano i requisiti richiesti per un eventuale esonero.

  • Consenso

La principale base giuridica al trattamento dei dati rimane il consenso, quest’ultimo viene espressamente qualificato come condizione di liceità del trattamento e viene definito quale manifestazione di volontà che deve essere richiesta dal titolare del trattamento all’interessato per trattare i dati di quest’ultimo.

Le principali novità riguardano i dati sensibili per il quale il consenso deve essere sempre informato, libero, specifico, inequivocabile e lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati.

Inoltre non dover essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta” anche se si suggerisce vivamente di adottare quest’ultima modalità in quanto idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”.

  • Nuovo approccio basato sul rischio e misure di “responsabilizzazione” di titolari e responsabili

Il Regolamento introduce inoltre un principio di cosiddetta “responsabilizzazione” (accountability) di titolari e responsabili. Gli stessi infatti sono tenuti ad adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

Si apre così un margine molto delicato di flessibilità dove il titolare potrà scegliere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali e dovrà essere in grado di dimostrare autonomamente il rispetto alle nuove disposizioni.

In conformità a questo nuovo approccio vengo introdotti nuovi diritti, nuovi criteri di valutazione e specifiche attività:

  • Nuovi diritti

Diritto di cancellazione (diritto all’oblio)

Viene introdotto il diritto all’oblio come un diritto alla cancellazione dei propri dati personali in forma rafforzata.

Diritto di limitazione del trattamento (art. 18)

È un diritto differente e più ampio rispetto al “blocco” del trattamento del Codice privacy.

Diritto alla portabilità dei dati (art. 20)

Tale diritto, strettamente connesso al diritto di accesso, se ne differenzia e introduce la possibilità rivolta agli interessati di ricevere i dati personali da loro forniti al titolare del trattamento, in un formato strutturato, di uso comune e leggibile meccanicamente, e di trasmetterli a un diverso titolare. L’obiettivo ultimo è quello di accrescere il controllo degli interessati sui propri dati personali.

  • Data protection by default and by design

Viene introdotto un criterio per il quale la configurazione del trattamento deve avvenire sulla base di una serie di garanzie che tutelino tutti i requisiti del regolamento. Il fine è quello di tutelare i diritti degli interessati sulla base di un sistema idoneo predisposto a monte in funzione dei diritti stessi e del contesto complessivo.

  • Obblighi collegati al rischio

Vengono infine introdotti una serie di obblighi correlati ad un principio che tiene in considerazione il rischio inerente al trattamento dei dati. Nello specifico si prevede:

Notifica delle violazioni di dati personali

Viene esteso a tutti i titolari l’obbligo di notifica all’Autorità di controllo delle violazioni di dati personali di cui vengano a conoscenza, entro 72 ore se si ritiene probabile che da tale violazione possano derivare dei rischi per i diritti e le libertà degli interessati.

Valutazione d’impatto

Viene introdotta una nuova procedura definita Valutazione d’impatto (“Data Protection Impact Assessement” D.P.I.A.), consistente in un processo di valutazione da parte del titolare, volto all’individuazione delle misure tecniche e organizzative idonee a mitigare i rischi in relazione alla tipologia di dati trattati.

  • Sanzioni

La violazione del Regolamento comporta l’applicazione di sanzioni inasprite rispetto al passato, che possono arrivare, a seconda della gravità dell’infrazione, fino al 4% del fatturato mondiale (anche di Gruppo) o a € 20 milioni (il maggiore dei due importi).

Come si nota vengono introdotte numerose modifiche sostanziali alla disciplina normativa sulla Privacy, con dei risvolti anche pratici che impongono alle imprese una doverosa valutazione del modo attuale di operare in relazione ai dati personali, al fine di intraprendere un processo di adeguamento volto al rispetto della nuova normativa.

Che cosa fare?

Si consiglia di eseguire un’attività di analisi dei propri documenti privacy, della contrattualistica, dei processi di trattamento dei dati e della propria organizzazione aziendale al fine di valutare il grado di complessità dell’intervento di adeguamento.

Fra i vari adempimenti necessari, ogni soggetto coinvolto, impresa o professionista, dovrà generalmente:

  • dotarsi di informative privacy conformi al Regolamento: Informativa Clienti/Fornitori; Informativa Dipendenti; Informativa Wi – fi; Privacy Policy e Cookie Policy per eventuali siti web e pagine Social (Facebook, Twitter);
  • predisporre un adeguato sistema di nomine (e.g., lettera di nomina Incaricato/Autorizzato al Trattamento dei dati personali, lettera nomina del Responsabile Esterno del trattamento dei dati personali”, etc.).
  • valutare obbligo/opportunità di nomina di un D.P.O. (Data Protection Officer);
  • valutare obbligo/opportunità di introdurre il Registro dei Trattamenti dei Dati Personali;
  • predisporre le indicazioni necessarie per rendere gli applicativi informatici utilizzati dalla società conformi al G.D.P.R., con particolare riguardo al principio della c.d. privacy by design;
  • valutare obbligo/opportunità di predisporre il regolamento per l’uso dei pc, dei dispositivi, della mail aziendale, dei servizi cloud, etc.;
  • valutare ogni altro e più opportuno intervento necessario al fine di adeguarsi correttamente alle disposizioni del Regolamento.

A tale scopo, LexNext – Studio Legale è in grado di offrire tutte le informazioni, le competenze e le professionalità necessarie per orientarsi in questo cambiamento ed adeguarsi alla nuova normativa.

 

Dott. Luca Scibelli

By | 2018-05-23T20:56:53+00:00 maggio 23rd, 2018|Senza categoria|0 Comments