Il nuovo regolamento sulla Privacy

Cosa cambia con il nuovo Regolamento sulla Privacy

Il nuovo Regolamento europeo in materia di protezione dei dati personali è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) il 4 maggio 2016, e diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018. Il Regolamento è immediatamente esecutivo, ossia non ha bisogno di ottenere un recepimento con una normativa nazionale, ma è una disposizione direttamente applicabile in tutti i Paesi dell’Unione. L’Italia abrogherà la “Direttiva Madre” 95/46/CE, e sostituirà l’attuale Codice Privacy.

Sebbene manchi un anno all’entrata in vigore ufficiale i cambiamenti introdotti sono vari e importanti, e per le aziende conviene arrivare alla scadenza preparati, pena multe decisamente salate.

Il Regolamento fa parte del cosiddetto Pacchetto protezione dati, l’insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.

Oggetto e finalità del Regolamento è la tutela delle persone riguardo al trattamento dei dati, e la loro circolazione.

La finalità ultima del Regolamento è fare sì che i cittadini all’interno dell’Unione europea ottengano il pieno controllo dei loro dati personali, uniformando le differenti leggi nazionali in materia. Ogni articolo del testo è dunque orientato al raggiungimento di questo scopo tenendo in centrale considerazione l’utente finale e i suoi diritti. Questa visione che privilegia i diritti del singolo non sottovaluta però l’attenzione allo sviluppo economico, in quanto un uso consapevole e la circolazione autorizzata dei dati potrebbe portare un avanzamento economico per le aziende che li utilizzano in maniera consona. Oggi la circolazione dei dati all’interno dell’Unione europea è molto limitata a causa dei diversi livelli di protezione degli stessi per ogni stato, e il Regolamento intende unificare la protezione per poter così aprire la circolazione dei dati in tutti gli Stati, dando però il pieno controllo di questi ai cittadini.

Di fatto il diritto tutelato dal Regolamento è il diritto alla protezione dei dati, e il beneficiario è la persona fisica, mentre è esclusa la persona giuridica.

Il Garante della Privacy ha reso disponibile una Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, che affronta nel dettaglio gli argomenti fondamentali del nuovo Regolamento:

  • Fondamenti di liceità del trattamento: viene confermato come ogni trattamento necessita di fondamento in un’idonea base giuridica. L’articolo 6 indica quali sono i fondamenti, che coincidono con quelli già presenti nel Codice (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). In particolare viene detto che il consenso al trattamento dei dati dell’interessato deve essere “effettivo ed inequivocabile”, ma che non deve essere necessariamente documentato in “forma scritta”. Quindi questo può avvenire anche mediante mezzi elettronici o essere verbale. Il consenso in forma di “dato” andrà comunque conservato alla stregua di qualsiasi documento elettronico.
  • Informativa: gli articoli 13, paragrafo 1, e 14, paragrafo 1, elencano i contenuti obbligatori dell’informativa, che risulta più ampia rispetto a quella prevista attualmente dal Codice. Vanno pertanto assolutamente verificate le informative attualmente presenti, e aggiornate secondo le richieste. Il Regolamento consiglia di usufruire di icone standardizzate, per specificare all’interno del documento informativo i vari argomenti. Si aggiornano anche le definizioni, i vocaboli e termini utilizzati nell’ambito della privacy: in sostanza le definizioni si fanno molto più dettagliate, e contengono anche nuovi concetti (dati genetici e biometrici, tutte le definizioni relative all’impresa).
  • Diritti degli interessati: gli articoli 11 e 12 stabiliscono, in via generale, le modalità per l’esercizio di tutti i diritti da parte degli interessati. Vengono modificati i limiti dei diritti già esistenti (all’accesso, all’oblio), modificati i campi di applicazione (diritto di limitazione al trattamento, esercitabile anche nel caso durante la richiesta di rettifica dei dati in attesa della modifica, o in caso di opposizione al loro trattamento) e introdotti nuovi diritti (diritto alla portabilità dei dati). In sostanza è necessario adottare misure tecniche e organizzative in grado di favorire l’esercizio dei diritti ed essere in grado di rispondere prontamente (in forma scritta, anche elettronica) alle richieste degli interessati.
  • Titolare, responsabile e incaricato del trattamento: cambiano i doveri delle figure coinvolte nel trattamento. Sono numerose le nuove responsabilità per il titolare, il responsabile e l’incaricato del trattamento. In particolare viene richiesto loro di cooperare con l’autorità di controllo, di tenere registri di competenze nei quali indicare caratteristiche, modalità e finalità dei trattamenti, di vigilare sul corretto funzionamento del sistema e sulla sicurezza dei dati.
  • Accountability: viene posto in particolare risalto il concetto di “accountability”, ossia l’adozione di “responsabilità” da parte di titolare, responsabile e incaricato del trattamento di adottare tutte le misure necessarie possibili per proteggere le informazioni personali che gestiscono. Questa responsabilità deve essere documentata, e i dati relativi al trattamento sempre disponibili per eventuali controlli. Con le informazioni documentate conservate il titolare del trattamento dei dati deve essere in grado di dimostrare come ha implementato nel sistema azienda le adeguate misure giuridiche, organizzative e tecniche, per la protezione dei dati personali.

Inoltre il nuovo Regolamento impatta anche su aspetti organizzativi aziendali:

  • Analisi rischi e sicurezza: il nuovo trattamento della privacy dovrà provocare un aggiornamento dell’analisi rischi, in quanto le modifiche possono essere più restrittive rispetto al Codice Privacy per la valutazione dei rischi. Il titolare del trattamento dei dati ha il dovere di effettuare una adeguata analisi rischi e di analizzare se le misure prese per la tutela dei dati siano conformi. L’analisi basata sul rischio deve identificare tutti i possibili rischi connessi al trattamento, e adottare in conseguenza misure adeguate che tengano in conto dei principi di trasparenza oltre ai principi di privacy by design e by default. Infatti il regolamento impone di progettare sistemi già disegnati sul principio della protezione dei dati personali, e che abbiano come impostazione predefinita solo l’utilizzo di dati necessari per le loro finalità.
  • Violazione dei dati: se avviene una violazione di dati personali è necessario inviare una notifica al Garante della Privacy che contenga informazioni circostanziate del danno subito, e di quanti e quali dati siano compromessi. Quest’obbligo coinvolge tutti, e la notifica va inviata anche all’interessato della violazione nel caso sia presente in ragione della stessa un elevato rischio per i suoi diritti.
  • Nuova figura del Data Protection Officer: ossia il responsabile della protezione dei dati personali, nuova figura introdotta obbligatoriamente per le Pubbliche Amministrazioni, ma anche per le imprese, nelle quali dovrà essere nominato nel caso vengano trattati dati considerati sensibili su larga scala o monitoraggio sistematico degli interessati. Il DPO potrà essere potrà essere interno o esterno. Tra i suoi requisiti sicuramente figura un’ampia conoscenza della normativa, oltre che competenze giuridiche e informatiche. I suoi compiti principali saranno analizzare, valutare, gestire e se necessario disciplinare la gestione del trattamento, e il suo obiettivo primario quello di salvaguardare i dati personali conservati all’interno dell’azienda o della PA. Deve essere in grado di supervisionare il trattamento dei dati personali in maniera indipendente, ed agire in stretto contatto con l’amministrazione, per poter introdurre in caso di bisogno misure correttive immediate.
  • Codici etici e certificazioni: il nuovo regolamento spinge verso codici di autoregolamentazione e ricorso a certificazioni dei trattamenti.

Dal punto di vista dell’utente sono agevolate le pratiche di restituzione dei dati trasmessi all’azienda, il diritto a non subire profilazioni inconsapevoli, e in caso di problemi l’utente può segnalare eventuali violazioni alle autorità del proprio paese.

Le sanzioni sono pesanti: sono comprese tra il 2 e il 4% del fatturato globale annuo per l’azienda che commette illecito, una cifra non indifferente.

Le nuove autorità che si occupano di privacy sono il Comitato europeo di controllo, che assicura che il regolamento venga uniformemente applicato negli stati membri, e l’autorità di controllo di ogni Stato membro. Per l’Italia questa figura è il Garante per la protezione dei dati personali.

Come già detto il periodo transitorio va dal 25 maggio 2016 fino al 25 maggio 2018, ed è in questo lasso di tempo è aperta una fase di verifica per gli stati membri, le autorità di controllo (nel nostro caso il Garante della Privacy), e per i titolari del trattamento. Per quanto riguarda la retroattività il Regolamento sancisce che non occorre rinnovare le richieste di consenso per il trattamento dei dati, in quanto se questo è stato espresso secondo modalità conformi nella disciplina previgente questa rimane valida.

Insomma: molte novità da controllare, e una data specifica entro la quale farlo. Le attività di aggiornamento al Regolamento europeo sono numerose e impattano su diversi processi, oltre che sull’organizzazione di aziende e Pubbliche Amministrazioni. Gli argomenti sono molteplici, ed è assolutamente necessario adeguarsi per non incorrere in sanzioni.

  Fonte: Entaksi Solutions S.r.l.    

Segui Nuvola Toscana!