Privacy: nuove regole da maggio 2018

Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento sulla Privacy, recependo il Regolamento Europeo n. 2016/679. Cosa cambierà?

Tutti i Paesi che fanno parte dell’Unione Europea dovranno adeguarsi al nuovo Regolamento sulla Privacy relativa alla protezione dei dati delle persone fisiche.

Queste norme non varranno per dati ottenuti per finalità personali/domestiche e per dati relativi a società, per le quali rimane in vigore la “vecchia” normativa (Codice Privacy e Direttiva Comunicazioni elettroniche n. 58/2002).

Ovviamente, sono norme che hanno un grosso impatto sul web, in quanto anche i siti web si dovranno adeguare alle nuove regole. Inoltre, riteniamo che l’utente debba poter conoscere i propri diritti in caso di violazioni.

Essendo un argomento abbastanza ampio e complesso, vorremmo fornirvi una sintesi dei punti più importanti di questo nuovo Regolamento.

Quali dati riguarda il nuovo Regolamento sulla Privacy?

Le nuove norme riguardano il trattamento di dati personali suddivisi in tre categorie, a cui si applicheranno diversi gradi di protezione:

  • Dati comuni: nome, dati anagrafici, indirizzo, codice fiscale, carta di credito, immagine, ecc.;
  • Dati particolari: quelli che nel Codice della Privacy erano definiti “dati sensibili” (origine razziale ed etnica, opinioni politiche, religione, dati relativi alla salute, dati relativi alla vita sessuale o alle abitudini sessuali), con l’aggiunta di dati genetici e quelli biometrici;
  • Dati penali: i dati riguardanti le condanne penali, i reati e le misure di sicurezza applicate ad un soggetto.

Chi sono i soggetti interessati e chi quelli che verificano l’applicazione tale normativa?

Garante: Autorità pubblica indipendente, sorveglia l’applicazione del Regolamento, esamina i reclami, rilascia autorizzazioni, approva codici di condotta, commina sanzioni amministrative.

Titolare: in caso di persona giuridica, è l’azienda stessa nel suo complesso; se l’azienda è individuale, coincide col titolare. Gli sono attribuiti tutti gli obblighi di adeguamento alla normativa vigente e la responsabilità nel caso di sua violazione.

Responsabile: nelle aziende più strutturate, vi è solitamente la figura di un Responsabile della Privacy, che si occupa di coadiuvare il Titolare nell’adempimento degli obblighi imposti dalla normativa. Può essere un dipendente (solitamente di alto livello) dell’azienda, oppure un consulente esterno.

Incaricati: sono le persone che hanno accesso ai dati (solo persone fisiche), che ricevono le istruzioni dal Titolare/responsabile.

DPO: è colui che è incaricato di vigilare e verificare che siano state attuate tutte le procedure in materia di protezione dei dati personali previste dalla legge. Nelle Pubbliche Amministrazioni è una figura obbligatoria e altresì nei casi in cui l’azienda esegua determinati tipi di trattamento dati considerati “rischiosi” per gli interessati.

Interessati: persone fisiche a cui i dati personali trattati dall’azienda si riferiscono.

Quali sono le modifiche e i nuovi adempimenti del nuovo Regolamento sulla Privacy?

Il Regolamento conferma, modificandoli a maggior tutela degli interessati, alcuni adempimenti già introdotti dal Codice della Privacy, e ne introduce altri nuovi. Ecco i principali:

L’Informativa: a fronte di qualsiasi trattamento dei dati, l’interessato a cui i dati si riferiscono deve ricevere un’adeguata informativa sull’identità e dati del Titolare del Trattamento, sui dati del DPO (ove presente), sulle finalità di acquisizione dei suoi dati personali, sulle modalità di trattamento, sulla possibilità di chiedere l’accesso, la modifica, la cancellazione, sul periodo di conservazione dei dati, sull’intenzione di trasferire i dati extra UE e le garanzia adottate, sul diritto di proporre reclamo al Garante in caso di violazione del trattamento, ecc.

Il consenso: quando il trattamento non trovi ragione nelle altre condizioni previste dalla legge (es. esecuzione di un contratto, obbligo di legge, ecc), ovvero nel caso di raccolta di dati “particolari” (dati relativi all’origine, alla razza, alla religione, alle opinioni politiche, ecc) l’interessato può autorizzare il Titolare al trattamento dei dati personali purchè il consenso sia: informato, specifico, libero, consapevole.

Il diritto di accesso dell’interessato: chi rilascia i propri dati personali (per l’esecuzione di un contratto, per obbligo di legge o perché ha prestato il proprio consenso), ha il diritto di accedere ai propri dati al fine di verificarne la correttezza, chiederne la modifica, la cancellazione, la trasferibilità, ecc. in qualsiasi momento.
Il nuovo Regolamento rafforza i diritti dell’interessato con una definizione molto ampia che include ogni trattamento che va dalla raccolta alla distruzione dei dati ed aggiungendo – rispetto alla normativa precedente – il diritto all’oblio ed alla portabilità dei dati. Alla richiesta di accertamento/modifica/cancellazione/portabilità dei propri dati rivolta dall’interessato, il Titolare del trattamento ha l’obbligo di attivarsi fornendo all’interessato il servizio richiesto o informazioni entro termini prestabiliti dalla normativa.

Accountability: il Titolare è tenuto a dimostrare di aver adottato tutti gli accorgimenti necessari a garantire la protezione dei dati personali trattati. È un principio che pone in capo al Titolare del trattamento dei dati la responsabilità di organizzare l’azienda in modo tale da garantire il rispetto delle finalità del Regolamento.

Data protection by design e by default (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita): nell’ambito degli accorgimenti necessari alla protezione dei dati trattati, la normativa impone che il Titolare configuri il trattamento prevedendo fin dall’inizio quali procedure siano idonee al raggiungimento dello scopo, impiegandole in seguito in maniera automatica per il trattamento dei dati.

Registro dei trattamenti: le aziende con più di 250 dipendenti o, nel caso di aziende di dimensioni inferiori, che trattino in maniera non occasionale dati che possano presentare un rischio per i diritti e le libertà dell’interessato (dati particolari, dati relativi a condanne penali) devono munirsi di un registro dei trattamenti  che raccolga le modalità di trattamento dei dati, le finalità, le categorie dei dati raccolti, le misure di sicurezza adottate, ecc. Il registro va tenuto in forma scritta, anche elettronica, e va esibito su richiesta del Garante.

Analisi dei rischi: viene richiesto che il Titolare dei dati esegua una valutazione dei rischi in base all’organizzazione della propria impresa ed alla natura e quantità dei dati trattati, al fine di predisporre le più adeguate misure di sicurezza dirette a garantire il corretto trattamento dei dati personali.

La valutazione d’impatto: nei casi in cui un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere al trattamento il Titolare deve effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. È una misura di prevenzione applicata in particolare a chi effettui una valutazione sistematica di aspetti personali in modo automatico, quali la profilazione; chi effettui trattamenti su larga scala di dati particolari o penali; chi effettui la sorveglianza sistematica su larga scala di zone accessibili al pubblico.

Notifica delle violazioni al Garante: in caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione al Garante ed agli Interessati senza ingiustificato ritardo.

Trasferimento dati a Paesi Extra UE: garantendo l’applicazione di una normativa unitaria in tutta Europa, il regolamento permette la libera circolazione dei dati tra gli Stati Membri. Per quanto riguarda il trasferimento di dati in Paesi Extra UE, lo stesso è previsto purchè vengano rispettate determinate condizioni (Paesi in White List, Protocollo “Privacy Shields”, Clausole Tipo, Corporate Binding Rules, Consenso informato, importanti motivi di interesse pubblico, ecc).

Quali sono le sanzioni in cui si può incorrere e di che entità?

Amministrative: il Garante, accertata la violazione del regolamento e/o l’errato trattamento dei dati personali e valutati diversi indici tra cui la natura e gravità dell’illecito, il carattere doloso o colposo dello stesso, l’eventuale recidiva, ecc, può comminare delle sanzioni amministrative pecuniarie nei confronti del Titolare del trattamento. Tali sanzioni  possono raggiungere l’importo di 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Risarcimento del danno: oltre alle sanzioni amministrative, ciascun Interessato può agire avanti all’Autorità Giudiziaria competente per chiedere il risarcimento del danno subito dalla violazione dei propri dati personali.

Penali: se la violazione del trattamento comporta la configurazione di reati per lo Stato Membro in cui è stata commessa, alle sanzioni amministrative e giudiziali per il risarcimento del danno si affiancano le azioni penali esperibili secondo le leggi dello Stato in cui la violazione è stata commessa.

SalvaSalva

SalvaSalva

SalvaSalva

SalvaSalva

SalvaSalvaSalvaSalva

Avv. Francesca Zambonin
Avv. Francesca Zambonin
Articoli: 4