Regolamento UE 2016/679 – Privacy europea

News

Lo scorso 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 (in seguito anche il “Regolamento”), il quale entrerà in vigore il 25/08/2018.  Le aziende dovranno adatarsi a novità come le valutazioni di impatto e i sistemi di certificazione e di notificazione delle violazioni. Nei casi in cui sarà necessario, le aziende dovranno anche dotarsi di un privacy officer.

Per fortuna il comma 5 dell’art. 30 del Regolamento esonera dagli adempimenti che andremo ad accennare le piccole e medie imprese, quelle dunque con meno di 250 dipendenti, a meno che, però, “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne penali…”

Tale Regolamento si inserisce all’interno di quello che, insieme alla Direttiva 2016/680, è stato definito il “Pacchetto europeo protezione dati”.

Essendo un Regolamento, non ha bisogno di recepimento da parte dei singoli stati. Anche l’Italia però ha due anni per adeguare le proprie normative interne.

Ai legislatori nazionali la facoltà di introdurre norme nazionali ad hoc.

Il Regolamento introduce una novità per le aziende e i loro “titolari” del trattamento dei dati personali. Tutte, salvo le aziende medio e piccole, che abbiano stabilimento all’interno dell’UE e trattano dati personali (anche se il trattamento è effettuato nell’UE stessa o meno).

Per le persone fisiche, cioè gli “interessati” al trattamento dei propri dati, la norma si applica:

l’offerta di beni o la prestazione di servizi ai soggetti interessati

il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’UE.

Al Codice Privacy già abbiamo: “titolare”, “responsabile” e “incaricato” del trattamento dei dati, dal 28/05/2018 si avrà anche il DPO “responsabile della protezione dei dati”, “Data Protection Officer”

Il DPO dovrà esistere in:

-le aziende pubbliche

-le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati”, su larga scala

-che trattano “dati sensibili”.

Ogni azienda dovrà rendere noti i dati del proprio DPO (raggiungibilie dai soggetti “interessati”) – nonché comunicarli al locale “Garante per la protezione dei dati personali”.

il DPO:
-informa e consiglia il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento;
-verifica l’attuazione e l’applicazione della normativa, oltre alla sensibilizzazione e formazione del personale e dei relativi auditors ;
-fornisce, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
-funge da punto di contatto per gli “interessati”, in merito a qualunque problematica connessa al trattamento dei loro dati nonché all’esercizio dei loro diritti;
-funge da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Tenuta del “registro delle attività di trattamento“, svolte sotto la propria responsabilità, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati” in merito a:

  • i trattamenti automatizzati, profilazione inclusa
  • i trattamenti su larga scala di categorie particolari di dati (sensibili) e di dati ottenuti dalla sorveglianza sistematica di zone accessibili al pubblico. Sarà il Garante Privacy a redigere e rendere pubblico l’elenco delle tipologie di trattamenti soggetti al requisito della “valutazione di impatto sulla protezione dei dati”.

il Regolamento poi:
– riconosce espressamente il “diritto all’oblio”, ovvero la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento;
– stabilisce il diritto alla “portabilità dei dati”, in virtù del quale l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora l’interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per l’esecuzione di un contratto;
– sancisce il principio di “accountability”, per cui il titolare dovrà dimostrare l’adozione di politiche privacy e misure adeguate in conformità al Regolamento;
– introduce il principio della “privacy by design” (dal quale discende l’attuazione di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento) nonché quello della “privacy by default” (stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini).

Per riassumere gli aspetti “altri” del Regolamento:

  • Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico”
  • Introdotta la categoria del trattamento dati dei minori
  • Introduzione della Cotitolarità nel trattamento dei dati
  • Introduzione del Diritto all’Oblio
  • Introduzione della figura del Joint Controller
  • Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi
  • Introduzione del principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni e servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’UE
  • Istituzione del Comitato Europeo per la protezione dei Dati

SANZIONI

Infine, per quanto concerne il “sistema sanzionatorio”, il Regolamento ha aumentato l’ammontare delle sanzioni amministrative pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, lasciando peraltro ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.

 

QUALI SONO GLI IMPATTI PRINCIPALI SULLE IMPRESE?

1 – INDIVIDUAZIONE DEI SOGGETTI A CUI SI APPLICA IL REGOLAMENTO

Prima la normativa era applicabile nel luogo in cui aveva sede il Titolare del trattamento dei dati.

Con il Nuovo Regolamento la legge applicabile è quella del soggetto i cui dati vengono raccolti. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Con il nuovo regolamento viene abolita la figura del Titolare del Trattamento Dati e rimane solo la figura di Responsabile.

2 – DOVERE DI DOCUMENTAZIONE E INFORMAZIONE

Prima la documentazione era importante.

Con il Nuovo Regolamento principio dell’accountability (responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.

3 – L’INFORMATIVA PRIVACY

Prima l’informativa era spesso lunga, incomprensibile e con richiami normativi complessi.

Con il Nuovo Regolamento l’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Si propone anche l’utilizzo di icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.

4 – CAMBIA IL CONSENSO

Prima il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati.

Con il Nuovo Regolamento il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.

5 – VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

Prima si preparava il DPS.

Con il Nuovo Regolamento si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi. Quasi sicuramente il nuovo documento sarà chiamato PIA: Privacy Impact Assessment.

6 – ABOLIZIONE DELLA NOTIFICAZIONE

Prima si doveva informare il Garante che un soggetto sta trattando dati per una particolare finalità. (ex art. 37 D.lgs. 196/2003)

Con il Nuovo Regolamento non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera effettuata la notifica.

7 – IL DATA PROTECTION OFFICER

Prima il DPO non era una figura contemplata.

Con il Nuovo Regolamento bisogna istituire (per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un responsabile per la protezione dei dati. Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.

8 – PRIVACY BY DESIGN E PRIVACY BY DEFAULT

Prima la privacy era un elemento conclusivo e finale.

Con il Nuovo Regolamento la privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato.

9 – OBBLIGO DI SEGNALAZIONE IN CASO DI VIOLAZIONE DEI DATI

Prima non era necessario comunicare violazioni nel trattamento dati.

Con il Nuovo Regolamento nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach.

10 – RICONOSCIMENTO DI NUOVI DIRITTI

Prima pochi diritti che tutelavano l’interessato in merito alla gestione dei suoi dati.

Con il Nuovo Regolamento nuovi diritti: diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto a essere totalmente dimenticato da chi ha raccolto i miei dati.