Regolamento UE 2016/679 – Privacy
Il nuovo Regolamento (UE) 2016/679 (GDPR – General Data Protection Regulation) ha lo scopo di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali (qualsiasi informazione che riguarda una persona fisica identificata o identificabile). Nel regolamento vengono pertanto definite le norme per il trattamento dei dati personali, e le norme relative alla libera circolazione di questi dati.
Il nuovo regolamento prevede regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).
Il regolamento si applica al trattamento automatizzato e non automatizzato di dati personali (quindi riferiti a persone fisiche, non a persone giuridiche) contenuti o destinati ad un archivio (digitale o cartaceo).
Consenso
Ogni qualvolta si mettono in atto attività che richiedono il trattamento di dati personali è necessario il consenso preventivo ed esplicito da parte dell’interessato, pertanto il titolare del trattamento deve poter dimostrare che il consenso è stato effettivamente prestato. Il consenso prevede che vi sia una chiara, semplice ed esaustiva informativa sul trattamento dei dati, sui diritti dell’interessato e la possibilità di poterli verificare, modificare e richiedere la cancellazione.
Informazione
L’informativa relativa al trattamento dei dati personali richiede la presenza di più informazioni rispetto a quella in vigore con l’attuale normativa; essa deve essere di facile accesso per l’interessato e deve quindi essere scritta in un linguaggio chiaro e semplice.
Tale informativa deve essere fornita prima di effettuare la raccolta dei dati, nel caso in cui sia l’interessato stesso a fornirli; se invece non è l’interessato stesso a fornirli, il titolare è tenuto a fornirgli l’informativa entro un termine ragionevole dall’ottenimento dei dati personali, in ogni caso non più tardi di un mese.
Se il titolare decide di utilizzare i dati raccolti per una finalità diversa da quella iniziale, prima di poterlo fare è obbligato a fornire all’interessato le informazioni relative alla nuova finalità.
I diritti dell’interessato
Diverse sono le tipologie di diritti che l’interessato può esercitare (e che devono essere garantiti): diritto di accesso, diritto di rettifica, diritto alla cancellazione (diritto all’oblio), diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione al trattamento.
Nel caso in cui l’interessato decida di avvalersi di uno di questi diritti, il titolare è obbligato a fornire una risposta scritta, chiara, trasparente e facilmente accessibile, entro un mese dalla richiesta, anche nel caso in cui la risposta fosse un rifiuto. L’esercizio dei diritti citati è gratuito, salvo il caso in cui le richieste siano infondate o eccessive.
Titolare del trattamento: gli obblighi
Protezione dei dati
Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate al fine di garantire i principi di protezione dei dati e dei diritti degli interessati. Tali misure devono essere periodicamente riesaminate e aggiornate.
- Protezione dei dati fin dalla progettazione: prima di procedere con il trattamento dei dati veri e propri è necessario prevedere le garanzie indispensabili per poter soddisfare i requisiti richiesti dal regolamento, tutelando quindi i diritti degli interessati.
- Protezione dei dati per impostazione predefinita: il titolare del trattamento è obbligato ad attuare delle misure tecniche e organizzative adeguate al fine di garantire che, di default, non siano resi accessibili dati personali ad un numero indefinito di persone, mediante, ad esempio, opportune procedure di autorizzazione e autenticazione.
Contitolarità del trattamento
È possibile che due o più titolari operino come contitolari del trattamento; in tal caso sono obbligati a concordare in modo trasparente e mediante un contratto, la ripartizione delle responsabilità del trattamento, con particolare riguardo all’esercizio dei diritti degli interessati e ai connessi obblighi informativi.
Nomine
- Responsabile del trattamento: il titolare può nominare un responsabile che effettui il trattamento per suo conto, sul quale ricadranno tutti gli obblighi in materia di protezione dei dati che ricadevano sul titolare del trattamento. Tale figura, come tutte le figure che sono autorizzate ad accedere ai dati personali, devono essere preventivamente istruite dal titolare.
- Rappresentante del trattamento: nel caso in cui il trattamento dei dati personali sia relativo ad interessati che si trovano nell’Unione da parte di titolare e/o responsabili non stabili dell’UE, il titolare o il responsabile deve designare per iscritto un proprio rappresentante nell’Unione, il quale diventerà l’interlocutore della competente autorità di controllo e degli interessati.
- Responsabile della protezione dei dati (Data Protecntion Officer – DPO): il DPO è una figura che ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina “privacy” ed è l’interlocutore dell’autorità di controllo. La nomina di tale figura è obbligatoria quando il titolare del trattamento è autorità/organismo pubblico, effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Il responsabile può essere nominato tra i dipendenti del titolare o del responsabile del trattamento, oppure essere esterno ed assolvere i propri compiti in base a un contratto di servizi.
Valutazione dei rischi
L’approccio del regolamento si basa sul risk assessment. In tutte le attività è necessaria una valutazione dei rischi che comprenda anche un piano di misure di prevenzione e protezione, in modo analogo a quanto prevede il DLgs 81/2008 in materia di salute e sicurezza sul lavoro.
Sono richiesti in particolare:
- mappatura dei processi;
- analisi e valutazione dei rischi;
- definizione delle misure necessarie.
Registro e valutazione di impatto
Registro delle attività di trattamento
Nei contesti con almeno 250 dipendenti o che, anche con un numero inferiore di dipendenti, effettuino un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, è l’adozione del Registro delle attività di trattamento, riportante una mappa dettagliata di tutti i trattamenti effettuati.
Valutazione di impatto e consultazione dell’autorità di controllo
In modo analogo, quando il trattamento mette a rischio diritti e libertà delle persone fisiche, è necessaria la valutazione d’impatto sulla protezione dati e consultazione dell’autorità di controllo.
Se tale Valutazione d’impatto sulla protezione dei dati confermi che il trattamento potrebbe presentare un rischio elevato in assenza di misure adottate dal titolare per attenuarlo, egli deve, prima di procedere con trattamento, consultare l’autorità di controllo (consultazione preventiva). Se l’autorità di controllo ritiene che il trattamento violi il regolamento, deve fornire un parere scritto al titolare entro un termine di otto settimane dal ricevimento della richiesta di consultazione.
Trasferimento in paesi terzi
Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale deve essere effettuato nel rispetto di specifiche condizioni così da non pregiudicare il livello di protezione delle persone fisiche garantito dal Regolamento.
Incidenti e violazioni
Nel caso in cui avvenga una violazione dei dati, e si ritenga che da essa possano derivare dei rischi per i diritti e le libertà degli interessati, il titolare del trattamento è tenuto a notificare, possibilmente entro 72 ore, la violazione all’autorità di controllo competente.
Se si reputa che tale violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a comunicare la violazione all’interessato. Non vi è l’obbligo di comunicazione all’interessato nel caso in cui, il titolare, abbia cifrato i dati rendendoli incomprensibili a chiunque. Rimane comunque obbligatorio, in ogni caso, per i titolari di trattamento, collaborare con l’autorità di controllo quando questa gliene faccia richiesta e documentare ogni violazione dei dati personali, anche se non notificate all’autorità di controllo e/o agli interessati.
Il titolare è tenuto, inoltre, a risarcire il danno materiale o immateriale causato da una violazione del Regolamento, a meno che non dimostri che l’evento dannoso non gli è in alcun modo imputabile.
Adempimenti volontari
Il titolare del trattamento può aderire in modo volontario a codici di condotta o a sistemi di certificazione, attraverso cui può implementare in modo significativo la sicurezza dei trattamenti e dimostrare la conformità delle attività di trattamento ai requisiti stabiliti dal Regolamento.
Termini di adeguamento
I titolari di trattamento devono verificare che tutti i contratti o altri atti giuridici attualmente in vigore, siano conformi a quanto previsto dal nuovo Regolamento. Il regolamento è in vigore dallo scorso 25 maggio 2018.
Sanzioni
Le violazioni delle disposizioni sopra indicate, possono comportare sanzioni amministrative e pecuniarie decisamente importanti e commisurate al fatturato dell’organizzazione.