Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione il Regolamento UE 679/2016 riguardante la nuova normativa sulla privacy che entrerà in vigore a partire dal 25 maggio 2018. Il Regolamento in quanto tale, non necessita di alcuna norma attuativa da parte degli stati membri; il che significa che a partire dal 25 maggio del prossimo anno tutti dovranno essere in regola con la nuova normativa. Il nuovo Regolamento sulla privacy porterà significative innovazioni non solo per i cittadini, ma anche per le aziende, enti pubblici, associazioni e liberi professionisti.
- 1 Le novità introdotte.
- 2 Le maggiori garanzie per l’interessato.
- 3 Cosa cambia per le aziende, associazioni, imprese e Pubblica Amministrazione.
- 4 La figura del DPO (Data Protection Officer).
- 5 Il Registro delle attività di trattamento.
- 6 La valutazione di impatto sulla protezione dei dati.
- 7 In conclusione.
Le novità introdotte.
Il Garante per la protezione della privacy ha emanato nel giugno 2016 una guida informativa nella quale vengono individuate le maggiori modifiche rispetto al sistema vigente e le novità introdotte. Queste ultime riguardano sia i diritti per l’interessato al quale vengono assegnate maggiori garanzie, che nuove regole per aziende, imprese, associazioni e Pubblica Amministrazione, introducendo sia la figura del DPO (Data Protection Officer) che il registro delle attività di trattamento.
Le maggiori garanzie per l’interessato.
Oltre a queste due novità il Regolamento, come anticipato, è strutturato per dare maggiori garanzie al soggetto interessato. In particolare, troviamo regole che definiscono i limiti al trattamento automatizzato dei dati personali, troviamo criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (data breach, per il quale è diventata obbligatoria la comunicazione all’interessato della violazione dei propri dati), l’informativa diventa più chiara e trasparente ecc. ecc..
In particolare si vuole evidenziare il DIRITTO ALL’OBLIO. Il diritto all’oblio (di cui abbiamo parlato in altro articolo consultabile qui “Diritto all’oblio – cos’è e come si può esercitare”) riguarda la possibilità per gli interessati di ottenere la cancellazione totale dei propri dati personali anche on-line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento. Per esempio se i dati non sono più necessari per gli scopi per il quale sono stati acquisiti ecc.ecc.
Cosa cambia per le aziende, associazioni, imprese e Pubblica Amministrazione.
Se aumentano le garanzie per l’interessato, è normale che cambino le regole che aziende, associazioni, Pubbliche Amministrazioni e imprese devono seguire. Innanzitutto cambia l’approccio che si baserà sulla valutazione del rischio. Il principio chiave è il “privacy by design”. Ovvero garantire la protezione dei dati sin dalla fase di ideazione e progettazione di un trattamento o sistema ed adottare comportamenti che prevengano possibili problematiche.
Il nuovo Regolamento sulla privacy invoglia e promuove il ricorso all’adozione di codici di condotta (vedi articolo su Codice Disciplinare e Codice Etico) che potranno essere anche certificati dall’Autorità Nazionale e/o dalla Commissione Europea. A tali soggetti, che così facendo offriranno maggiori garanzie saranno concesse delle semplificazioni. Il tutto ovviamente potrà ben essere integrato all’interno del modelli di organizzazione previsto dal D.Lgs. 231/01 (leggi articolo sulla “Responsabilità amministrativa di enti e società“)
La figura del DPO (Data Protection Officer).
Il DPO potrà essere una persona interna all’azienda oppure un libero professionista. I principali compiti del Data Protection Officer sono elencati nell’art. 39 del Regolamento e sono:
Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo;
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento,tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Appare ovvio che tra questi compiti il più importante sia comunque quello stabilito dalla lettera b) dell’articolo precedente, ovvero quello di sorvegliare l’osservanza del regolamento stesso. Questo ovviamente non significa che il DPO (Data Protection Officer) sia considerato diretto responsabile in caso di inosservanza.
Il Data Protection Officier non si sostituisce alla figura del titolare del trattamento dei dati personali. Anzi, il regolamento, all’art. 24, specifica che al titolare del trattamento spetta di mettere in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento effettuato è conforme al regolamento stesso. Così come l’art. 35 del regolamento europeo stabilisce che spetta al titolare del trattamento e non al DPO (Data Protection Officer), condurre ove necessario una valutazione di impatto sulla protezione dei dati (acronimo inglese DPIA). Lo stesso articolo poi prevede che il titolare del trattamento si deve consultare con un DPO per la redazione di una valutazione di impatto sulla protezione dei dati.
Il Registro delle attività di trattamento.
Altra novità importante è l’introduzione dell’obbligo per ogni impresa, ente, associazione o Pubblica Amministrazione titolare di un trattamento dei dati personali, di tenere un registro delle attività di trattamento. L’art. 30 del regolamento infatti prevede che:
Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie
di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
La valutazione di impatto sulla protezione dei dati.
la sezione 3 del regolamento ed in particolare all’art. 35 dello stesso prevede che:
- Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.
- Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
- La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Sarà comunque l’autorità nazionale del Garante per la privacy a redigere e rendere pubblico l’elenco delle tipologie di trattamenti soggetti al requisito della “valutazione di impatto sulla protezione dei dati”
In conclusione.
Sarà necessario non solo adeguarsi, entro il 25 maggio 2018, ma sarà necessario anche restare continuamente aggiornati in quanto saranno sempre possibili delle modifiche ai fini dell’attuazione da parte degli stati membri del nuovo Regolamento Europeo 679/2016.
