Dal 25 maggio 2018 troveranno applicazione le nuove regole sulla Privacy, introdotte dal Regolamento Europeo n. 2016/679.
Il nuovo Regolamento sulla Privacy contiene una disciplina unica per tutti i Paesi d’Europa relativa alla protezione dei dati delle persone fisiche. Non si applica ai dati ottenuti per finalità personali/domestiche e per dati relativi a società, per le quali continua ad applicarsi la “vecchia” normativa (Codice Privacy e Direttiva Comunicazioni elettroniche n. 58/2002).
Trattandosi di una disciplina complessa ed articolata, qui di seguito forniamo un sintetico elenco degli aspetti più rilevanti della nuova normativa, avvisando che tale riassunto non esaurisce gli obblighi a cui è chiamato il Titolare del trattamento ed i soggetti preposti al trattamento dei dati.
OGGETTO DEL TRATTAMENTO
La normativa si occupa di disciplinare il trattamento di dati personali suddivisi in tre categorie, a cui si applicano gradi diversi di protezione:
Dati comuni: nome, dati anagrafici, indirizzo, codice fiscale, carta di credito, immagine, ecc.
Dati particolari: i dati che nel Codice della Privacy venivano chiamati “dati sensibili” (origine razziale ed etnica, opinioni politiche, religione, dati relativi alla salute, dati relativi alla vita sessuale o alle abitudini sessuali), a cui sono stati aggiunti i dati genetici e quelli biometrici.
Dati penali: i dati relativi alle condanne penali, ai reati e alle misure di sicurezza applicate ad un soggetto.
I SOGGETTI
Garante: Autorità pubblica indipendente, sorveglia l’applicazione del Regolamento, esamina i reclami, rilascia autorizzazioni, approva codici di condotta, commina sanzioni amministrative.
Titolare: se persona giuridica, è l’azienda stessa nel suo complesso; se azienda individuale, è la persona del titolare. Al titolare sono attribuiti tutti gli obblighi di adeguamento alla normativa vigente e la responsabilità nel caso di sua violazione.
Responsabile: nelle aziende più strutturate, viene solitamente nominato un Responsabile della Privacy, che si occupa di coadiuvare il Titolare nell’adempimento degli obblighi imposti dalla normativa. Può essere un dipendente (solitamente di alto livello) dell’azienda, oppure un consulente esterno.
Incaricati: sono le persone che hanno accesso ai dati (solo persone fisiche), che ricevono le istruzioni dal Titolare/responsabile.
DPO: è colui che è incaricato di vigilare e verificare che siano state attuate tutte le procedure in materia di protezione dei dati personali previste dalla legge. Figura obbligatoria nel caso di Pubbliche Amministrazioni e nei casi in cui l’azienda esegua determinati tipi di trattamento dati considerati “rischiosi” per gli interessati.
Interessati: persone fisiche a cui i dati personali trattati dall’azienda si riferiscono.
ADEMPIMENTI
Il Regolamento conferma, modificandoli a maggior tutela degli interessati, alcuni adempimenti già introdotti dal Codice della Privacy, e ne introduce altri nuovi. Ecco i principali:
L’Informativa: prima di ogni trattamento dei dati l’interessato a cui i dati si riferiscono deve ricevere una adeguata informativa sull’identità e dati del Titolare del Trattamento, sui dati del DPO (ove presente), sulle finalità di acquisizione dei suoi dati personali, sulle modalità di trattamento, sulla possibilità di chiedere l’accesso, la modifica, la cancellazione, sul periodo di conservazione dei dati, sull’intenzione di trasferire i dati extra EU e le garanzia adottate, sul diritto di proporre reclamo al Garante in caso di violazione del trattamento, ecc.
Il consenso: quando il trattamento non trovi ragione nelle altre condizioni previste dalla legge (es. esecuzione di un contratto, obbligo di legge, ecc), ovvero nel caso di raccolta di dati “particolari” (dati relativi all’origine, alla razza, alla religione, alle opinioni politiche, ecc) l’interessato può autorizzare il Titolare al trattamento dei dati personali purchè il consenso sia: informato, specifico, libero, consapevole.
Il diritto di accesso dell’interessato: colui che rilascia i propri dati personali (per l’esecuzione di un contratto, per obbligo di legge o perché ha prestato il proprio consenso), può in qualunque momento chiedere di accedere ai propri dati al fine di verificarne la correttezza, chiederne la modifica, la cancellazione, la trasferibilità, ecc. Rispetto ai diritti contenuti nel Codice della Privacy il Regolamento rafforza i diritti dell’interessato con una definizione molto ampia che include ogni trattamento che va dalla raccolta alla distruzione dei dati ed aggiungendo – rispetto alla normativa precedente – il diritto all’oblio ed alla portabilità dei dati. Alla richiesta di accertamento/modifica/cancellazione/portabilità dei propri dati rivolta dall’interessato, il Titolare del trattamento ha l’obbligo di attivarsi fornendo all’interessato il servizio richiesto o informazioni entro termini prestabiliti dalla normativa.
Accountability: il Titolare è tenuto a dimostrare di aver adottato tutti gli accorgimenti necessari a garantire la protezione dei dati personali trattati. E’ un principio che pone in capo al Titolare del trattamento dei dati la responsabilità di organizzare l’impresa in modo tale da garantire il rispetto delle finalità del Regolamento.
Data protection by design e by default (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita): nell’ambito degli accorgimenti necessari alla protezione dei dati trattati, la normativa impone che il Titolare configuri il trattamento prevedendo fin dall’inizio quali procedure siano idonee al raggiungimento dello scopo, impiegandole in seguito in maniera automatica per il trattamento dei dati.
Registro dei trattamenti: le aziende con più di 250 dipendenti o, nel caso di aziende di dimensioni inferiori, che trattino in maniera non occasionale dati che possano presentare un rischio per i diritti e le libertà dell’interessato (dati particolari, dati relativi a condanne penali) devono munirsi di un registro dei trattamenti che raccolga le modalità di trattamento dei dati, le finalità, le categorie dei dati raccolti, le misure di sicurezza adottate, ecc. Il registro va tenuto in forma scritta, anche elettronica, e va esibito su richiesta del Garante.
Analisi dei rischi: viene richiesto che il Titolare dei dati esegua una valutazione dei rischi in base all’organizzazione della propria impresa ed alla natura e quantità dei dati trattati, al fine di predisporre le più adeguate misure di sicurezza dirette a garantire il corretto trattamento dei dati personali.
La valutazione d’impatto: nei casi in cui un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere al trattamento il Titolare deve effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. E’ una misura di prevenzione applicata in particolare a chi effettui una valutazione sistematica di aspetti personali in modo automatico, quali la profilazione; chi effettui trattamenti su larga scala di dati particolari o penali; chi effettui la sorveglianza sistematica su larga scala di zone accessibili al pubblico.
Notifica delle violazioni al Garante: in caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione al Garante ed agli Interessati senza ingiustificato ritardo.
Trasferimento dati a Paesi Extra UE: garantendo l’applicazione di una normativa unitaria in tutta Europa, il regolamento permette la libera circolazione dei dati tra gli Stati Membri. Per quanto riguarda il trasferimento di dati in Paesi Extra UE, lo stesso è previsto purchè vengano rispettate determinate condizioni (Paesi in White List, Protocollo “Privacy Shields”, Clausole Tipo, Corporate Binding Rules, Consenso informato, importanti motivi di interesse pubblico, ecc).
SANZIONI
Amministrative: il Garante, accertata la violazione del regolamento e/o l’errato trattamento dei dati personali e valutati diversi indici tra cui la natura e gravità dell’illecito, il carattere doloso o colposo dello stesso, l’eventuale recidiva, ecc, può comminare delle sanzioni amministrative pecuniarie nei confronti del Titolare del trattamento. Tali sanzioni possono raggiungere l’importo di 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Risarcimento del danno: oltre alle sanzioni amministrative, ciascun Interessato può agire avanti all’Autorità Giudiziaria competente per chiedere il risarcimento del danno subito dalla violazione dei propri dati personali.
Sanzioni penali: se la violazione del trattamento comporta la configurazione di reati per lo Stato Membro in cui è stata commessa, alle sanzioni amministrative e giudiziali per il risarcimento del danno si affiancano le azioni penali esperibili secondo le leggi dello Stato in cui la violazione è stata commessa.
Per una consulenza: info@iltuolegale.it – 02 94088188
Non si effettua consulenza legale gratuita.
E’ assolutamente vietata la riproduzione, anche parziale, del testo presente in questo articolo senza il consenso dell’autore. In caso di citazione è necessario riportare la fonte del materiale citato.