La normativa sulla privacy è stata recentemente riformata dal Regolamento Ue 679/2016, noto come GDPR (General Data Protection Regulation), direttamente applicabile in tutti gli Stati membri dal 25 maggio 2018.
Il trattamento e la libera circolazione dei dati personali delle persone fisiche necessitavano di un quadro normativo più omogeneo tra gli Stati membri, in vista di un ruolo sempre più rilevante della tecnologia e dell’informatica, in particolare dei social media.
Qui di seguito un breve elenco delle più importanti novità introdotte dal Regolamento europeo.
- Il consenso (art. 7 GDPR)
Viene introdotto il principio dell’inequivocabilità del consenso.
Il consenso deve essere esplicito (ma non necessariamente scritto) sia per il trattamento di dati “sensibili” che per le decisioni basate su trattamenti automatizzati (compresa la profilazione). Conseguenza diretta è l’inammissibilità di un consenso tacito o presunto.
- L’informativa (art. 12 GDPR)
La differenza sostanziale rispetto al passato sta nel testo dell’informativa. Le vecchie informative erano lunghissime e con numerosi riferimenti normativi, quelle post riforma dovranno essere concise, trasparenti, intelligibili per l’interessato e facilmente accessibili, con un linguaggio chiaro e semplice.
I Diritti riconosciuti agli interessati
- Il Diritto di accesso ai dati (art. 15 GDPR)
L’interessato ha diritto ad ottenere dal titolare l’accesso ai dati che lo riguardano nonché il diritto di conoscere le finalità perseguite con il trattamento avente ad oggetto i propri dati, i destinatari a cui verranno comunicati, la durata del trattamento ed infine, le eventuali conseguenze di un trattamento basato sulla profilazione.
- Il Diritto all’oblio (art. 17 GDPR)
Il Diritto alla cancellazione (anche conosciuto come “Diritto all’oblio”) in passato riconosciuto esclusivamente a livello giurisprudenziale, per la prima volta riceve una espressa regolamentazione.
Nello specifico consiste nel diritto di un soggetto ad essere “dimenticato”, in buona sostanza al ricorrere di una delle condizioni individuate nel GDPR il soggetto interessato potrà esigere la cancellazione dei propri dati personali da parte del titolare del trattamento, che dovrà attivarsi senza ritardo.
- Il Diritto alla limitazione del trattamento (art. 18 GDPR)
Il soggetto interessato può esigere la limitazione del trattamento dei propri dati personali, nei casi individuati dal GDPR come la violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), ma anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento.
- Il Diritto alla portabilità dei dati (art. 20 GDPR)
L’interessato ha diritto di ricevere dal titolare del trattamento i propri dati personali, in un formato strutturato, di uso comune, e leggibile da dispositivo informatico, al fine di memorizzarli su un dispositivo proprio (o nella propria disponibilità) ed eventualmente (ma non è lo scopo indispensabile del diritto) trasferirli a un altro titolare.
Le nuove figure coinvolte nella tutela della privacy
- Designazione del “Data Protection Officer” (art. 37 GDPR)
Il Regolamento prevede una nuova figura: il Responsabile della protezione dei dati personali (“Data Protection Officer” – DPO).
La designazione di tale soggetto è obbligatorio quando i dati vengono trattati da un soggetto pubblico e, nel caso di soggetti privati, quando le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e quando consistono nel trattamento, su larga scala, di dati sensibili o giudiziari.
Il titolare del trattamento deve definire esplicitamente l’ambito di responsabilità e i compiti del DPO.
Adempimenti e poteri dei soggetti designati
- Principio di “Accountability” (art. 22 GDPR)
Il regolamento pone l’accento sul principio di responsabilizzazione o “Accountability” dei titolari e dei responsabili, esso consiste nell’adozione di tutte le misure necessarie al fine di garantire una protezione effettiva dei dati che saranno oggetto di trattamento.
Il trattamento dei dati sarà quindi oggetto di un processo aziendale da gestire sin dalla fase ideativa mediante un modello organizzativo specifico.
- Registro delle attività di trattamento (art. 30 GDPR)
La redazione di questo Registro è obbligatoria per le aziende con oltre 250 dipendenti ed ha la funzione di documentare tutte le attività di trattamento dei dati personali effettuate dall’azienda stessa.
- Privacy by design e Privacy by default (art. 25 GDPR)
Questi concetti si collegano al principio di responsabilizzazione poc’anzi trattato.
Per Privacy by design si intende la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo, anche nella valutazione dei rischi ab origine (Risk based approch) Per Privacy by default il titolare del trattamento deve assicurarsi di mettere in atto tutte le misure idonee a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
- La notificazione dei “Data breaches” (art. 33 GDPR)
I titolari del trattamento al fine di garantire il rispetto dei principi applicabili al trattamento dei dati personali sono tenuti a comunicare tempestivamente (entro 72 ore dall’accaduto) alle autorità eventuali violazioni dei sistemi di sicurezza che possano determinare in maniera accidentale o illecita la distruzione e la conseguente perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati.
- Valutazione d’impatto sulla protezione dei dati personali (art. 35 GDPR)
Per DPIA, Data Protection Impact Assessment, si intende l’analisi dei rischi generati dal trattamento dei dati a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati.
L’analisi dei rischi deve necessariamente essere svolta in una fase preliminare alla raccolta del dato, prima dell’inizio di ogni operazione di trattamento in modo da rispettare il principio della privacy by design.
- Trasferimento dei dati verso Paesi extra UE (art. 44 GDPR)
Il regolamento, nell’ottica di una tutela omnicomprensiva del trattamento dei dati personali, individua una serie di requisiti per il loro trasferimento fuori dall’UE. Tali trasferimenti possano infatti comportare un rischio rilevante per gli interessati, e la prospettiva del GDPR è quella di garantire il medesimo livello di protezione che gli stessi avrebbero (con riferimento ai loro dati) se rimanessero in UE.
- Sanzioni (art. 84 GDPR)
Con l’entrata in vigore del Regolamento, il quadro sanzionatorio è ben più severo, non soltanto per ciò che riguarda l’entità degli importi, ma anche per quanto concerne le ipotesi per cui possono essere comminate le sanzioni.
VP
