Il Regolamento UE 2016/679, approvato dal Parlamento UE il 14 aprile 2016, è entrato in vigore il 25 maggio 2016. Sarà applicabile a partire dal 25 maggio 2018. La Normativa garantisce un livello uniforme di protezione delle persone fisiche nell’Unione Europea con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati.
Il regolamento UE 2016/679 abroga la direttiva 95/46/CE recepita in Italia con il D.lgs 196/2003, in quanto tale diventerà direttamente applicabile, impianto sanzionatorio incluso.
Il principio cardine del nuovo regolamento è costituito dall’autodeterminazione e dalla “responsabilizzazione” di titolari e responsabili del trattamento.
In sostanza il Regolamento – a differenza di quanto fino ad oggi previsto dal Codice Privacy (D.lgs 196/2003) che imponeva l’adozione di tutta una serie di misure “minime” di sicurezza nel trattamento dei dati – affida direttamente ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali.
Pur lasciando piena autonomina al titolare del trattamento nell’individuazione delle necessarie misure di sicurezza da adottare, il Regolamento UE fissa comunque alcune regole essenziali alle quali necessariamente le imprese devono adeguarsi.
COSA E’ NECESSARIO FARE PER ADEGUARSI
- Redazione del “Manuale Privacy” contenente le istruzioni e la documentazione necessaria per l’adeguamento al GDPR;
- Analisi dei ruoli e delle mansioni al fine di definire una bozza dell’organigramma privacy e del sistema di autorizzazioni;
- Mappatura ed analisi dei trattamenti dei dati personali effettuati in azienda o affidati all’esterno a soggetti individuati come responsabili esterni del trattamento;
- Redazione dei documenti di designazione dei responsabili del trattamento esterni;
- Valutazione dei rischi inerenti al trattamento dei dati e conseguente valutazione d’impatto sulla protezione dei dati;
- Assistenza nella messa in atto di misure tecniche e organizzative adeguate per la gestione – prevenzione – riduzione dei rischi;
- Definizione della privacy policy aziendale, regolamenti e altre discipline concernenti l’utilizzo degli strumenti di trattamento, la definizione dei profili di autorizzazione del trattamento;
- Revisione e riformulazione delle informative (lavoratori dipendenti, clienti e potenziali clienti, fornitori)
Nel dettaglio, le principali novità introdotte dal Regolamento UE:
INFORMATIVA SUL TRATTAMENTO DEI DATI
I dati devono essere trattati in “modo lecito”. Il Regolamento UE introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti e stabilisce criteri rigorosi per il trasferimento dei dati.
In particolare, ad esempio, l’INFORMATIVA dovrà essere scritta con un linguaggio semplice e chiaro, con un numero limitato di riferimenti normativi e dovrà contenere l’indicazione:
- di identità e coordinate di contatto della responsabile del trattamento del suo eventuale rappresentante;
- della finalità del trattamento cui sono destinati dati personali e la base giuridica del trattamento;
- di eventuali interessi legittimi perseguiti;
- del destinatario o categorie dei destinatari dei dati personali;
- dell’eventuale intenzione del responsabile del trattamento di trasferire dati personali di un paese terzo ad una organizzazione internazionale;
- del periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare questo periodo;
- per il diritto dell’interessato di chiedere alla responsabile del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi con la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- del diritto di proporre reclamo ad una autorità di controllo;
- dell’obbligatorietà o facoltatività del conferimento dei dati nonché le possibili conseguenze della mancata comunicazione di tali dati;
- dell’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione;
- ecc..
IL CONSENSO AL TRATTAMENTO DEI DATI
Il Regolamento UE esclude “ogni forma di consenso tacito”, cioè, il silenzio non equivale al consenso.
Il consenso dovrà essere preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici e, per quanto riguarda il trattamento di dati sensibili, il Regolamento prevede che debba anche essere “esplicito”.
Inoltre, deve essere espressamente riconosciuto il diritto dell’interessato a revocare in ogni momento il consenso prestato. In mancanza del consenso espresso, il trattamento dei dati può essere lecitamente svolto esclusivamente nei seguenti casi:
- adempimento obblighi contrattuali;
- interessi vitali della persona interessata o di terzi;
- obblighi di legge cui è soggetto il titolare;
- interesse pubblico o esercizio di pubblici poteri;
- interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
REGISTRO DEI TRATTAMENTI
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti solo se non effettuano trattamenti a rischio, devono tenere un registro delle operazioni di trattamento.
Si tratta di uno strumento fondamentale – non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
DATA BREACH – Notifica delle violazioni di dati personali
A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria ma è subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare.
Se la probabilità di tale rischio è elevata, si dovrà informare della violazione anche gli interessati, sempre “senza ingiustificato ritardo”.
IL DATA PROTECTION OFFICER (DPO) O RESPONSABILE DELLA PROTEZIONE DATI
Una novità rilevante è rappresentata dall’obbligo di designazione di un “responsabile della protezione dati” (RPD, ovvero DPO) che è designato in funzione delle qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.
Il responsabile della protezione avrà il compito di:
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
- fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
- fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente consultare il Garante di propria iniziativa.
Dovranno designare obbligatoriamente un responsabile della protezione dei dati:
- amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
- tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
- tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
SANZIONI AMMINISTRATIVE
Il mancato rispetto delle disposizioni contenute nel Regolamento UE 2016/679 comporta l’irrogazione di sanzioni amministrative piuttosto elevate, in particolare:
- fino a 10.000.000 €, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, nel caso di violazione di determinati obblighi posti dal Regolamento;
- fino a 20.000.000 €, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, nel caso di violazione degli obblighi più stringenti posti dal Regolamento (anche nel semplice caso di inosservanza degli ordini del Garante).
PER LA FORMAZIONE DEGLI INCARICATI
A cura di Giovanni Polidoro
[wpfilebase tag=fileurl id=547 linktext=’Il pdf della circolare è scaricabile QUI’ /]
Gruppo POLARIS Srl sarà a vostra disposizione per qualsiasi informazione e chiarimento.
Tel. 0121 30.37.68 / segreteria@gruppopolaris.org