Privacy – nuovo Regolamento Europeo 2016/679

Dal 25 maggio 2018 entrerà in vigore il Regolamento (UE) 2016/679 in materia di PRIVACY che prevede nuovi obblighi, una nuova figura professionale e un nuovo (pesante) trattamento sanzionatorio.

Il Regolamento (GDPR) si applicherà a tutte le aziende aventi almeno uno stabilimento nell’UE che trattano in modo integrale o parziale, automatizzato o non, i dati personali, indipendentemente dal fatto che il trattamento sia effettuato all’interno dell’Unione Europea.

Il GDPR, pur pensato per grandi realtà (piattaforme di social network, mondo bancario e assicurativo, settore pubblico e multinazionali), impatterà anche sulle piccole e medie imprese (una realtà imprenditoriale che negli ultimi anni – grazie all’abbassamento radicale dei costi delle tecnologie – tratta, e spesso profila, grandi quantitativi di dati).

Le sanzioni variano a seconda del trasgressore (se si tratta di persona fisica o impresa) e possono arrivare fino ad un massimo del 4% del fatturato totale annuo.

In linea generale, tra le attività previste dal GPRD che le aziende dovranno porre in essere, riteniamo utile segnalare, in particolare:

  • Registro delle Attività di Trattamento: ogni Titolare e Responsabile del trattamento dovrà tenere un registro delle operazioni di trattamento sotto la propria responsabilità; ciò sia ai fini dell’eventuale controllo da parte del Garante (anche attraverso la Guardia di Finanza), che per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda.
    Il registro dovrà avere forma scritta o elettronica e dovrà essere esibito su richiesta al Garante; Le imprese con meno di 250 dipendenti sono esonerate dalla tenuta del registro dei trattamenti, a meno che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati sensibili o i dati relativi a condanne penali.
  • Valutazione d’impatto sulla protezione dei dati personali (“Data Protecion Impact Analysis” o “DPIA”): il GDPR prevede che il Titolare, quando un determinato trattamento – tenuto conto dell’uso di nuove tecnologie e della sua natura, così come del contesto e delle finalità – possa presentare un rischio elevato per i diritti e libertà delle persone fisiche, debba anche effettuare una valutazione preliminare d’impatto di quel trattamento sulla protezione dei dati. Questa valutazione è sempre richiesta quando si è in presenza di:
  • trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
  • trattamenti automatizzati, ivi compresa la profilazione;
  • trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.

La DPIA è un procedimento atto a costruire e dimostrare la conformità dell’azienda al Regolamento, nonché uno strumento di fondamentale importanza messo a disposizione del Titolare del trattamento.

  • Responsabile della Protezione dei Dati – Data Protection Officer (acronimo “DPO”): tale figura dovrà essere obbligatoriamente presente in tutte le aziende dove i trattamenti presentino specifici rischi (aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati”); vi rientra ad esempio ogni forma di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale – o aziende che trattano “dati sensibili, genetici e biometrici”.
  • Obbligo di comunicazione in caso di violazione dei dati personali: il GDPR prevede l’estensione dell’obbligo di comunicare l’avvenuta violazione di dati personali (c.d. Data Breach) a tutte le società che effettuino un trattamento di dati personali, al di là del loro settore di business. Nello specifico, il Titolare deve notificare la violazione senza ingiustificato ritardo all’autorità di controllo (Garante) entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, invece, è previsto anche l’obbligo di comunicazione nei confronti di tutti gli interessati coinvolti.
  • Diritto all’oblio: il Titolare ha l’obbligo di dar corso alla richiesta dell’interessato di cancellazione dei suoi dati personali e che questi non siano più sottoposti a trattamento quando non siano più necessari per le finalità per le quali sono stati raccolti, così come quando abbia ritirato il consenso o si sia opposto al trattamento o il trattamento dei dati personali non sia altrimenti conforme al Regolamento Europeo.
  • Diritto alla portabilità dei dati: il Titolare ha l’obbligo di dar corso alla richiesta dell’interessato di trasferire i dati personali da un Titolare del trattamento ad un altro da lui indicato, senza alcun impedimento da parte del Titolare al quale sono stati forniti in precedenza i dati. I Titolari del trattamento, per rendere effettivo il diritto alla portabilità, dovranno informare gli interessati dell’esistenza di tale nuovo diritto ed adempiere ai propri doveri senza ingiustificato ritardo (in ogni caso, entro un mese dal momento in cui è pervenuta loro la richiesta), avendo sempre l’obbligo di rispondere alle richieste fatte.

Considerando quanto sopra, anche le imprese e i professionisti dovranno porre in essere delle misure che consentano, innanzitutto, di comprendere la reale importanza del trattamento dei dati in specifici contesti: non tutte le piccole e medie imprese, infatti, fanno del trattamento dei dati il loro core business, ciò non toglie che sia indispensabile avere sempre una “mappatura” dei dati per comprenderne anche la loro vulnerabilità.

Dovrà inoltre essere:

  1. rivista l’organizzazione interna dell’impresa conformandola al protocollo privacy (es. formalizzazione dei soggetti che compiono le operazioni di trattamento che dovranno essere specificatamente in possesso di autorizzazione da parte del titolare);
  2. formalizzata con contratto i rapporti tra titolare e responsabile del trattamento dati, delineandone le rispettive responsabilità, soprattutto, ma non solo, nel caso il cui responsabile sia un soggetto (professionista o società specializzata) esterno;
  3. revisionata la modulistica con i clienti/utenti (riformulando le informative e raccogliendo il nuovo consenso al trattamento dati);
  4. programmati ed attuati i sistemi di sicurezza nella protezione dei dati (ossia predisporre un ambiente realmente protetto per i dati sia memorizzati nei database aziendali che in transito)
  5. oggetto di attenzione la profilazione dell’individuo attraverso il trattamento dei suoi dati (tema che incarna uno dei timori principali manifestati dal Legislatore europeo secondo cui le/i macchine/computers possano trattare i dati in maniera automatizzata con possibili conseguenze giuridiche lesive dei diritti degli interessati);
  6. predisposta la documentazione dimostrativa della propria conformità alle regole previste nel Regolamento;
  7. programmata la formazione obbligatoria del personale;
  8. (eventualmente) data adesione a codici di correttezza e a sistemi di certificazione.

Tenuto conto della complessità dell’argomento e dell’impossibilità di esporlo compiutamente attraverso la presente circolare, corre l’obbligo di sottolineare che il presente documento non ha alcuna pretesa di esaustività e vuole essere unicamente un mezzo divulgativo della normativa che entrerà a breve in vigore.