Privacy, cosa cambia con il nuovo regolamento UE 679/2016. I nuovi adempimenti per enti e aziende

Mancano meno di 240 giorni alla data in cui diventerà operativo il regolamento europeo sulla protezione dei dati, meglio noto come GDPR (General Data Protection Regulation) e nonostante siano passati quasi due anni dalla sua pubblicazione sulla Gazzetta Ufficiale dell’Unione europea, enti pubblici e imprese sembrano muoversi a rilento in merito alle misure e agli adempimenti da adottare per adeguarsi alla nuova normativa

Ricordiamo che i regolamenti UE sono immediatamente esecutivi, non richiedendo la necessità di recepimento da parte degli Stati membri. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE. L’entrata in vigore di questo Regolamento permetterà che le la medesima normativa sia contemporaneamente in vigore in ventisette stati membri UE uniformandoli sotto un’unica disciplina.

 

NOVITA’ DEL REGOLAMENTO EUROPEO

Il Regolamento Europeo Privacy o GDPR introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali.

Segnaliamo alcune delle novità introdotte:

- un migliore accesso ai propri dati, comprese maggiori informazioni su come i dati vengono elaborati e la garanzia che tali informazioni siano chiare e comprensibili;

- un nuovo diritto alla portabilità dei dati che agevola la trasmissione dei dati personali tra prestatori di servizi;

- un più chiaro diritto alla cancellazione («diritto all’oblio»): quando un soggetto non vuole più che i suoi dati vengano trattati e non vi è alcuna ragione legittima per conservarli, i dati saranno cancellati;

- diritto di sapere se i propri dati personali sono stati violati: le aziende e le organizzazioni dovranno informare le persone tempestivamente in caso di gravi violazioni dei dati. Dovranno anche informare l’autorità di vigilanza competente sulla protezione dei dati.

Per Titolari e Responsabili del trattamento le novità saranno parecchie. Il principio della accountability comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure privacy adottate nel rispetto del Regolamento Europeo. Bisognerà redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento (art. 30) in cui vengano riportare tutte le attività di trattamento dati svolte sotto la responsabilità del titolare al trattamento o del responsabile. Viene richiesto di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato (art. 32-34). A ciò si accompagneranno notevoli semplificazioni e sgravi sugli adempimenti per chi rispetta le regole (ad esempio: viene abolito l’obbligo di notificazione al Garante).

 

IL PRIVATE IMPACT ASSESSMENT

Saranno necessarie valutazioni d’impatto sulla protezione dei dati, o Privacy Impact Assessment (art. 35) in caso di trattamenti rischiosi.

 

IL DATA PROTECTION OFFICER

La designazione del Responsabile della protezione dei dati (Data Protection Officer) sarà obbligatoria nel caso in cui:

(a) il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali), ovvero

(b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala, o ancora

(c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).

 

Il Privacy Officer potrà essere interno o esterno. Esso dovrà possedere un’ampia conoscenza della normativa e sarà in relazione diretta con i vertici aziendali. Al Data Protection Officer, figura competente sia in aree giuridiche che informatiche, verrà affidato il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti.

Per poter svolgere le attività richieste, il responsabile della protezione dei dati deve avere un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali. Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza.

All’interno del Regolamento Europeo viene indicato che il Data Protection Officer è una figura autonoma, che esegue le proprie funzioni in completa indipendenza (senza ricevere alcuna istruzione o impostazione gerarchica), e riferisce sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti si occupano di fornire le risorse necessarie.

 

FINO AL 25 MAGGIO 2018 PER ADEGUARSI

Il periodo utile per le aziende europee per adeguarsi alla nuova normativa privacy è di due anni e venti giorni a partire dal momento in cui il regolamento è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea, ovvero il 4 Maggio 2016.

Pertanto, le imprese - così come le pubbliche amministrazioni - avranno tempo fino al 25 Maggio 2018 per ripensare i processi di trattamento dei dati adattandosi a novità come le valutazioni di impatto e i sistemi di certificazione e di notificazione delle violazioni.

Nei casi in cui sarà necessario, le aziende dovranno anche dotarsi di un Privacy Officer.

Enti pubblici e imprese saranno dunque maggiormente responsabilizzati, anche attraverso sanzioni piuttosto elevate: fino a 20 milioni di euro o al 4% del fatturato. 

 

Quella della sicurezza è solo una delle molteplici sfide che pone il regolamento europeo, ma è forse quella più critica. Lo scenario di partenza, infatti, non è particolarmente roseo. Il Rapporto Clusit 2017 indica il 2016 come l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e la tendenza non sembra migliorare. Inoltre, nel suo intervento, Andrea Ghirardini, dell’Osservatorio Nazionale informatica Forense, ha raccontato una situazione fortemente deficitaria in tema di cyber security in Italia. «Dalle indagini che conduco con le aziende che mi chiamano per consulenze emerge che la strada da fare è ancora molto lunga. Solo due aziende su 70 hanno un livello di sicurezza accettabile – spiega. Poi aggiunge –. Anzi, solo una; perché l’altra, pur avendo adottato molte precauzioni, alla fine ha candidamente ammesso di avere tutti i dati e la gestione della sicurezza su cloud. A tal proposito mi piace citare il meme: non c’è “Cloud”, è solo il computer di qualcun altro». 

 

L’adeguamento, quindi, deve essere tecnologico, ma anche nell’approccio al problema e nella struttura organizzativa. A partire dalla nuova figura del DPO, che ha un ruolo dalle molte sfaccettature: deve infatti avere competenze normative, tecniche, comunicative e una profonda conoscenza dell’organizzazione del settore in cui si trova ad operare. Si tratta di una figura nuova, ancora poco diffusa e a breve molto richiesta.

 

Cosa si deve fare, dunque, per arrivare pronti al 25 maggio 2018, data in cui il GDPR diventerà operativo in tutti i paesi dell’Unione europea?

 

Le prime linee guida arrivano dal Garante, che ha suggerito alle Pubbliche Amministrazioni tre priorità: la designazione in tempi stretti del Responsabile della protezione dei dati (o DPO – Data Protection Officer); l’istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate, e la notifica delle violazioni dei dati personali, i cosiddetti Data Breach. 

 

Quest’ultimo punto appare particolarmente delicato: a oggi trascorrono circa 205 giorni tra la violazione dei dati e il momento in cui l’ente o l’azienda ne viene a conoscenza. Il GDPR stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore. 

 

Nella tabella di seguito andiamo ad esporre le principali differenze tra il la vecchia e la nuova procedura di gestione della privacy, nonché i principali impatti sulle imprese in termini di adempimenti.

 

1 – INDIVIDUAZIONE DEI SOGGETTI A CUI SI APPLICA IL REGOLAMENTO

Prima la normativa era applicabile nel luogo in cui aveva sede il Titolare del trattamento dei dati.

Con il Nuovo Regolamento Europeo la legge applicabile è quella del soggetto i cui dati vengono raccolti. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Con il nuovo regolamento viene abolita la figura del Titolare del Trattamento Dati e rimane solo la figura di Responsabile.

2 – DOVERE DI DOCUMENTAZIONE E INFORMAZIONE

Prima la documentazione era importante.

Con il Nuovo Regolamento Europeo principio dell’accountability (responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.

3 – L’INFORMATIVA PRIVACY

Prima l’informativa era spesso lunga, incomprensibile e con richiami normativi complessi.

Con il Nuovo Regolamento Europeo l’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Si propone anche l’utilizzo di icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.

4 – CAMBIA IL CONSENSO

Prima il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati.

Con il Nuovo Regolamento Europeo 
il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.

5 – VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

Prima si preparava il DPS.

Con il Nuovo Regolamento Europeo
si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi. Quasi sicuramente il nuovo documento sarà chiamato PIA: Privacy Impact Assessment.

6 – ABOLIZIONE DELLA NOTIFICAZIONE

Primai doveva informare il Garante che un soggetto sta trattando dati per una particolare finalità. (ex art. 37 D.lgs. 196/2003)

Con il Nuovo Regolamento Europeo 
non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il Privacy Impact Assessment, con il quale si considera effettuata la notifica.

7 – IL DATA PROTECTION OFFICER

Prima il DPO non era una figura contemplata.

Con il Nuovo Regolamento Europeo
bisogna istituire (per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un responsabile per la protezione dei dati. Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.

8 – PRIVACY BY DESIGN E PRIVACY BY DEFAULT

Prima la privacy era un elemento conclusivo e finale.

Con il Nuovo Regolamento Europeo
la privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato.

9 – OBBLIGO DI SEGNALAZIONE IN CASO DI VIOLAZIONE DEI DATI

Prima non era necessario comunicare violazioni nel trattamento dati.

Con il Nuovo Regolamento Europeo
nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach.

10 – RICONOSCIMENTO DI NUOVI DIRITTI

Prima pochi diritti che tutelavano l’interessato in merito alla gestione dei suoi dati.

Con il Nuovo Regolamento Europeo
nuovi diritti: diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto a essere totalmente dimenticato da chi ha raccolto i miei dati.

Fonti:

www.mondoprivacy.it

www.garanteprivacy.it

www.lastampa.it

 

 

 

 


Rimani in contatto

Come trovarci direttamente

Informativa Privacy
Leggi