Regolamento Privacy UE 2016/679 in vigore dal 25 maggio
Il Regolamento Privacy UE 2016/679, anche chiamato GDPR, si applicherà a partire dal 25 maggio 2018
Il nuovo Regolamento Privacy, obbligatorio in tutti i suoi elementi, sarà direttamente applicabile tra qualche settimana con le sue novità, in particolare in tema di diritti dell’interessato, responsabilità dei titolari e responsabili dei trattamenti, valutazione dei rischi, misure di sicurezza e sanzioni. Ma la grande novità del Regolamento Privacy è che si offre a tutti i cittadini degli Stati membri dell’Unione Europea lo stesso livello di diritti in termini di utilizzo dei propri dati personali. Il nuovo Regolamento Privacy si fonda sulla “responsabilizzazione” dell’azienda e dei titolari del trattamento, che saranno liberi di valutare come adeguarsi alla normativa ma dovranno obbligatoriamente dimostrarlo.
Vediamo le principali novità del nuovo Regolamento Privacy:
- Principio di accountability: il titolare deve implementare misure tecniche e organizzative per rispettare il regolamento, dovendo essere in grado poi di dimostrare, documenti alla mano, di averle adottate. Secondo il Regolamento Privacy, dunque, chi tratta i dati deve considerare i rischi connessi al trattamento sin dalla progettazione (privacy by design) e le eventuali misure di sicurezza da adottare per tutelare i diritti e le libertà delle persone. Le stesse misure devono garantire e poter dimostrare in ogni momento che i dati personali trattati siano solo quelli strettamente necessari per la finalità del trattamento (privacy by default)
- Informative e consenso: l’informativa deve essere concisa, trasparente, facilmente accessibile, con un linguaggio chiaro e semplice, data per iscritto o con altri mezzi elettronici. Finalità, interessi del titolare e/o responsabile, periodo di conservazione devono essere specificati. L’eventuale trasferimento dei dati a terzi deve essere esplicito. Il consenso deve essere libero, specifico rispetto alle finalità, informato e sempre revocabile.
- Diritti degli interessati: oltre ai già validi diritto di accesso, di rettifica, di cancellazione, di opposizione (rafforzati nel regolamento Privacy), nascono il diritto alla limitazione al trattamento dei dati, diritto alla portabilità dei dati.
- VIP – Valutazione di impatto privacy (o DPIA) tra i nuovi adempimenti del Regolamento Privacy troviamo la valutazione di impatto sulla protezione dei dati, obbligatoria da parte del titolare e/o dal responsabile quando il trattamento possa mettere in pericolo i diritti e le libertà dell’interessato. La valutazione dovrà determinare origine, valore, particolarità e gravità dei rischi, così da adottare misure opportune. Nel Regolamento Privacy sono inoltre elencati esempi di trattamento che comportano l’obbligo della valutazione.
- La nomina del DPO: una nuova figura introdotta dal Regolamento Privacy è quella del DPO (data protection officer) o responsabile della protezione dei dati, un punto di riferimento per tutto ciò che riguarda il trattamento. È obbligatorio quando i trattamenti richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, quando vengono trattati prevalentemente dati sensibili (categorie particolari di dati personali) e quando il trattamento è effettuato da un’autorità o da un organismo pubblico. Questa figura avrà il compito di sorvegliare l’osservanza del Regolamento Privacy, valutando i rischi di ogni trattamento.
- Registro dei trattamenti: il Regolamento Privacy ha previsto che il titolare e/o i responsabili del trattamento tengano un registro che attesti tutte le operazioni svolte sui dati posseduti. Il registro, elettronico o cartaceo, è obbligatorio solo per le imprese con più di 250 dipendenti, salvo che il trattamento non sia molto rischioso, riguardi dati sensibili o relativi a condanne penali. I contenuti minimi saranno i dati del titolare e dei responsabili, dell’eventuale DPO, i dati trattati, le finalità del trattamento, le categorie degli interessati e le misure di sicurezza intraprese. Data la completezza delle informazioni contenute nel registro, la sua elaborazione è consigliata a tutti i titolari, considerando che il documento sarà molto utile in caso di controllo da parte dell’autorità.
- Misure di Sicurezza: devono essere adeguate per attenuare i rischi derivanti da una violazione dei dati. Il Regolamento Privacy suggerisce ed elenca al titolare delle misure che possono essere utilizzate, come la cifratura dei dati personali, la capacità di ripristinarne l’accesso in maniera tempestiva in caso di incidente fisico o tecnico, o una procedura per testare regolarmente le misure di sicurezza.
- Data Breach: è una violazione dei dati che può provocare la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali. Con il nuovo Regolamento Privacy, in presenza di uno di questi eventi, il titolare del trattamento deve procedere alla notifica al Garante entro 72 ore, senza ingiustificato ritardo e, nel caso non si fossero adottate le misure di sicurezza adeguate, anche all’interessato.
- Le sanzioni: un altro elemento centrale del nuovo Regolamento Privacy è rappresentato dalle sanzioni amministrative pecuniarie. Sono stati fissati e inaspriti i massimali, 10 milioni di euro (o il 2% del fatturato), e 20 milioni di euro (o il 4% del fatturato). Quanto un’azienda dovrà pagare in caso di violazione, dipenderà dal tipo, dalla natura, dell’entità della stessa relativamente agli obblighi del Regolamento Privacy. Competente in materia di sanzioni sarà l’Autorità Nazionale di Controllo (ANC).
Sulla pagina web del Garante per la Protezione dei dati personali è possibile trovare tutte le informazioni utili alla gestione dei nuovi adempimenti, le linee guida e le faq.