Nuovo Regolamento UE sulla privacy - GDPR

1) Cosa prevede il nuovo Regolamento UE sulla privacy GDPR (General Data Protection Regulation - 2016/679)
Il Regolamento (UE) 2016/679 del 27 aprile 2016, più noto con l’acronimo inglese GDPR, prevede un nuovo quadro giuridico in materia di data protection, fondato sul concetto anglosassone di accountability del Titolare, nonché un approccio basato sul rischio. E’ relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

2)Quando entra in vigore?
Il regolamento è già entrato in vigore. Essendo tuttavia un regolamento ad applicazione differita, diviene pienamente operativo due anni dopo la sua approvazione, cioè il 25 maggio 2018.

3)Come cambia il concetto di privacy
Il trattamento del dato deve essere effettuato in un’ottica che preveda una protezione fin dalla progettazione. Viene introdotto il concetto di Privacy by Design e Privacy by Default.

 

PRIVACY BY DESIGN e PRIVACY BY DEFAULT
Con il Regolamento europeo sulla privacy si delineano i nuovi concetti di privacy by design e di privacy by default. Con il primo, si intende la tutela del dato fin dalla progettazione; con il secondo, si vuole indicare la tutela della vita privata per impostazione predefinita. Il titolare del trattamento, a tutela della protezione dei dati, dovrebbe adottare politiche interne e attuare misure tecniche e organizzative adeguate.

 

4)Cosa rappresenta la figura del Data Protection Officer (DPO)?
Il Regolamento UE ha introdotto una nuova figura, finora sconosciuta nel nostro ordinamento giuridico, il DPO o Responsabile della protezione dei dati (RPD).

5)Quando è obbligatorio nominare un DPO?

La designazione del DPO, ai sensi dell’art. 37 del GDPR, è obbligatoria in tre casi:

  1. se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico 
  2. quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”
  3. quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” o “giudiziari”.


6)Quali sono i suoi compiti? Che qualità ed esperienze deve possedere? Deve essere un dipendente o può essere nominato anche un soggetto esterno? Quali sono le conseguenze se non è nominato? È responsabile nei confronti dei terzi e/o degli interessati in caso di violazione del GDPR?
È una figura professionale altamente specializzata, le cui caratteristiche e compiti sono individuati dagli artt. 37-39 del GDPR. Il DPO può essere sia interno all’azienda (quindi un suo dipendente, che dovrà però operare in modo indipendente, senza conflitti d’interesse con i superiori gerarchici) sia esterno; in quest’ultimo caso il DPO potrà essere una società oppure un consulente specializzato nella tematica della protezione dei dati personali. Ciò che conta è che il DPO abbia una vasta conoscenza della normativa vigente e delle prassi in materia di protezione dei dati personali. Tra i compiti del DPO rientrano (art. 39 GDPR): 

  • Consulenza e informazione del titolare o del responsabile del trattamento e dei dipendenti in merito agli obblighi derivanti dal regolamento e dalle altre disposizione dell’UE o degli Stati membri relative alla protezione dei dati; 
  • Sorveglianza del rispetto del regolamento, di altre disposizione dell’UE o degli Stati membri relative alla protezione dei dati, nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali; 
  • Sensibilizzazione e formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; 
  • Elaborazione di un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorveglianza del suo svolgimento;
  • Cooperazione con l’autorità di controllo; 
  • Punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva.


7)Quali strumenti sono previsti?
REGISTRO DEI TRATTAMENTI
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti, ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Il par. 5 dell'art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.”

PIA (PRIVACY IMPACT ASSESSMENT)
Il PIA è lo strumento base per censire i rischi privacy. Un PIA è disegnato per raggiungere normalmente tre obiettivi: 

  •  Garantire la conformità con le normative, e requisiti di politica legali applicabili per la privacy; 
  •  Determinare i rischi e gli effetti che ne conseguono;
  •  Valutare le protezioni e eventuali processi alternativi per mitigare i potenziali rischi per la privacy.

MANUALE DELLE MISURE (DATA BREACH)
I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l'obbligo di comunicare eventuali violazioni di dati personali (data breach) all'Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

Tutti i titolari che subiscono una violazione devono: 

  • Notificare al Garante entro 72 ore. 
  • Segnalare al diretto interessato (senza ritardo ingiustificato)quando la violazione per i diritti e la libertà dell’utente

il mancato rispetto di questo obbligo comporta sanzioni penali 

  • Fino a 10 milioni di euro o 2% del fatturato mondiale totale annuo dell’anno precedente

Se violati gli obblighi del titolare e del responsabile: 

  • Fino a 20 milioni di euro o 4% del fatturato mondiale totale annuo dell’anno precedente 
  • Se sono violati i principi dettati in materia di principi base del trattamento ed in particolare del consenso, i diritti degli interessati, le disposizioni in materia di trasferimenti di dati in paesi terzi o in caso di negato accesso

INFORMATIVE E CONSENSO
L'art. 12 del Regolamento definisce "informativa", quel nucleo di informazioni che il titolare del trattamento è tenuto a fornire ai soggetti di cui si appresta a trattare i dati. Tale definizione va interpretata secondo il principio di trasparenza, che il Regolamento, meglio illustra rispetto alla normativa previgente. Secondo la normativa comunitaria, infatti, l'informativa deve esser concisa, trasparente, intellegibile e facilmente accessibile. Questa deve essere data per iscritto e deve indicare:

  • l’identità del titolare e del DPO 
  • la completa finalità del trattamento 
  • i tempi e i criteri dei meccanismi di conservazione 
  • il diritto di inviare reclamo all’autorità di controllo 

Le pubbliche amministrazioni non devono richiedere il consenso dell'interessato, purché il trattamento sia effettuato nell'ambito dello svolgimento delle proprie funzioni istituzionali. L’interessato ha il diritto di di revocare il proprio consenso in qualsiasi momento.

 

8)Deve essere effettuata una formazione per i dipendenti?
Il Nuovo Regolamento Europeo Privacy ha introdotto nuovi e specifici obblighi di formazione privacy in capo a tutti i Titolari del Trattamento e Responsabili del Trattamento. Il piano di formazione privacy deve essere approvato per iscritto dal Titolare del Trattamento e dal Responsabile del Trattamento e i corsi privacy previsti possono essere svolti, in aula o in modalità e-learning

 

9)Sanzioni

  • Inosservanza degli obblighi del titolare e del responsabile del trattamento; inosservanza degli obblighi dell’organismo di certificazione; inosservanza degli obblighi dell’organismo di controllo:
  • fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente.

 

  • Inosservanza dei principi base del trattamento; inosservanza dei diritti degli interessati; inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali; inosservanza di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo: fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.

 

  • Inosservanza di un ordine correttivo dell’autorità di controllo: fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
     

10)Dove posso trovare i documenti di riferimento?
https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT