Premessa
Con il Regolamento Europeo UE 2016/679, che entrerà pienamente in vigore il 25 maggio 2018, sono stati definiti le modalità e le direttive per la protezione dei dati personali delle persone fisiche, nonché alla libera circolazione di tali dati.
Con vari provvedimenti il legislatore Italiano sta modificando il D.Lgs. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali”
Quadro normativo
L’art. 13 della Legge di delegazione europea 2016-2017, demanda al Governo il compito di adottare i decreti legislativi per adeguare entro 6 mesi (a partire dal 6/11/17) il quadro normativo nazionale al Regolamento UE 2016/679 (GDPR). Nell’esercizio della delega il Governo è tenuto ad abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, incompatibili con le disposizioni contenute nel regolamento; modificare il codice, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento, coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento.
Novità
Tra le novità la valutazione dei rischi dei trattamenti e, quando previsto, una valutazione di impatto, l’obbligo di adottare un livello di sicurezza adeguato al rischio, l’obbligo di segnalare le violazioni dei dati alla Autorità di controllo e, nei casi più gravi, agli interessati.
Anche per le aziende che in passato si erano adeguate alla normativa sulla Privacy, vi sono modifiche ed interventi da effettuare per adeguarsi al nuovo Regolamento: la protezione dei dati deve essere garantita fin dalla fase di ideazione e progettazione di un trattamento di dati (privacy by default e by design), spetta al Titolare del Trattamento la responsabilità di attuare procedure e politiche proattive (accountability) che tengano conto continuamente del rischio che uno specifico trattamento può comportare (Risk based approach) per i diritti e le libertà degli interessati.
Con il General Data Protection Regulation (GDPR) cambia l’informativa obbligatoria che dovrà contenere anche il periodo di conservazione dei dati, l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale, il diritto dell’interessato di proporre reclamo ad un’autorità di controllo, l’esistenza di un processo decisionale automatizzato, compresa la profilazione.
Per tutti i trattamenti che prevedono l’uso di “nuove tecnologie” si rende obbligatoria la nuova e fondamentale “Valutazione d’impatto sulla protezione dati” (DPIA Data Protection Impact Assessment) che si sostanzia nella valutazione degli aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato ovvero su un trattamento su larga scala.
Ulteriore novità è la figura del “Responsabile della protezione dei dati” (DPO Data Protection Officer) che può avere sede nella UE o extra UE, purché siano garantite le informazioni di contatto e la raggiungibilità: trattasi di una nuova figura aziendale assolutamente indipendente dalla governance e deputata a sorvegliare l’osservanza degli obblighi sulla protezione dei dati posti in capo al titolare o al responsabile del trattamento. Un titolare del trattamento dei dati che designa il proprio IT manager come DPO non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all’art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d’interessi, come prescritto nell’art.38, perché altrimenti il DPO dovrebbe in pratica controllare se stesso. Quando il Regolamento Ue sarà direttamente applicabile, non ci sarebbe quindi da stupirsi se anche l’Authority italiana multasse imprese che non hanno prestato attenzione a questi due requisiti essenziali.
Domande da porsi: Quali dati raccolgo? Quali sono le loro caratteristiche e in quali contesti vengono conservati e utilizzati?
Successivamente dotarsi del registro delle attività di trattamento. Si tratta di un documento in cui il titolare deve tenere traccia dettagliata delle attività compiute con dati relativi a dipendenti, fornitori, partner e soprattutto clienti (indicando in particolare le finalità del trattamento, le categorie dei dati e degli interessati, gli eventuali trasferimenti verso paesi terzi dei dati raccolti e le misure di sicurezza adottate).
Il Regolamento non fornisce indicazioni precise su quali siano le misure pratiche da adottare: l’approccio dovrà essere valutato caso per caso, tenendo in considerazione la natura, l’ambito di applicazione, il contesto e le finalità del trattamento.
Decorrenza e sanzioni
Il Codice privacy e il GDPR continueranno a coesistere e, dal 25 maggio 2018, l’adeguamento al Regolamento Europeo deve essere completo.
Le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo.