[Privacy: nuovo regolamento europeo dal 25.05.2018]

Guarda il Video Tutorial “Regolamento Europeo” su youtube europa bandiera

Il 25.05.2018 entrerà in vigore il nuovo regolamento europeo sulla privacy (in sigla Gdpr) che andrà a sostituire l’annuale normativa interna dei singoli Stati sulla protezione dei dati personali. Il nuovo regolamento europeo sostituirà il Codice della privacy italiano, contenuto nel D.Lgs. n. 196/2003. In particolare, la nuova normativa impone alle aziende di cominciare ad adeguare “policy” e organizzazione interna in preparazione della data del 25.05.2018, e a tal proposito il Garante per la Privacy ha predisposto una guida sulle principali tematiche da considerare.

matrice privacyFONDAMENTI DI LICEITA’ DEL TRATTAMENTO

I fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

CONSENSO: Per i dati “sensibili” (art. 9 regolamento) il consenso DEVE essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22).

NON deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare (art. 7.1) DEVE essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
 
 INFORMATIVAInformativa

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti.

Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.

Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile. Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all’interessato).

Impronta loginDIRITTI DEGLI INTERESSATI ARTT. 11 e 12 Regolamento

Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

 Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; la risposta fornita non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTOprivacy mondo

Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.

RISCHIO E MISURE DI ACCOUNTABILITY (RESPONSABILIZZAZIONE) DI TITOLARI E RESPONSABILIcyber security

Il regolamento pone con forza l’accento sulla  “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Il secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, è il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione(si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

Dunque, l’intervento delle autorità di controllo sarà principalmente “ex post“, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia. 

 

SANZIONISanzioni

Le nuove sanzioni amministrative sono disciplinate dagli articoli 79 e 79b del Regolamento. Ai singoli stati rimane invece la competenza per le sanzioni di natura penale.

La sanzione dovrà essere effettiva, proporzionata e dissuasiva, e in generale la sanzione amministrativa ammonterà:

  • fino a 10 milioni di euro, o in caso di un’impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, per violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile 
  • fino a 20 milioni di euro, o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, per violazioni in materia di principi base del trattamento, condizioni per il consenso, diritti degli interessati,  trasferimento di dati personali all’estero, mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall’autorità di vigilanza.

 

Grazie per la lettura.

FLT