Il 25 maggio prossimo, in tutti gli stati europei entrerà in vigore il Regolamento Europeo 2016/679 detto anche GDPR: General Data Protection Regulation (qui il testo completo).
L’introduzione del GDPR, che coinvolgerà sia le aziende private sia la pubblica amministrazione, nasce dalla necessità di uniformare la legislazione in tema di trattamento dati personali in tutti i paesi membri dell’Unione, tenendo in considerazione l’elevato numero di dati personali che circolano anche all’esterno dell’UE.
GDPR e nuovi adempimenti
Dal 25 maggio prossimo, l’attuale Codice della Privacy (Dlgs 196/2003) sarà sostituito dal GDPR. Il nuovo Regolamento sarà recepito da tutti i paesi dell’Unione Europea senza necessità di ulteriori provvedimenti nazionali.
I paesi membri avranno però la possibilità di introdurre delle integrazioni al testo, in base alle leggi vigenti sul territorio nazionale.
Occorre adeguarsi prima del 25 maggio 2018
L’entrata in vigore del GDPR è prevista per il 25 maggio. Ciò vuol dire che l’adeguamento della documentazione dovrà avvenire prima di tale termine.
Infatti il consenso al trattamento dei dati raccolto prima di questa data, sarà valido solo se rispetta le prescrizioni del nuovo Regolamento Europeo 2016/679. In caso contrario sarà necessario raccogliere nuovamente il consenso degli interessati.
Il GDPR in breve
I cambiamenti introdotti dal regolamento sono numerosi, in particolare viene istituita la figura del Responsabile del trattamento dei dati e quella del Responsabile della Protezione dei Dati , nasce il Registro del trattamento dei dati, vengono date nuove indicazioni sul contenuto dell’Informativa, nuove indicazioni sul comportamento da avere in caso di perdita di dati personali (data breach) e compaiono nuovi diritti che gli interessati possono far valere per il trattamento dei propri dati.
Vengono introdotte anche nuove pesanti sanzioni nel caso in cui non venga rispettato quanto previsto dal Regolamento.
Come cambia l’Informativa
L’Informativa può essere redatta in formato elettronico, deve essere breve e coincisa, facilmente comprensibile e accessibile da parte dell’interessato che dovrà dare il proprio consenso entro dei tempi stabiliti.
L’elenco dei dati da inserire sono elencati negli articoli 13 e 14 del GDPR. Tra questi devono essere presenti i dati di contatto del Responsabile della protezione dei dati, la base giuridica del trattamento (ad esempio il trattamento dei dati è necessario ai fini contrattuali) e l’indicazione della possibilità che i dati personali vengano trasferiti in Paesi Terzi e con quali strumenti.
I nuovi diritti degli interessati:
Tra le novità più interessanti c’è la comparsa di alcuni nuovi diritti che l’interessato può far valere in tema di trattamento dei propri dati personali:
- Diritto di Accesso (Art.15) che da all’interessato il diritto di ricevere copia dei dati personali oggetto del trattamento. Inoltre occorre, quando possibile, indicare per quanto tempo saranno conservati i dati;
- Diritto all’Oblio (Art.17) che prevede la possibilità per l’interessato di richiedere la cancellazione, in forma rafforzata, dei dati oggetto del trattamento. Ciò implica che anche gli altri titolari del trattamento, dovranno provvedere alla cancellazione di qualsiasi link, copia o riproduzione di quei dati;
- Diritto di limitazione del trattamento (Art.18) permette all’interessato di richiedere al titolare del trattamento, una limitazione al trattamento dei dati già forniti sia in caso di uso improprio dei dati stessi (ad esempio il titolare utilizza i dati dell’interessato per finalità diverse da quelle accordate nel consenso), sia nel caso in cui l’interessato, richiesta una rettifica dei dati, stia aspettando conferma della modifica da parte del titolare;
- Diritto alla portabilità dei dati (Art.20) prevede che l’interessato, possa richiedere al titolare del trattamento di trasferire i propri dati, per i quali è stato dato un precedente consenso, ad un nuovo titolare. Il concetto è lo stesso della portabilità dei numeri telefonici: possiamo chiedere al nostro operatore telefonico la “portabilità” verso un nuovo operatore che diventerà il nuovo titolare dei dati.
Due nuove figure: il Responsabile del trattamento dei dati ed il Responsabile della protezione dei dati
Per garantire che i dati vengano trattati secondo quanto prescrive il GDPR, l’azienda, sia essa pubblica o privata, deve istituire la figura del Responsabile al trattamento dei dati. Il Responsabile, deve garantire che vengano messe in atto tutte le misure tecniche per tutelare i diritti dell’interessato. Per fare ciò il Responsabile dovrà tenere un Registro dei trattamenti svolti, obbligatorio in alcuni casi, che dimostri quali sono le misure tecniche e organizzative per garantire la corretta gestione dei dati.
Nei casi prescritti dal Regolamento, il Responsabile del trattamento dovrà designare un Responsabile della protezione dei dati (RPD o DPO) cioè una figura con un’approfondita conoscenza della normativa e delle procedure amministrative che caratterizzano il settore di riferimento.
Tale nomina dovrà essere comunicata all’Autorità attraverso apposito modulo scaricabile dal sito del Garante (qui il link)
Si tratta di una figura dedita alla consulenza tecnica in grado di verificare e garantire un sistema organizzato di gestione dei dati personali.
Nell’Articolo 37 sono indicate le aziende obbligate alla nomina del RPD, sia esso interno o esterno all’organizzazione.
Il Garante della Privacy ha pubblicato una serie di FAQ sulla figura del Responsabile della protezione dei dati, consultabile al seguente link>>
Registro dei trattamenti
I Responsabili del trattamento, eccettuati le organizzazioni con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (indicati nell’ Articolo 30), devono tenere un Registro dei trattamenti.
Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Notifica delle violazioni di dati personali
Altra importante novità introdotta dal GDPR riguarda il comportamento in caso di violazione dei dati oggetto del trattamento (data breach).
I titolari dei dati dovranno comunicare tale violazione all’Autorità di controllo entro 72 ore e comunque senza giustificato ritardo, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati
Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare.
I contenuti della notifica sono consultabili agli Articoli 33 e 34.
