Meglio adeguarsi per non incorrere in pesanti sanzioni
di Mirco Arcangeli
Con il nuovo Regolamento europeo in materia di protezione dei dati personali si avvia una nuova fase che modifica in maniera rilevante la materia “Privacy”.
Il nuovo Regolamento Europeo, pubblicato in Gazzetta il 4 maggio 2016, dopo due anni di moratoria, entrerà in vigore il 25 maggio 2018.
Cominciamo a prepararci poiché la scadenza si avvicina.
Il 25 maggio 2018 con l’entrata in vigore del nuovo RE 679/2016 verrà abrogato il Decreto Legislativo 196/2003, l’attuale Codice Privacy.
Il R.E. 679/2016 fa parte del Pacchetto protezione dati, un insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE, che supera la Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata.
Come per le direttive sostituite, l’oggetto e la finalità del Regolamento è la tutela delle persone riguardo al trattamento dei dati, e la loro circolazione.
Quindi lo scopo è far sì che i cittadini all’interno dell’Unione europea ottengano il pieno controllo dei loro dati personali, uniformando le differenti leggi nazionali in materia.
L’attenzione ai diritti del singolo non sottrae però l’attenzione allo sviluppo economico, poiché l’uso corretto e consapevole e la circolazione autorizzata dei dati potrebbe portare un avanzamento economico per coloro che li utilizzano in maniera consona.
Il Garante della Privacy ha reso disponibile una Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali.
Alla base del RE vi sono gli stessi fondamentali, presenti nel Codice Privacy che andrà ad esaurire il suo percorso: consenso, adempimento a obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
In particolare viene detto che il consenso al trattamento dei dati dell’interessato deve essere “eiettivo ed inequivocabile”, ma che non deve essere necessariamente documentato in “forma scritta”.
Quindi questo può avvenire anche mediante mezzi elettronici o essere verbale. Il consenso in forma di “dato” andrà comunque conservato alla stregua di qualsiasi documento elettronico. Informativa: gli articoli 13 e 14 elencano i contenuti obbligatori dell’informativa, che risulta più ampia rispetto a quella prevista dal Codice attuale. Ciò comporterà pertanto di verificare le informative attualmente in uso, e aggiornarle secondo le richieste.
Si aggiornano anche le definizioni, i vocaboli e termini utilizzati nell’ambito della privacy: in sostanza le definizioni si fanno molto più dettagliate, e contengono anche nuovi concetti (dati genetici e biometrici, tutte le definizioni relative all’impresa).
Ad esempio viene introdotta per la prima volta una definizione della profilazione dell’interessato, giuridicamente definita come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
In linea generale è vietata a meno che non vi siano circostanze specifiche, tra le quali il chiaro consenso informato dell’interessato. I trattamenti di profilazione rappresentano poi uno dei presupposti che rendono obbligatoria la valutazione preventiva di impatto sulla protezione dei dati. Pensiamo a quanto avvenuto con la cessione dei dati nel “caso Facebook”.
Gli articoli 11 e 12 stabiliscono, in via generale, le modalità per l’esercizio di tutti i diritti da parte degli interessati. Vengono modificati i limiti dei diritti già esistenti (all’accesso, all’oblio), modificati i campi di applicazione (diritto di limitazione al trattamento, esercitabile anche nel caso durante la richiesta di rettifica dei dati in attesa della modifica, o in caso di opposizione al loro trattamento) e introdotti nuovi diritti (diritto alla portabilità dei dati).
In sostanza il GDPR (General Data Protection Regulation – Regolamento UE 2016/679) richiede all’azienda di adottare un sistema di policy, misure organizzative e tecniche che consentano di avere un controllo continuo sulla conformità dell’azienda con la normativa privacy e che quindi siano sempre in aggiornamento, in grado di favorire l’esercizio dei diritti ed essere in grado di rispondere prontamente (in forma scritta, anche elettronica) alle richieste degli interessati.
Cambiano i doveri delle figure coinvolte nel trattamento (Titolare, responsabile e incaricato del trattamento). Sono numerose le nuove responsabilità. In particolare viene richiesto loro di cooperare con l’autorità di controllo, di tenere registri di competenze nei quali indicare caratteristiche, modalità e finalità dei trattamenti, di vigilare sul corretto funzionamento del sistema e sulla sicurezza dei dati.
Il nuovo Regolamento impatta anche su aspetti organizzativi aziendali: Analisi rischi e sicurezza: il nuovo trattamento della privacy dovrà provocare un aggiornamento dell’analisi rischi.
Se avviene una violazione di dati personali è necessario inviare una notifica al Garante della Privacy che contenga informazioni circostanziate del danno subito, e di quanti e quali dati siano compromessi. La stessa va inviata anche all’interessato.
Le sanzioni sono pesanti: sono comprese tra il 2 e il 4% del fatturato globale annuo per l’azienda che commette illecito, una cifra non indifferente.
Cambia l’organizzazione sulla sicurezza dei dati conservati, cambiano le modalità, dovremo rifare le informative per la richiesta di consenso, nuove figure professionali e ruoli saranno presenti, la tenuta del nuovo registro dei trattamenti e tanto altro.
Sono quindi molte le novità, e va effettuata un’adeguata verifica delle proprie situazioni per capire quali modifiche effettuare, con l’obiettivo di trovarsi pronti per il 25 maggio per non incorrere in sanzioni.