Consulenza Privacy (GDPR)

REGOLAMENTO PRIVACY EUROPEO – 2016/679

 
 

GDPR – REGOLAMENTO PRIVACY EUROPEO

 

 ll Regolamento Generale sulla protezione dei dati (General Data Protection Regulation, GDPR) dell’UE, in vigore dal 25 Maggio 2018, porterà significative innovazioni non solo per i cittadini, ma anche per le aziende, gli Enti pubblici, le associazioni, i liberi professionisti.

Le principali novità

 Cittadini più garantiti

Il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach). 

 Informazioni più chiare e complete sul trattamento

L’informativa diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti.

 Consenso, strumento di garanzia anche on line

Il consenso dell’interessato al trattamento dei dati personali dovrà essere, come oggi, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio, selezionando un’apposita casella in un sito web). Per trattare i dati sensibili, il Regolamento prevede che il consenso debba essere anche «esplicito» e potrà essere revocato in ogni momento.

 Limiti alla possibilità per il titolare di adottare decisioni solo sulla base di un trattamento automatizzato di dati

Le decisioni che producono effetti giuridici (come, la concessione di un prestito) non potranno essere basate esclusivamente sul trattamento automatizzato dei dati (ad esempio, la profilazione). Faranno eccezione i casi in cui l’interessato abbia rilasciato un consenso esplicito al trattamento automatizzato dei suoi dati, oppure questo tipo di trattamento risulti strettamente necessario per la definizione di un contratto o avvenga in base a specifici obblighi di Legge.

 Più tutele e libertà con il diritto all’oblio

Grazie all’introduzione del cosiddetto «diritto all’oblio», gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento. A questo diritto si accompagna l’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile. Il Regolamento prevede che il diritto all’oblio potrà essere limitato solo in alcuni casi specifici.

 Portabilità dei dati: liberi di trasferire i propri dati in un mercato digitale più aperto alla concorrenza

Il Regolamento introduce il diritto alla «portabilità» dei propri dati personali per trasferirli da un titolare del trattamento ad un altro salvo alcune eccezioni. Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.

 Garanzie rigorose per il trasferimento dei dati al di fuori dell’Ue

Resta vietato il trasferimento di dati personali verso Paesi situati al di fuori dell’Unione europea o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela dei dati, rispetto ai quali il Regolamento introduce criteri di valutazione più stringenti. In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato, oppure qualora ricorrano particolari condizioni. 

 Obbligo di comunicare i casi di violazione dei dati personali (data breach)

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati. L’Autorità di protezione dei dati potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio associato alla violazione. Il titolare del trattamento potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere adottato misure di sicurezza (come la cifratura) a tutela dei dati violati oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato.

 Le novità per le imprese e gli enti

Un unico insieme di norme per tutti gli Stati dell’Unione europea

Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una Legge di recepimento nazionale. 

 Approccio basato sulla valutazione del rischio che premia i soggetti più responsabili

Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.

Viene inoltre introdotta la figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti.

 Semplificazioni per i soggetti che offrono maggiori garanzie e promuovono sistemi di autoregolamentazione

Il Regolamento promuove il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea (nel caso dell’approvazione da parte della Commissione il codice di condotta avrà applicazione nell’intera Ue).

 Data Protection Officer (o responsabile della protezione dei dati)

Negli ultimi mesi, ampio è stato il dibattito sui casi nei quali sia obbligatorio per un ente o una azienda nominare un Data Protection Officer. A fornire qualche chiarimento (senza tuttavia fugare ogni dubbio interpretativo) sono intervenute le Linee guida del 13 dicembre 2016 sui responsabili della protezione dei dati redatte da Article 29 Working Party, organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.

 Quando la nomina è obbligatoria

In base all’art. 37 del Regolamento, la nomina del DPO è obbligatoria:

 a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure

 b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure

 c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla Legge nazionale o al Diritto comunitario. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro “Articolo 29”, così come il Garante italiano, incoraggiano un tale approccio “cautelativo”.