Entra in vigore dal 25 maggio per rafforzare e unificare la normativa sulla protezione dei dati personali. Ecco che cosa cambia rispetto al passato, quali sono i soggetti interessati e le direttive a cui devono attenersi
“Una volta che hai perso la tua privacy, ti accorgi di aver perso una cosa estremamente preziosa” (Billy Graham)
“Non so perché le persone siano così entusiaste di rendere pubblici i dettagli della loro vita privata, dimenticano che l’invisibilità è un super potere” (Banksy)
Dal 25 maggio prossimo avrà piena applicazione il nuovo Regolamento europeo in materia di Protezione dei dati personali noto come Gdpr (General Data Protection Regulation), steso dalla Commissione Europea e pubblicato sulla “Gazzetta Ufficiale” dell’Unione Europea in data 04.05.2016.
Il Regolamento è entrato in vigore il 25 maggio 2016 ma il termine ultimo, concesso alle aziende e alle organizzazioni, per adeguarsi sarà il 25 maggio 2018.
L’esigenza è quella di rafforzare e unificare la normativa sulla protezione dei dati personali entro i confini UE e regolare, anche, il tema dell’esportazione dei dati personali al di fuori dei confini dell’Unione.
Il GDPR non è una direttiva ma un regolamento quindi non necessita adottare leggi nazionali locali che garantiscano il suo rispetto ma permane il vincolo assoluto di adeguarsi mandando in pensione la precedente direttiva 95/46/EC.
La riforma introduce due strumenti legislativi:
– il Regolamento vero e proprio sulla protezione dei dati personali, la loro elaborazione e la loro circolazione;
– la Direttiva sulla protezione dei dati inerenti la Polizia e la Giustizia Penale volta ad assicurare che tutte le informazioni relative a testimoni, persone offese e/o sottoposte ad indagini preliminari di un crimine vengano debitamente protette nel corso di un’indagine o durante l’esecuzione della pena.
Allo stesso modo, leggi più armonizzate faciliteranno la cooperazione tra la polizia e i pubblici ministeri dei Paesi confinanti al fine di combattere il crimine ed il terrorismo in modo efficace su tutto il territorio dell’Unione.
Il rafforzamento dei diritti degli individui e la protezione dei dati si traduce nella possibilità di accedere più facilmente agli stessi, nel diritto ad essere informati su come le proprie informazioni vengono processate e gestite, nel diritto a trasferire i propri dati tra diversi fornitori e, qualora non si voglia più che vengano trattati, nel diritto ad esigere la loro cancellazione (diritto all’oblio).
Con il Regolamento ogni individuo acquisisce il diritto di sapere quando i propri dati sono stati violati ed Imprese, Aziende, Professionisti ed Organizzazioni dovranno notificare il prima possibile (entro le 48/72 ore) all’Autorità Nazionale di Vigilanza le trasgressioni più gravi, affinché gli utenti possano prendere le misure adeguate.
Tutte le aziende e le associazioni con più di 250 dipendenti hanno l’obbligo di dotarsi di un registro per il trattamento dei dati personali; quelle con un numero inferiore di addetti sono anch’esse tenute ad istituire il registro qualora il trattamento può presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale e includa dati sensibili, genetici, biometrici giudiziari.
Prudenzialmente si può, comunque, adottare il registro ai fini della prova di una corretta gestione della privacy.
Il Registro dei trattamenti, che può essere tenuto in forma scritta o in formato elettronico, è tenuto dal titolare o dal rappresentante del trattamento e deve contenere tutte le informazioni relative ai dati trattati, ai soggetti coinvolti nella gestione della privacy aziendale, ai tipi di trattamento e alle finalità, nonché tutte le attività svolte per la loro protezione.
Occorre definire che cosa si intende per “trattamento” dei dati e quando questi ultimi sono qualificabili come “dati personali”.
Senza alcuna novità rispetto al già vigente Codice Privacy (D. Lgs. 196/03), nel Regolamento europeo per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
È, per esempio, considerato dato personale l’utilizzo dell’indirizzo di posta elettronica [email protected] perché contiene i dati anagrafici del titolare; non è dato personale l’indirizzo [email protected].
Per “trattamento” si intende “qualsiasi operazione o l’insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o all’insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o distruzione”.
Costituisce, invece, una novità, rispetto al Codice privacy, l’applicazione del Regolamento quando il trattamento sia automatizzato, in tutto o in parte, oppure quando il trattamento non automatizzato riguardi informazioni contenute in archivi oppure destinate ad esserlo.
Il Regolamento ha, anche, introdotto figure diverse tra di loro:
– Il Titolare del trattamento è quel soggetto che esercita un potere decisionale del tutto autonomo rispetto alle finalità e modalità del trattamento ivi compreso il profilo della sicurezza.
È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o con altri, determina le finalità e i mezzi del trattamento dei dati personali; non tratta personalmente le informazioni ma decide il motivo e le modalità del trattamento, è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa, nazionale ed internazionale, in materia di protezione dei dati personali compreso l’obbligo di notifica al Garante nei casi previsti.
Il titolare del trattamento deve porre in essere misure tecniche ed organizzative adeguate per garantire, sin dalla progettazione, la tutela dei diritti dell’interessato, deve garantire che i dati non siano persi, alterati, distrutti oppure trattati illecitamente stabilendo le misure adeguate di sicurezza.
Nel settore privato il titolare del trattamento può essere una persona fisica o una persona giuridica; in ambito pubblico il titolare del trattamento è l’autorità cioè una persona giuridica.
– il Responsabile del trattamento dei dati nominato con contratto o altro atto giuridicamente valido dal Titolare del trattamento insieme al quale pone in atto le misure tecniche ed organizzative congrue per garantire il livello di sicurezza adeguato a quello che è il rischio.
Titolare del trattamento e responsabile sono tenuti alla redazione del “registro dei trattamenti” che è il documento contenente tutte le informazioni relative alle operazione di trattamento effettuate all’interno dell’organizzazione, sia essa un’azione, un ente o un’organizzazione.
– l’Interessato: è la persona fisica identificata o identificabile a cui si riferiscono i dati.
– il Contitolare del trattamento che con il Titolare determina congiuntamente le finalità e i mezzi del trattamento dei dati personali assumendo gli stessi oneri.
– il Responsabile della sicurezza dei dati (DPO o Data Protection Officer) individuato, ai sensi dell’art. 37 del Regolamento, è un soggetto designato dal titolare o dal responsabile del trattamento per assolvere funzioni di supporto e controllo, consultive, formative ed informative relativamente all’applicazione del Regolamento che coopera con l’Autorità alla quale devono essere comunicate le sue generalità.
Quando l’azienda ha più sedi o più stabilimenti, dovranno essere nominati più DPO.
Il Responsabile è persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; spesso è un commercialista, un consulente del lavoro o comunque un professionista con conoscenze specialistiche della normativa e della prassi in materia di protezione dati.
Sono obbligati a nominare un responsabile i soggetti le cui attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
A titolo esemplificativo e non esaustivo sono obbligati alla nomina del DPO istituti di credito, imprese assicurative, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, caf e patronati, società operanti nelle telecomunicazioni, distribuzione di energia elettrica e/o gas, imprese di somministrazione lavoro e ricerca del personale, società di call center, società che erogano servizi televisivi a pagamento o servizi informatici, ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione.
Non sono obbligati alla nomina di un DPO i liberi professionisti operanti individualmente, agenti, rappresentanti e mediatori non operanti su larga scala, imprese individuali o familiari, piccole e medie imprese con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Il consenso al trattamento dei dati raccolto fino al 25 maggio 2018 resta valido se ha come fondamento un’idonea base giuridica; il trattamento è lecito quando l’interessato ha espresso il consenso, è necessario all’esecuzione di un contratto di cui egli è parte o all’adozione di misure precontrattuali adottate su sua richiesta, ad adempiere un obbligo legale o contrattuale, a salvaguardare degli interessi vitali dell’interessato o di terzi, per l’esecuzione di un interesse pubblico o l’esercizio di pubblici poteri, per il perseguimento del legittimo interesse del titolare del trattamento o di terzi se i suoi dati sono stati comunicati.
In caso contrario è opportuno adoperarsi prima della data del prossimo 25 maggio per raccogliere nuovamente il consenso degli interessati adottando, anche, una documentazione prestampata con una forma comprensibile, semplice e chiara (art. 7.2).
Infine, l’art. 83 del Regolamento prevede sanzioni elevatissime per le violazioni del codice che vanno da una mera diffida amministrativa fino a 20 milioni di euro e/o fino al 4% del fatturato.
