Tabella di confronto tra Codice della Privacy (D.lgs. 196/2003) e Regolamento Europeo della Privacy (GDPR 2016/679)

Il 25 maggio 2015 il Regolamento UE 2016/679 in materia di Protezione dei dati personali diverrà definitivamente obbligatorio.

Rinviando al precedente documento sulle novità del nuovo regolamento, in questa sede, al fine di comprendere meglio la portata delle attività di adeguamento che si renderanno necessarie, si effettua un confronto tra le disposizioni stabilite dalla normativa precedente con quelle di nuova introduzione.

Codice della Privacy

Regolamento UE 2016/679

Normative frammentate, non uniformi fra i vari paesi membri dell’Unione Europea.

Regole comuni per tutti i paesi così da eliminare disparità di trattamento per i soggetti interessati del trattamento.

La privacy era intesa come elemento finale delle attività di trattamento, in quanto gli eventuali vizi nella raccolta dei dati potevano essere “sanati” anche dopo che i trattamenti erano già stati effettuati.

Introdotti i principi di “Privacy by Design” e “Privacy by Default”, i quali implicano che i trattamenti debbano essere concepiti sin dal momento della loro ideazione nel rispetto delle regole fissate dal legislatore.

Per definire la legge applicabile si considerava la sede del Titolare del trattamento.

La legge applicabile è quella del soggetto interessato del trattamento. I Titolari (tra i quali anche social network, piattaforme web e motori di ricerca) saranno quindi soggetti alla normativa europea anche se aventi sede al di fuori dell’UE. Pertanto è prevista l’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, purché relativi a beni e servizi offerti ai cittadini UE o tali da permetterne il monitoraggio dei comportamenti.

Non vi erano particolari requisiti per l’informativa, che pertanto era spesso lunga, incomprensibile e con richiami normativi complessi.

L’informativa deve essere accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto.

Il consenso doveva essere libero, specifico e informato, reso mediante un atto formale per l’accettazione del trattamento dei dati.

Il consenso oltre che libero, specifico e informato, deve essere inequivocabile. E’ valido solo se la volontà è espressa in modo NON equivoco per ogni singolo trattamento.

Non vi erano particolari obblighi di tenuta della documentazione comprovante il regolare espletamento dei trattamenti dati.

Introdotto il principio di “Accountability”, ovvero della responsabilità “verificabile”. E’ obbligatorio documentare tutti i trattamenti effettuati, poiché è sufficiente non avere i documenti per essere passibili delle sanzioni stabilite dal Regolamento.

Le figure implicate nel trattamento dei dati erano il Titolare del Trammento, il Responsabile e l’Incaricato del trattamento

Introduzione della Cotitolarità nel trattamento dei dati. Eliminata a livello terminologico la figura dell’Incaricato, però mantenuta a livello formale in quanto sia il Titolare che il Responsabile del trattamento possono incaricare dei soggetti per lo svolgimento di determinati compiti.

Inizialmente era stato previsto che il solo Titolare del trattamento si dotasse del DPS (Documento Programmatico sulla Sicurezza), relativo al controllo del trattamento dei dati e la loro sicurezza, prevenendo ogni possibile sanzione da parte dell’Autorità Garante. Poi abrogato in un’ottica di un alleggerimento normativo e documentale.

Istituito il l Registro delle Attività di Trattamento, un documento ove non solo il Titolare ma anche il Responsabile del trattamento possano rendicontare tutte le attività in materia di protezione e circolazione dei dati personali che li riguardano. La ratio è quella di dimostrare la conformità del del trattamento alle disposizioni del Regolamento.

Era previsto che prima dell’inizio di talune attività di trattamento fosse necessario effettuare la notificazione all’Autorità Garante della Privacy.

Con il nuovo Regolamento non si dovrà più effettuare la notificazione all’Autorità Garante, ma per il Titolare (e i suoi rappresentanti) sarà necessario tenere i registri delle attività di trattamento, che ricalcano il vecchio DPS, poiché ove possibile bisognerà fornire la descrizione delle misure di sicurezza adottate.

Non era stabilito alcun obbligo di notifica delle eventuali violazioni dei dati personali

E’ stato sancito l’obbligo, per il Titolare, di comunicare le violazioni (data breach) all’Autorità Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, nonché al soggetto interessato, qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà.

La vecchia normativa riconosceva al soggetto interessato diversi diritti, sebbene molti fossero di origine giurisprudenziale.

Codificati i diritti di elaborazione giurisprudenziale, affiancati dall’introduzione di nuovi diritti quali: diritto alla portabilità dei dati, diritto all’oblio.

Non era prevista alcuna figura di raccordo tra i soggetti del trattamento e l’Autorità Garante.

Introduzione della figura del Data Protection Officer (DPO), figura professionale obbligatoria per alcune categorie di soggetti Titolari del trattamento, che dovrà fungere da referente con il Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.

La suddetta tabella sinottica è uno strumento utile per semplificare la comprensione della portata delle novità introdotte dal nuovo Regolamento, sebbene non possa rivestire quei requisiti di esaustività e di specificità che solo un’attenta analisi, da parte di professionisti qualificati, potrà forniri ai fini del raggiungimento della compliance entro il termine del 25 maggio 2018, data in cui il nuovo Regolamento UE diventerà obbligatorio in tutto il terriotorio dell’Unione Europea.

Per ogni ulteriore informazione potrete contattare i membri del Team Privacy dello Studio Dike Schindhelm