A partire dal 25 maggio 2018 è operativo in Italia il nuovo regolamento europeo relativo alla protezione dei dati (cd. General Data Protection Regulation GDPR).
Da tale data il nostro paese dovrà adeguarsi alle nuove regole in tema privacy. Ciò vuol dire che amministrazioni pubbliche e aziende dovranno conformarsi alla nuova normativa, che tutela in maniera preponderante i diritti della persona, pena – in caso di violazioni – il pagamento di sanzioni pecuniarie molto alte che, per esempio, vanno anche sino ad un massimo di 20 milioni di Euro e/o al 4% dell’intero fatturato aziendale mondiale (se pensiamo alle multinazionali…. ).
Prima di affrontare le varie novità della normativa, è bene spiegare perché è importante che il singolo tuteli i propri dati. Da anni, con lo sviluppo tecnologico e la globalizzazione, è sempre più facile la raccolta di dati strettamente personali che portano ad una vera e propria profilazione della persona, che può incidere sia sui semplici gesti quotidiani, come in tema di acquisti, che su aspetti più importanti della vita quali la concessione di un mutuo, il valore del premio per una polizza assicurativa piuttosto che l’inizio o la cessazione di un rapporto di lavoro. Per tali ragioni si è reso necessario predisporre un più solido sistema di protezione del diritto alla riservatezza delle persone fisiche.
Il GDPR si compone di 99 articoli e numerosi adempimenti, che necessitano di interventi programmati nel tempo e calibrati in funzione della struttura organizzativa aziendale e degli studi professionali. I più urgenti sono: la nomina di un Data Protection Officer, la tenuta del registro dei trattamenti aggiornato e la corretta gestione di eventuali data breach.
Alcuni adempimenti vengono “ereditati” dal Codice della Privacy (d.lgs. 196/2003) e rivisitati dal GDPR. E’ il caso dell’informativa e del consenso.
Il sistema delle misure di sicurezza è stato rivoluzionato sull’idea di “accountability”: una strategia operativa che pone l’accento sulla “sostanza” dell’adempimento e sulla sua verificabilità esterna. Il GDPR non dice cosa esattamente bisogna fare, ma è l’azienda che deve individuare le procedure migliori per raggiungere la finalità di garantire la privacy degli interessati e la liceità dei trattamenti minimizzando i rischi di perdita, sottrazione, distruzione e smarrimento di dati.
Ecco i concetti che introduce la nuova normativa:
- La scadenza dei dati. Enti e aziende che entrano in contatti con i dati della persona non possono tenerli ab libitum, ma dovranno indicare un periodo massimo entro il quale il dato verrà trattato, oltre il quale il trattamento sarà illegittimo.
- Il Dpo. Dovrà essere nominato un Data Protection Officer, un soggetto in possesso di specifici requisiti come competenza, esperienza, indipendenza, autonomia di risorse, con il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza ecc. Questa figura si coordinerà con il Responsabile della protezione dei dati, a cui vengono attribuiti sempre più stringenti obblighi, e si rapporterà al Garante della Privacy;
- Garanzie sul trattamento. Saranno previste regole più stringenti sin dalla progettazione del sistema di trattamento degli stessi, ivi compreso il cosiddetto “data breach”, principio in base al quale il titolare del trattamento dovrà comunicare eventuali violazioni esterne dei dati personali dei propri utenti al Garante nazionale e, nel caso in cui la violazione rappresenti una minaccia per i diritti e le libertà delle persone, dovrà informare dell’accaduto anche i soggetti interessati (titolari dei dati).
- L’informativa. L’obbligo di indicare in maniera chiara e precisa ai titolari dei dati e/o interessati quali sono i diritti che lo stesso può esercitare, ivi compreso il diritto di revoca, o il diritto di oblio, cioè ottenere la cancellazione dei propri dati personali dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità (come, per esempio, nell’ipotesi di una persona che è stata assolta da un’accusa di cui i giornali e le testate online avevano dato notizia) o anche più semplicemente la cancellazione dei dati presso una azienda, o il loro trasferimento, per esempio a causa dell’apertura di un nuovo contratto (pensiamo al concetto di “portabilità” quando si cambia compagnia telefonica).
- Il consenso. La normativa richiede che per avere un consenso legittimo da parte del titolare dei dati, esso debba essere sempre esplicitamente richiesto. Esso deve essere preventivo, chiaro, scritto ed inequivocabile, anche nel caso in cui venga espresso con mezzi elettronici, escludendo espressamente ogni ipotesi di consenso tacito; per i minori di 16 anni è inoltre previsto che il consenso al trattamento dei dati personali venga rilasciato da chi esercita la responsabilità genitoriale.
Altri cambiamenti portati dal Regolamento Europeo, in particolare per enti/imprese, in pillole.
FORO e LEGGI APPLICABILI
Prima la normativa era applicabile nel luogo in cui aveva sede il Titolare del trattamento dei dati, dal 25 maggio 2018 la legge applicabile è quella del soggetto i cui dati vengono raccolti.
1. DOVERE DI DOCUMENTAZIONE E INFORMAZIONE
Da maggio 2018 tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall'utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.
2. VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
Prima si preparava il Documento Programmatica sulla Sicurezza (DPS), con il Nuovo Regolamento Europeo si dovrà effettuare una valutazione degli impatti privacy analizzando i rischi, definendo i possibili gap rispetto alla corretta gestione dei rischi, stabilendo un piano per rimuoverli e controllando interventi ed effetti per ridurre i rischi. (cd PIA: Privacy Impact Assessment).
3. ABOLIZIONE DELLA NOTIFICAZIONE
Prima si doveva informare il Garante quando un particolare soggetto stava trattando dati per una particolare finalità, dal 25 maggio 2018 non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera assolto detto incombente.
4. OBBLIGO DI SEGNALAZIONE IN CASO DI VIOLAZIONE DEI DATI
Prima non era necessario comunicare violazioni nel trattamento dati, dal 25 maggio 2018 nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall'evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali.