Il 25 maggio 2018 diventerà operativo anche in Italia il Regolamento UE privacy 679/2016 (GDPR) che, pur prevedendo una serie di norme direttamente applicabili in tutti gli Stati dell’Unione europea, comporta ancora alcuni adeguamenti, a livello statale italiano, per il coordinamento di alcuni aspetti.
Il “nuovo” sistema approntato dalla normativa europea prevede alcune modifiche sostanziali che in questa sede ci limitiamo ad elencare in termini sintetici e non esaustivi.
Privacy 2018 e GDPR: Soggetti Interessati
Attualmente i soggetti coinvolti sono il titolare del trattamento, il responsabile e gli incaricati al trattamento. L’autorità preposta al controllo è il Garante della privacy.
Con il nuovo Regolamento restano il titolare e il responsabile, ma scompare la figura degli incaricati, che vengono sostituiti dai “soggetti autorizzati“, senza ulteriori specificazioni. Viene poi introdotta la figura del Responsabile per la protezione dei dati (DPO – Data Protection Officer), che è un consigliere dei titolari. Il Garante resta comunque l’autorità preposta al controllo.
Privacy 2018 e GDPR: Principi Generali
Ai principi generali fissati dalla precedente normativa (necessità, liceità, correttezza, adeguatezza, trasparenza e pertinenza nel trattamento dei dati personali), con il nuovo Regolamento, si aggiungono: accountability, l’obbligo per il titolare di adottare le misure necessarie affinché le norme del Regolamento siano rispettate, con la responsabilità di dimostrarlo.
Privacy 2018 e GDPR: Obblighi
Agli obblighi già previsti (informare l’interessato, raccogliere il consenso, se previsto, avere l’autorizzazione per trattare i dati sensibili, notificare al Garante particolari tipi di trattamenti e adottare misure minime di sicurezza) si aggiungono le regole specifiche per incarichi e deleghe, la nomina del Responsabile per la protezione dei dati, l’istituzione, ove richiesto, del Registro dei trattamenti, l’organizzazione interna ed i sistemi configurati a priori per l’adempimento degli obblighi.
Privacy 2018 e GDPR: Diritti degli Interessati
Anche i diritti degli interessati vengono implementati: al diritto di accesso ai dati, di cancellazione, di trasparenza, della possibilità di ricorso, d’informazione e di informativa si aggiungono: il diritto all’oblio, il diritto di ricevere i propri dati immediatamente e in forma intellegibile, i ricorsi su trattamenti di ogni tipo che abbiano una relazione con la UE.
Privacy 2018 e GDPR: Sanzioni
Ciò che interessa soprattutto le società sono le elevate sanzioni amministrative che, in base alla norma violata, possono arrivare ad un valore massimo pari al maggiore importo tra 20 milioni di euro e il 4% del fatturato annuo di gruppo. Gli Stati possono prevedere sanzioni penali. Invariati i poteri di verifica, di controllo, di raccomandazione e di divieto di trattamenti illeciti.
Privacy 2018 e GDPR: Valutazione degli Impatti
Di recente, il Garante europeo ha pubblicato alcuni chiarimenti in tema di valutazione degli impatti – Privacy impact assessment – valutazione che si configura come necessaria quando il trattamento, per natura, oggetto, contesto o finalità, presenti i rischi specifici elencati nell’art. 35 del Regolamento.
Privacy 2018 e GDPR: Responsabilizzazione
E’ poi da sottolineare che, per quanto riguarda le aziende, l’art. 5 del Regolamento Europeo Privacy prevede una serie di principi importantissimi nell’ambito del trattamento dei dati, incluso quello della “responsabilizzazione”. In forza di esso il titolare del trattamento ha il compito di assicurare e di essere in grado di comprovare, l’osservanza di tutti gli altri principi. Come suggerito dal Garante per la protezione dei dati personali, dunque, le aziende e le pubbliche amministrazioni dovranno dotarsi di un Responsabile della protezione dei dati (Data Protection Officer), di un Registro delle attività di trattamento e prepararsi alla notifica delle violazioni dei dati personali.
In Sintesi
Il GDPR apporta alla normativa attuale importanti modifiche, soprattutto con riguardo a:
– consenso al trattamento dei dati personali;
– accesso ai dati personali;
– tenuta del Registro dei trattamenti;
– diritto all’oblio dei dati;
– diritto alla cancellazione dei dati;
– limitazione del trattamento;
– opposizione;
– portabilità dei dati;
– difesa del dato trattato da eventuali attacchi esterni,
– nomina del DPO (=Data Privacy Officier), da notificare al Garante della Privacy ed obbligatorio nei casi di trattamento dati in ambito di servizi di telefonia e simili e in caso di trattamento dati “su larga scala”.
– notifica all’Autorità Garante di violazioni dei dati subite;
– sistema sanzionatorio.
Privacy 2018 e GDPR: Suggerimenti Operativi
A seguito dell’entrata in vigore della nuova norma, si rende necessario – prima del 25 maggio p.v. – l’adeguamento dei sistemi di trattamento dei dati, nonché la predisporre dei nuovi documenti necessari per il trattamento stesso (consenso / informative / nomine di responsabili e incaricati al trattamento dei dati / eventuale nomina del DPO).
Seppure non sia più previsto l’obbligo di redigere un documento specifico (vecchio DPS), suggeriamo caldamente di provvedere ad una opportuna valutazione delle modalità di trattamento dei dati ed alla formalizzazione di un documento che contenga le valutazioni effettuate ed espliciti gli eventuali adeguamenti previsti perché il regolamento comunitario lascia la valutazione della rischiosità e delle modalità più sicure di trattamento quasi totalmente alla discrezionalità del titolare del trattamento dei dati, con tutte le conseguenze che ne possono derivare anche in caso di contestazione per violazione dei dati.
Al Garante spetterà comunque il compito di rispondere alla necessaria semplificazione delle modalità di adeguamento al GDPR in capo alle micro, piccole e medie imprese.
Lo Studio Commercialista Genise è disponibile per eventuali consulenze in materia di privacy.
AVV. ALBERTO ZUCCHETTI
