Il Nuovo Regolamento Europeo della Privacy 2016/679

Il nuovo Regolamento Europeo della Privacy 2016/679 (GDRP) è entrato in vigore il 24 maggio 2016 e sarà obbligatorio in tutti gli Stati membri dell’Unione Europea dal 25 maggio 2018.

Con l’emanazione di questo provvedimento l’Unione Europea ha inteso unificare le normative in materia di Privacy degli Stati membri al fine di garantire una maggiore e specifica tutela dei cittadini europei e dei loro dati personali.

Il Regolamento introduce delle importanti novità che modificano considerevolmente la precedente normativa in vigore in Italia (d.lgs. 196/2003), imponendo alle aziende e agli enti pubblici la revisione delle proprie policy interne relative al trattamento dei dati, in riferimento sia ai dipendenti, che ai singoli utenti/interessati.

Tra le novità di maggiore rilievo introdotte dal legislatore europeo, assume una particolare rilevanza il forte inasprimento dell’impianto sanzionatorio preesistente, il quale imporrà a tutti gli operatori economici un’adeguata ed effettiva compliance alla normativa. Alcuni colossi del web si sono già resi conto del cambio di rotta in materia di protezione dei dati personali ed hanno già dichiarato che si stanno attrezzando per essere pronte nel 2018.

L’adeguamento sarà quindi un requisito essenziale per poter intrattenere rapporti commerciali con la Pubblica amministrazione, con i grandi gruppi multinazionali, per operare sul mercato nell’ambito della comunicazione, del marketing, dell’e-commerce ed in generale in tutti i campi della new economy.

Le principali innovazioni introdotte dal nuovo Regolamento UE possono essere sintetizzate come segue:

PRINCIPI ISPIRATORI DEL REGOLAMENTO

Il principio di Privacy by design concerne l’incorporazione della protezione dei dati personali sin dal momento della progettazione dei processi aziendali e delle relative applicazioni informatiche di supporto. Con il principio di Privacy by default, invece, è stato sancito che per impostazione predefinita le imprese debbano trattare solo i dati personali unicamente nella misura necessaria per le finalità previste dal trattamento, oltre che per il periodo strettamente necessario a tali fini, dovendo dunque garantire sin dalla progettazione del sistema di trattamento di dati la non eccessività dei dati raccolti. Inoltre, è stato introdotto il principio di Accountability (responsabilità verificabile), secondo cui tutti i soggetti che effettuano il trattamento dati devono tenere documentazione di tutti i trattamenti effettuati, ciò a pena di sanzioni stabilite a prescindere dall’utilizzo che si fa dei dati, in quanto è ritenuto sufficiente non documentare i trattamenti per essere perseguibili.

CONTENUTO DELL’INFORMATIVA

viene introdotto l’obbligo di utilizzare un linguaggio semplice e trasparente, di comunicare agli interessati i dati del Titolare e del Responsabile del Trattamento, nonché del Responsabile della Protezione dei Dati (se presente), di comunicare le motivazioni e le tempistiche relative al trattamento dei dati.

DIRITTI DEGLI INTERESSATI

I soggetti interessati del trattamento vanno informati dei propri diritti, tra i quali in particolare: il diritto all’oblio, di origine giurisprudenziale e riguardante la possibilità per gli interessati di ottenere la cancellazione dei propri dati personali; il diritto alla portabilità dei dati da parte degli utenti, i quali saranno pertanto liberi di trasferire i propri dati ad altri soggetti; il diritto di opposizione ai processi decisionali automatizzati, la cui eventuale esistenza dovrà pertanto essere resa nota ai soggetti interessati del trattamento.

CONSENSO

Prima di trattare i dati personali di una persona, quest’ultima deve prestare un esplicito ed inequivocabile consenso al trattamento dei propri dati, poiché il consenso non potrà mai essere tacito.

REGISTRI DELLE ATTIVITA’ DI TRATTAMENTO

In sostituzione dell’attuale obbligo di notificare preventivamente i trattamenti all’Autorità Garante, i Titolari del trattamento e i relativi Rappresentanti saranno tenuti a redigere il registro delle attività di trattamento, ispirato all’abrogato Documento Programmatico sulla Sicurezza (DPS), nel quale dovranno essere contenuti tutti gli aspetti relativi ai singoli trattamenti dei dati.

DATA BREACH

Le eventuali violazioni dei dati dovranno essere tempestivamente individuate e comunicate, a seconda dei casi, all’Autorità di controllo ed ai singoli interessati.

VALUTAZIONE D’IMPATTO

Quando un trattamento presenta un rischio elevato per i diritti e le libertà delle persone, sarà necessario effettuare una valutazione preventiva dell’impatto di tale trattamento sulla protezione dei dati personali connessi ad esso.

DATI SENSIBILI

Particolari cautele dovranno essere utilizzate per il trattamento dei dati cd. sensibili (cioè i dati relativi alle convinzioni religiose, alle opinioni politiche, all’adesione a partiti o sindacati, allo stato di salute, alla sfera sessuale, ecc.) mediante l’adozione di misure di sicurezza aggiuntive.

ISTITUZIONE DEL RESPONSABILE DELLA PROTEZIONE DEI DATI (c.d. DPO)

L’obbligo di nomina di tale figura di raccordo tra l’autorità garante e i privati, con compiti di consulenza e garanzia, è previsto per le seguenti categorie di soggetti titolari del trattamento:

  • Le pubbliche amministrazioni e gli enti pubblici in generale;
  • Le aziende la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
  • Le aziende la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Per tali categorie di soggetti sarà obbligatorio dotarsi di un DPO, mentre per le altre aziende tale figura sarà facoltativa.

Alla luce delle suddette importanti novità, sarà pertanto necessario modificare il modello di informativa eventualmente in uso e difforme rispetto alle specifiche previste dal nuovo Regolamento UE, oltre che valutare la modifica e/o l’adeguamento delle policy aziendali in materia di trattamento dei dati personali.

APPROFONDIMENTI

NEW EU DATA PROTECTION LAW: COMPLIANCE CHECK (Inglese)

NEUES EU-DATENSCHUTZRECHT: COMPLIANCE CHECK (Tedesco)