La Privacy ai tempi del Nuovo Regolamento Europeo | Studio Legale Menichetti

Magazine

La Privacy ai tempi del Nuovo Regolamento Europeo

NEWS

La Privacy ai tempi del Nuovo Regolamento Europeo

Gdpr: il Vademecum dello Studio Legale Menichetti. 

Il nuovo regolamento comunitario europeo sul trattamento dei dati personali (General Data Protection Regulation, in sigla GDPR, regolamento UE 2016/679) entrerà in vigore dal 25 maggio 2018, senza necessità di norme nazionali che lo recepiscano, ed andrà a sostituire il Codice della Privacy (D. Lgs. 196/2003) previgente.

PRINCIPI GENERALI

Responsabilizzazione (accountability). Il nuovo regolamento si ispira sempre ai principi generali del previgente Codice della Privacy (necessità, liceità, correttezza, adeguatezza, trasparenza e pertinenza nel trattamento dei dati personali, ma si basa in particolare sul concetto di accountability (traducibile come “responsabilizzazione”), che presuppone una attenta valutazione ex ante dei rischi per la privacy e l’obbligo per chi utilizza e tratta i dati personali altrui di predisporre misure adeguate e sufficienti (non più misure minime) che garantiscano la sicurezza dei dati.

Quali sono le misure adeguate e sufficienti? Non è pevisto un elenco predeterminato ed esaustivo, né un controllo ufficiale e preventivo sulle misure adottate dal titolare dei dati. Quest’ultimo è tenuto, sotto la sua responsabilità, a decidere autonomamente quali siano le misure e gli accorgimenti sufficienti. A tal fine dovrà rivolgersi a professionisti davvero esperti e premurarsi di adottare i software ed i ritrovati tecnologici più moderni, sicuri ed aggiornati. Dovrà quindi investire sulla innovazione, senza accontentarsi di soluzioni a basso costo, adottando anche le misure non obbligatorie. Ad esempio, può essere utile, come suggerito dal Garante della Privacy, dotarsi comunque del Registro delle attività di trattamento (del quale si dirà in prosieguo), anche se non obbligati a tenere detto documento ai sensi del nuovo regolamento europeo.

Nel caso di ispezioni ogni azienda deve essere in grado di documentare immediatamente e con chiarezza quali dati personali tratta; lo scopo e le modalità del trattamento; le misure di sicurezza e le procedure di garanzia inerenti la privacy; quali siano i soggetti che hanno la responsabilità o l’incarico del trattamento dei dati.

Cosa deve fare ogni azienda per conformarsi alla nuova normativa?
Per non incorrere in provvedimenti sanzionatori ogni azienda dovrebbe pertanto:
• analizzare con attenzione i dati personali trattati;
• individuare i soggetti che trattano i dati e raccogliere informazioni sulle concrete modalità di trattamento;
• identificare i rischi di trafugamento o non necessaria divulgazione di dati;
• individuare i danni che gli interessati potrebbero subire dal trattamento e/o dalla perdita dei dati personali;
• approntare misure volte ad evitare problematiche dannose, trafugamenti e divulgazioni scorrette non volute;
• prevedere procedure e moduli inerenti informativa, raccolta del consenso, revoca dello stesso, cancellazione e trasportabilità dei dati;
• adeguare le policy interne alle esigenze della privacy;
• riportare per iscritto le informazioni, valutazioni e procedure di cui sopra.
• laddove tenuti in base alle nuove disposizioni delle quali si dirà in prosieguo, approntare il Privacy Impact Assessment, tenere il Registro dei trattamenti e nominare il Data Protection Officer.

OBBLIGHI GENERALI

Obbligo di informativa. I dati personali debbono essere trattati in maniera lecita, correttamente e con trasparenza (art. 5 Gdpr). L’interessato deve essere concisamente informato del trattamento che subisce in modo facilmente accessibile e comprensibile.
L’informativa deve essere consegnata all’interessato per iscritto o con altri mezzi (anche elettronici) e deve contenere:
• le finalità e le modalità di trattamento dei dati;
• la natura obbligatoria o facoltativa del conferimento dei dati stessi;
• le conseguenze di un eventuale rifiuto a fornire i dati;
• gli estremi identificativi del titolare e dei responsabili;
• i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza;
• il diritto dell’interessato all’accesso ai dati e la possibilità di chiederne la cancellazione;
• il diritto del titolare a trasportare i dati ad altro gestore o provider;
• il periodo di conservazione dei dati;
• il diritto di proporre reclami relativi alla gestione dei dati.

Il consenso degli interessati

Quando non è necessario. Non è richiesto il consenso quando il trattamento dei dati:
• riguarda un contratto concluso tra titolare e interessato;
• è necessario per salvaguardare un legittimo interesse del titolare o l’interesse vitale del soggetto al quale i dati appartengono;
• concerne l’adempimento di un obbligo di legge della persona fisica (ad. es: contribuzione previdenziale o assicurativa).

Come può essere manifestato. In tutti gli altri casi, il consenso dell’interessato (maggiore di 16 anni) deve essere manifestato in maniera specifica e con chiarezza, anche oralmente o con un click.
Il consenso è sempre revocabile.
Il titolare deve approntare una procedura di revoca che non sia più complicata di quella relativa alla prestazione del consenso.

Profilazione e marketing. Le attività di profilazione del consumatore e più in generale di marketing debbono sempre essere autorizzate espressamente. Non vale quindi il silenzio assenso.

Diritti degli interessati
• accesso ai dati;
• opposizione al loro trattamento;
• cancellazione degli stessi e diritto all’oblio;
• limitazioni all’uso dei dati ed alla portabilità del loro trattamento.

SOGGETTI CHE TRATTANO I DATI PERSONALI

Tutti i soggetti che trattano dati personali (anche quelli che non sono tenuti a nominare il documento denominato DPO, del quale diremo) debbono dimostrare di garantire la privacy degli interessati prima che si verifichino eventi lesivi. Detti soggetti sono:
• il titolare del trattamento, cioè chi tratta i dati altrui ed ha il potere decisionale sull’uso degli stessi;
• il responsabile del trattamento, che deve avere conoscenze tali da garantire l’adeguato svolgimento della sua funzione, anche se non è previsto un titolo di studio specifico o l’iscrizione ad un albo particolare;
• gli incaricati del trattamento, cioè coloro che materialmente trattano i dati sulla base delle disposizioni del titolare del trattamento ed obbedendo alle direttive specifiche del responsabile del trattamento.

Il responsabile del trattamento. Esegue le operazioni di trattamento per conto del titolare e sulla base delle direttive generali di quest’ultimo (art. 28 Gdpr). Si avvale degli incaricati del trattamento.
Può essere un lavoratore subordinato od un lavoratore autonomo, ma deve agire sulla base di un preciso contratto. Può quindi essere un dipendente (di regola, un dirigente od un quadro), un professionista, un consulente. Può essere una persona fisica od una persona giuridica. Ma se si tratta di una persona giuridica, deve essere specificata la persona fisica di riferimento.
In presenza di servizi cloud, il responsabile del trattamento può essere identificato col provider.
Ci può essere un solo responsabile per un gruppo di imprese.
Il responsabile, su espressa autorizzazione del titolare, può avvalersi di un sub-responsabile.

OBBLIGHI PREVISTI SOLO PER DETERMINATI SOGGETTI.

Tenuta del Registro delle attività di trattamento. Nel Registro delle attività di trattamento (art. 30 Gdpr) vanno riportate tutte le misure adottate per garantire la sicurezza dei dati personali. La sua tenuta è obbligatoria per tutti i soggetti con più di 250 dipendenti o che trattino dati personali particolari, anche relativi a condanne e reati. La tenuta di detto registro è peraltro consigliata dal Garante anche ai soggetti non obbligati per confermare il rispetto dell’accontaubility.
Il Registro in questione deve indicare:
• le categorie dei dati trattati e le finalità del trattamento;
• le misure di sicurezza e le modalità di trattamento dei dati;
• gli organigrammi aziendali, i nominativi dei titolari, responsabili ed incaricati dei trattamenti, i ruoli di tutti coloro che sono coinvolti nelle procedure inerenti la privacy;
• i rapporti tra le varie funzioni aziendali;
• le procedure di garanzia, i moduli ed i ricorsi inerenti la tutela della privacy.

DPIA ( Data Protection Impact Assessment, Valutazione di impatto del trattamento). E’ una valutazione approfondita, che dovrà essere effettuata e documentata dai soggetti che saranno indicati dal Garante della Privacy, per individuare le misure tecnico-organizzative da adottarsi per prevenire i rischi che gli interessati possono subire dal trattamento dei loro dati (art. 35 Gdpr).

Il DPO (Data Protection Officer, Responsabile della Protezione dei Dati). Figura prevista dall’art. 37 del Regolamento, da distinguersi sia dal titolare che dal responsabile del trattamento.

Chi lo deve nominare? Tutti i soggetti pubblici ed i soggetti privati le cui principali attività consistono in trattamenti che prevedono su larga scala il monitoraggio costante degli interessati o comunque l’utilizzo di particolari dati personali, anche attinenti a reati o condanne (art. 37, paragrafo 1, lettere b) e c)).
A titolo esemplificativo, può trattarsi di istituti assicurativi, di credito e di informazione creditizia; società finanziarie, di informazioni commerciali, di recupero dei crediti e revisione contabile; istituti di vigilanza, sindacati, CAF, partiti, società operanti nel campo delle telecomunicazioni e distribuzione di energia o gas: imprese di somministrazione di lavoro e ricerca del personale, ospedali e società operanti nel campo sanitario e diagnostico, call centers, società che forniscono servizi informatici e che erogano servizi televisivi.

Chi può essere DPO? Non è necessario un titolo di studio particolare né una specifica abilitazione, ma deve essere soggetto dotato di conoscenze e competenze specifiche. Se dipendente, deve essere tenuto a seguire adeguate attività di formazione e aggiornamento, la effettuazione delle quali va comprovata per iscritto

Il DPO dipendente deve agire sulla base di un atto di designazione scritta che ne garantisca autonomia ed indipendenza, dotandolo di adeguate risorse (attrezzature, locali, personale). Può ricoprire anche altri incarichi, che non debbono però essere in conflitto di interessi con le attività attinenti al ruolo di DPO.

Il DPO può essere anche un consulente esterno od una persona giuridica (purché venga individuata una persona fisica di riferimento). Dovrà operare in base ad un contratto di servizi scritto che indichi compiti, risorse. Può essere nominato un solo DPO per un Gruppo di Imprese, purché sia facilmente raggiungibile da ogni stabilimento e svolga effettivamente il suo ruolo di garanzia e controllo.
La sua nomina va comunicata al Garante ed i suoi dati possono essere resi noti a coloro che subiscono il trattamento dei loro dati personali solo qualora detta comunicazione sia ritenuta necessaria dal titolare o dal responsabile del trattamento (sono invece i dati di contatto di quest’ultimo a dover essere pubblicati).

VIOLAZIONI E SANZIONI

Nel caso di violazione dei dati sensibili. In caso di violazioni di dati che possa mettere in pericolo la libertà ed i diritti dei soggetti interessati, deve essere - immediatamente e comunque entro 72 ore – notiziato il Garante della Privacy.

Sanzioni e risarcimenti. Sono previste sanzioni amministrative pecuniarie, che possono ammontare ad un massimo di 20 milioni di euro (o al 4% del fatturato annuo se superiore). L’entità delle sanzioni da applicare in concreto in relazione alle varie possibili infrazioni, dovrebbe essere stabilita da specifiche disposizioni normative dei vari stati membri, tenendo conto del tipo di dati in questione, dalla gravità della violazione, del danno causato agli interessati, nonché dell’elemento piscologico della infrazione e della eventuale recidiva.
Restano validi i poteri del Garante della Privacy: verifica, controllo, raccomandazione e divieto di trattamenti illeciti

(LC)

 

 

Ruota il dispositivo!