GDPR – Quadro Normativo e Novità
LA PRIVACY EUROPEA 2.0.:
IL REGOLAMENTO UE N. 2016/679 E LE PRINCIPALI NOVITÀ
GDPR, PIA, DPO…Cosa sono questi nuovi acronimi che investiranno ufficialmente la vita delle aziende europee dal 25 maggio 2018 e di cui, con sensibile ritardo, si comincia finalmente a parlare?
Come purtroppo non ancora tutti sanno, sta per entrare in vigore il Regolamento UE 2016/679 (GDPR – General Data Protection Regulation) sulla Privacy che manderà definitivamente in cantina la direttiva 95/46/CE.
COSA CAMBIA?
Innanzitutto, trattandosi di regolamento e non più di direttiva, sarà direttamente applicabile in tutti gli Stati membri dell’Unione ed obbligatorio in tutti i suoi elementi, non essendo più demandato ad ogni Stato, come avviene per una direttiva, di raggiungere un determinato risultato, lasciandolo libero di deciderne le modalità più opportune.
Teoricamente, siamo di fronte ad un radicale cambiamento del concetto di privacy o quantomeno del sistema di regole che la tutelano. La realtà globalizzata ed il web 2.0 hanno generato un valore economicamente apprezzabile ad ogni singolo dato personale, trasformando il marketing e incidendo sui rapporti tra i vari Stati, soprattutto le grandi potenze mondiali.
Ebbene finalmente il legislatore se ne è preoccupato, maturando la necessità di dotarsi di un sistema di regole lungimirante, tanto aperto quanto rigido nei suoi confini, che garantisca al contempo il diritto alla privacy, sancito dalle più importanti fonti nazionali ed internazionali, ed un trattamento dei dati più trasparente e sicuro.
LE PRINCIPALI NOVITA’
APPLICAZIONE DELLA NORMATIVA
Con la vecchia disciplina occorreva prendere a riferimento la sede del Titolare del trattamento dei dati, lì dove il Regolamento, invece, sposta l’attenzione sul soggetto i cui dati sono trattati. Una delle principali conseguenze è che, per la prima volta, il Titolare che si trovi fuori dall’Unione Europea sarà soggetto alla normativa europea.
Inoltre è prevista l’introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi.
IL TRATTAMENTO DEL DATO E CATEGORIE DI DATI
Il trattamento del dato dovrà avvenire nel rigoroso rispetto dei seguenti principi: liceità, correttezza, trasparenza, aggiornamento, integrità, responsabilizzazione, necessità, finalità e minimizzazione.
Si tratta di principi, tra cui alcuni già noti, che hanno un’enorme incidenza nell’intero Regolamento UE, soprattutto, come di seguito illustrato, sull’informazione ed il consenso nonché sulla pianificazione e gestione della privacy per le aziende.
Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico” e viene tipicizzato il dato sanitario, inteso come dato che traspare dalla prestazione di servizi di assistenza sanitaria, parte della più amplia categoria dei “dati relativi alla salute”.
E’ stata anche Introdotta la categoria del trattamento dati dei minori.
Nonostante il Regolamento UE non utilizzi espressamente il termine dati sensibili e sensibilissimi, rubricandoli in “categorie particolari di dati personali”, la sostanza non muta. Quello che invece è oggetto di modifica è la protezione rafforzata di tali dati di cui il trattamento è di default vietato, salvo ipotesi ben delineate che non prevedono più l’autorizzazione del Garante.
NUOVI DIRITTI
Con il Regolamento Europeo è sancito il diritto alla portabilità dei dati che permetterà ad ogni interessato di pretendere la restituzione del dato concesso, anche su supporto elettronico.
Viene altresì chiaramente normato il diritto all’oblio, ossia il diritto ad essere completamente dimenticato da chi ha trattato i propri dati.
ALTRE NOVITA’ CHE INTERESSANO PRINCIPALMENTE LE IMPRESE
Esordisce il principio di Accountability (responsabilità verificabile) per cui è demandato ad ogni singolo Titolare di dotarsi preventivamente di una struttura organizzata e di idonee misure di sicurezza. Chi non lo farà sarà soggetto a sanzione, a prescindere dall’utilizzo effettivo del dato.
PRIVACY BY DESIGN E PRIVACY BY DEFAULT
Oggetto di rielaborazione sono le procedure di raccolta e gestione dei dati secondo la logica by design & by default, preordinate per attuare una tutela preventiva e proattiva del trattamento dei dati. In particolare, la privacy by design esige un’impostazione del trattamento basato su una tutela preventiva, tramite la previsione e attuazione di misure tecniche e organizzative adeguate come l’anonimizzazione e pseudonimizzazione, mentre la privacy by default disciplina un controllo costante sul trattamento affinché lo stesso avvenga nel rispetto della normativa in vigore, riducendo il rischio di violazione dei dati.
INFORMAZIONE E CONSENSO
Non a caso prima si parlava di informativa sulla privacy ed oggi di informazione. Viene abbandonato il concetto di adempimento burocratico dell’informativa come atto complesso da acquisire per un trattamento lecito dei dati e si passa ad una informazione accessibile, concisa e scritta con linguaggio chiaro e semplice che deve, allo stesso tempo, fornire tutte le informazioni necessarie sulla vita del proprio dato personale trattato.
Il nuovo consenso deve essere anche inequivocabile, oltre che informato, libero e specifico. Dunque per essere valido il consenso deve essere espresso in modo non equivoco, anche con un’azione concludente positiva, fatto salvo, si capisce, l’onere eventuale e successivo del Titolare della relativa prova.
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (PIA – Privacy Impact Assessment)
Occorrerà effettuare una valutazione degli impatti privacy, analizzando i rischi sulla scorta delle attuali lacune nel trattamento, le misure di sicurezza in dotazione ed i protocolli di verifica periodica.
COMUNICAZIONI AL GARANTE
Salvo casi specifici come il trattamento di dati genetici, non si dovrà più informare il Garante su un particolare trattamento dei dati ma la notifica al Garante nel giro di poche ore e la comunicazione all’interessato sono punti fermi del Regolamento in caso di violazione dei dati, salvo ipotesi ben individuate.
D.P.O. – DATA PROTECTION OFFICER
Nasce questa nuova figura per enti ed aziende che effettuano il trattamento di determinate categorie di dati. Tralasciando quanto previsto per gli enti pubblici, sarà obbligatorio dotarsi di un D.P.O. se le “attività principali” consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati su “larga scala”, oppure se siamo di fronte ad un trattamento su “larga scala” di “categorie particolari” di dati (c.d. dati sensibili) o di dati personali relativi a condanne penali e reati (c.d. dati giudiziari).
Il D.P.O. potrà essere sia una figura interna od esterna all’azienda, purché risposta al requisito della reperibilità, periodicamente rinnovata, dalla comprovata qualifica e che gestirà i rapporti con il Garante.
DATA BREACH
Si avrà una violazione dei dati con la diffusione, trasmissione, transito o comunicazione, non autorizzate, degli stessi ad opera di un soggetto non autorizzato
Risulteranno rilevanti l’errore umano, quale l’errata consegna del dato, pubblicazione ovvero distruzione nonché gli attacchi e gli accessi non autorizzati alle applicazioni web ed ai dispositivi.
Il principio di responsabilizzazione imporrà determinati comportamenti quali la notifica al Garante entro 72 H dalla violazione ovvero 48 H se trattasi di dossier sanitario, salvo dover diversamente poi chiarire le ragioni del ritardo ovvero aver reso inoffensiva la violazione.
Salvo ipotesi tassative, sarà altresì obbligatoria la comunicazione all’interessato della violazione con doviziosa descrizione di quanto accaduto, indicando i comportamenti che l’interessato dovrà tenere per attenuare i potenziali effetti negativi dell’uso improprio dei dati.
SANZIONI
Senza voler scendere troppo nel dettaglio e tentando di offrire una panoramica generale, le violazioni alle norme a presidio della privacy by design, comporteranno una sanzione pecuniaria sino a € 10 Milioni ovvero il 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore; mentre le violazioni alle norme a presidio della privacy by default, comporteranno una sanzione pecuniaria sino a € 20 Milioni ovvero il 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Il Regolamento UE detta i criteri per la determinazione della sanzione, individuando fondamentalmente solo il massimo della sanzione.
E’ demandato ad ogni singolo Stato membro la previsione di ulteriori sanzioni alle violazioni descritte dal Regolamento UE ma non oggetto di sanzione.
Ad oggi, il sistema sanzionatorio italiano rimane quello del Titolo III del Codice della Privacy che prevede sanzioni amministrative, penali ed accessorie.
SVILUPPI
Il Consiglio dei Ministri, lo scorso 21 marzo, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
Dunque, sconfessando i più scettici che non credevano in un tempestivo intervento del legislatore nazionale alle prese con l’avvio della nuova legislatura, sembra che il 25 maggio l’Italia godrà anche di una normativa interna concepita sulla scorta del Regolamento UE, scongiurando espressamente l’ipotesi di dover ricorrere all’ancora vigente Codice della Privacy per colmare un evidente vulnus normativo. Avv. Alfonso Massimo Cimò
- Posted by MepLaw
- On 27 Marzo 2018