La nuova Privacy: cosa cambia dal 25 maggio
Dal 25 maggio 2018 troverà applicazione la nuova disciplina in materia di Protezione dei dati (Privacy) contenuta nello specifico Regolamento UE.
Ogni trattamento di dati deve rispettare i fondamenti di liceità, correttezza e trasparenza e anche nella nuova disciplina assume particolare importanza l’Informativa all’interessato ed il consenso dello stesso.
La nuova disciplina, improntata sulla “responsabilizzazione” (accountability) del Titolare e del Responsabile del trattamento dei dati, introduce la nuova figura del Responsabile della protezione dei dati (RPD o DPO).
Di seguito si propone una breve disamina della nuova disciplina:
La crescente preoccupazione per il furto e l'abuso dei big data e delle informazioni personali ha condotto l'Unione Europea all'approvazione del regolamento generale sulla protezione dei dati (GDPR) che applica il diritto alla protezione dei dati personali di ogni individuo in tutta l'Unione Europea con effetto dal 25 maggio 2018. Con tale Regolamento (27 aprile 2016, n. 679 GDPR) il Legislatore comunitario ha “uniformato” la disciplina in esame applicabile negli Stati membri a decorrere dal 25 maggio 2018.
L'obiettivo è quello di semplificare il contesto normativo per le imprese internazionali armonizzando gli atti di protezione dei dati tra stati membri.
ENTRATA IN VIGORE
Il GDPR si applica a qualsiasi società, entità o organizzazione che opera all'interno dell'UE e ad organizzazioni al di fuori dell'UE che offrono beni o servizi a clienti o imprese nell'UE prevedendo obblighi legali al responsabile del trattamento dei dati per la conservazione e modalità di elaborazione dei dati personali, fornendo un alto livello di responsabilità legale qualora l'organizzazione violi il regolamento.
I dati protetti dal GDPR sono:
• Dati personali come nome, indirizzo, nazionalità e numeri di previdenza sociale;
• Informazioni Web come posizione, indirizzo IP, cookie e tag RFID;
• Salute e documentazione genetica;
• Informazioni biometriche;
• Profilo razziale / etnico;
• Associazione / opinione politica;
• Orientamento sessuale.
Con il GDPR, vengono introdotti e confermati alcuni diritti agli individui, nello specifico:
1. diritto di accesso: significa che gli individui hanno il diritto di richiedere l'accesso ai propri dati personali e di chiedere come i loro dati vengono utilizzati dalle società dopo che sono stati raccolti. La società deve fornire una copia dei dati personali, a titolo gratuito ed in formato elettronico, se richiesto.
2. diritto all'oblio: se i consumatori non sono più clienti o se ritirano il loro consenso da una società per utilizzare i loro dati personali, hanno il diritto di cancellare i loro dati;
3. diritto alla portabilità dei dati: gli individui hanno diritto di trasferire i propri dati da un fornitore di servizi a un altro in un formato di utilizzo comune e leggibile da una macchina;
4. diritto di essere informato: relativamente alla raccolta dati da parte dell'azienda, le persone devono essere informate prima che i dati vengono raccolti. I consumatori devono scegliere di raccogliere i loro dati e il consenso deve essere dato liberamente piuttosto che implicitamente;
5. diritto di avere informazioni corrette: questo assicura che le persone possano avere i loro dati aggiornati se questi sono incompleti o errati;
6. diritto di limitare l'elaborazione: gli individui possono chiedere che i loro dati non vengano utilizzati per l'elaborazione;
7. diritto di opporsi: questo include il diritto delle persone di interrompere l'elaborazione dei propri dati per il marketing diretto;
8. diritto di essere informato: se c'è stata una violazione dei dati che compromette i dati personali di una persona, l'individuo ha il diritto di essere informato entro 72 ore dalla prima volta che è venuta a conoscenza della violazione.
L'IMPATTO SULLE IMPRESE
Quasi tutte le aziende e le organizzazioni sono soggette al GDPR. Tutte le organizzazioni le cui attività principali comprendono l'elaborazione di un volume significativo di dati personali sono inoltre obbligate a nominare un responsabile della protezione dei dati (DPO o RPD), i cui compiti includono la notifica ai responsabili del trattamento dei dati dei loro obblighi legali, il monitoraggio delle conformità ai sensi del GDPR e la segnalazione agli alti dirigenti; devono inoltre garantire che le società forniscano una descrizione completa di eventuali violazioni di dati personali all'autorità per la protezione dei dati, compreso il numero approssimato di persone interessate, le probabili conseguenze della violazione e le misure in peso per mitigare gli effetti sui clienti.
COME APPROCCIARE IL CAMBIAMENTO
La migrazione verso i nuovi concetti di tutela e riduzione del rischio può essere alquanto laboriosa ed onerosa sia dal punto di vista organizzativo che economico.
Fondamentale, nell’ottica dell’organizzazione dei processi, è individuare un percorso strutturato che conduca alla piena attuazione dei principi contenuti nel Regolamento UE n. 679/2016.
La prima attività da compiere è una ricognizione ed identificazione dei trattamenti di dati personali, che potrà, poi sfociare nella predisposizione del registro dei trattamenti svolti; sarà necessario individuare le unità aziendali che se ne occupano con la mappatura dei soggetti da autorizzare oltre all’individuazione dei rischi che incombono sui dati, che potrà eventualmente sfociare nella predisposizione di una valutazione di impatto dei trattamenti (DPIA) e la conseguente adozione di contromisure adeguate.
Il Regolamento UE, però, introducendo il principio di accountability, intende responsabilizzare il Titolare imponendogli il mantenimento della sicurezza dei trattamenti nel tempo, anche in ragione dell’evoluzione tecnologica, sarà quindi necessario procedere a valutazioni periodiche dell’esistente e ad analisi preventive in caso di introduzione di nuove tipologie di trattamento.
In conclusione, va segnalato che sarà di fondamentale importanza la documentazione e rendicontazione di tutte le attività svolte per la tutela della riservatezza del dato.
Sarà quindi necessario dotarsi di procedure interne organizzate e standardizzate che consentano il monitoraggio di ogni fase di trattamento nell’ottica della riduzione del rischio e l’organizzazione di momenti formativi per i soggetti autorizzati (obbligatori ex art. 29, Regolamento UE n. 679/2016).
REGIME SANZIONATORIO
L’art. 83, par. 3 e 4, Regolamento UE n. 679/2016 prevede 2 distinte categorie di sanzioni amministrative pecuniarie a seconda della natura della violazione.
In particolare, sono previste le seguenti sanzioni:
• fino al 2% del fatturato dell’esercizio precedente per le sanzioni relative agli obblighi del Titolare/Responsabile del trattamento; dell’Organismo di certificazione; dell’Organismo di controllo;
• fino al 4% del fatturato dell’esercizio precedente per le violazioni relative ai principi base del Trattamento, comprese le condizioni di consenso; ai diritti degli Interessati; ai trasferimenti dei dati personali a un destinatario di uno Stato terzo o un’organizzazione internazionale.
Merita infine sottolineare che, con il Comunicato 19.4.2018, il Garante della Privacy è intervenuto smentendo la notizia circolata su Internet, circa un possibile differimento dello svolgimento delle funzioni ispettive e sanzionatorie e affermando che “Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo, fissata al 25 maggio 2018.”
Lo Studio Tomaino è a disposizione per l'analisi della situazione aziendale e la predisposizione degli adempimenti necessari.
Potrebbe interessarti anche..