REGOLAMENTO EUROPEO
Dopo circa venti anni dall’emanazione della prima direttiva Europea in tema di Privacy – Dir. 95/46/CE – il 2015 ha registrato un traguardo epocale e di profondo cambiamento per la riforma europea in ambito di tutela dei dati personali, con l’approvazione del Regolamento Europeo Privacy – GDPR.
Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del testo del Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi.
Ricordiamo che i regolamenti UE sono immediatamente esecutivi, non richiedendo la necessità di recepimento da parte degli Stati membri.
1. COSA CAMBIA
Il Regolamento Europeo Privacy ha introdotto nuove tutele a favore degli interessati e, di conseguenza, nuovi obblighi a carico di Titolari e Responsabili del Trattamento di Dati Personali.
Unica Legge uguale per tutta la UE
Verrà applicata un’unica normativa per imprese e pubbliche amministrazioni appartenenti all’Unione europea; ulteriore novità è che tali norme saranno applicate anche alle imprese extraeuropee che offrono servizi e prodotti in terra UE.
Diritto all’Oblio
Concreta possibilità per il cittadini europei di far rimuovere le notizie personali diffuse nel web. Il fornitore del servizio online – Titolare del trattamento dei dati – dovrà procedere alla cancellazione, a meno che la notizia sia ancora di rilevante interesse pubblico. Quindi non tutto si potrà cancellare!
Accountability
Totale Responsabilità per il Titolare che ha l’obbligo di rispettare e di adottare complesse misure organizzative, tecniche e legali nel trattamento dei dati personali, attraverso un Modello Organizzativo Privacy, con l’onere di verificare (audit) e dimostrare quanto fatto.
Registro dei trattamenti
Bisognerà redigere e conservare opportune documentazioni, quali appunto i Registri delle attività di trattamento (art. 30), in cui vengano riportare tutte le attività di trattamento dati svolte sotto la responsabilità del Titolare al trattamento e/o del Responsabile.
Valutazione d’Impatto – Privacy Impact Assestment
Analisi specifica dei potenziali rischi e valutazioni di contrasto prima di ogni trattamento. Dovranno essere adottati modelli organizzativi per garantire la Compliance normativa Privacy, con particolare attenzione alla sicurezza. Non obbligatoria e quindi di natura volontaria per PMI, a meno che non vi sia un rischio elevato nel trattamento o nella tipologia dei dati.
Privacy by Design
Contemplare misure di prevenzione e sicurezza Privacy già nella fase di progettazione di prodotti o servizi informatici.
Notificazione al Garante
Non più necessaria. Decade l’obbligo di notificare preventivamente al Garante il trattamento dei dati personali particolarmente riservati. Risparmio enorme per le imprese!
Responsabile della protezione dei dati – Data Protection Officer
Nuova figura professionale per la gestione della sicurezza dei dati personali. Realtà già presente ed obbligatoria in alcuni paesi della UE. Prevista la designazione del D.P.O obbligatoria per imprese e PA, per le PMI la natura è volontaria a meno che non si configura un rischio elevato nel trattamento dei dati su larga scala.
Data Breach
In caso di violazione ai sistemi informatici è obbligatorio per il Titolare del trattamento Notificare l’evento all’Autorità Garante entro 72 ore dal momento in cui ne è venuto a conoscenza. La comunicazione deve essere inoltrata anche all’Interessato quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Portabilità dei dati personali
Obbligo per il Titolare del trattamento di facilitare il trasferimento dei dati dell’Interessato qualora questi lo richieda (es. da un gestore di servizi di comunicazione elettroniche ad un altro; da un social ad un altro).
Accesso facilitato dati personali
Il Titolare del trattamento deve agevolare l’Interessato ad accedere ai propri dati personali anche per conoscere, in particolare, quali dati sono oggetto del trattamento.
Più protezione e consapevolezza!
Con regole più chiare e trasparenti la Conformità normativa appare corposa nella documentazione da produrre, soprattutto in forma obbligatoria Accountability, Privacy Impact Assestment, Data Breach, anche se per le PMI è prevista meno burocrazia e meno oneri economici. Prevale il principio di “Responsabilità”, in capo all’impresa o PA, che impone un’attenzione strategica verso tutti i processi aziendali coinvolti nel trattamento dei dati.
Sanzioni
Inasprite le sanzioni amministrative per violazioni alla normativa indicata nel Regolamento Europeo che possono arrivare fino a 20 Milioni di euro o al 4% calcolata sul fatturato globale!
Ebbene in questa direzione si inserisce la figura chiave del Responsabile della Protezione dei dati – Data Protection Officer – il quale saprà indirizzare l’Impresa o la PA, attraverso un Modello Organizzativo Privacy, alla realizzazione di una Compliance Normativa adeguata, efficiente e consapevole.
Il risultato sarà un’adeguata protezione ai dati personali e maggiore competitività alle imprese nel mercato digitale.
2. D.P.O
Come detto tra le molteplici novità previste dallo stesso, art. 37-39, è stata introdotta la figura professionale del Data Protection Officer (DPO), ovvero un responsabile della protezione dei dati, che potrà essere interno o esterno. Ebbene si inserisce tale figura chiave, la quale saprà indirizzare l’Impresa o la P.A, attraverso un Modello Organizzativo Privacy, alla realizzazione di una Compliance Normativa adeguata, efficiente e consapevole.
Competenze:
– Conoscenza e applicazione della normativa e delle prassi di gestione dei dati personali;
– Adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitto di interesse;
– Operare alle dipendenze del Titolare o del Responsabile;
In sintesi, il DPO effettua sia un’attività interna alla struttura del preponente, sia un’attività esterna, in quanto punto di contatto fra la struttura e l’Autorità Garante.
In quali casi è necessaria la presenza di tale figura.
Sulla base del nuovo Regolamento dovranno designare obbligatoriamente un D.P.O:
a) Amministrazioni ed Enti Pubblici, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni;
b) Tutti i soggetti la cui attività principale consiste nel trattamento che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
c) Tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari / sensibili), o di dati relativi a condanne penali e a reati di cui all’articolo 10.
In tutti gli altri casi è facoltà dei Titolari e Responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.
N.B. Tale figura può essere selezionata ed ingaggiata in base a un contratto di servizi.