Privacy, nessuna proroga

Il Regolamento europeo (UE) 2016/679, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, entrato in vigore il 24 maggio 2016, è diventato direttamente applicabile il 25 maggio 2018, senza possibilità di proroghe.

A partire da tale data, le multe per le violazioni del regolamento UE 2016/679 potranno arrivare fino a 20 milioni di euro o, per le imprese, al 4% del fatturato annuo globale.

Il DLgs 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali” sarà probabilmente abrogato in toto o in parte dal nuovo Decreto legislativo approvato in via preliminare dal Consiglio dei Ministri il 21 marzo scorso; tale bozza è nel frattempo stata revisionata nel maggio 2018. La pubblicazione del nuovo D.Lgs. è al momento prevista entro il prossimo agosto, e tratterà l’adeguamento della normativa nazionale ai requisiti introdotti dal Regolamento 679/2016. Pertanto si conferma che il Regolamento 679/2016 è pienamente in vigore in tutti i suoi contenuti.

Il Regolamento 679/2016 deve essere adottato da tutti: aziende, enti pubblici, associazioni, liberi professionisti, ditte individuali, artigiani, ecc.

Le novità sono riassunte per sommi capi nel seguito:

  • Regole più chiare in materia di informativa e di consenso: l’informativa diventa sempre più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti. Un articolo del Regolamento è dedicato ai contenuti obbligatori dell’informativa. Il consenso al trattamento dovrà essere preventivo e inequivocabile anche quando espresso attraverso mezzi elettronici. Per i dati “sensibili” il consenso deve essere esplicito. Viene esclusa ogni forma di consenso “tacito”. I fornitori di servizi internet e i social media dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati dei minori di 16 anni.
  • Più tutele e libertà con il diritto all’oblio: gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento e di chiunque li stia trattando.
  • Portabilità dei dati: liberi di trasferire i propri dati personali da un titolare del trattamento ad un altro; il titolare del trattamento ha l’obbligo di trasferire al nuovo titolare del trattamento i dati personali dell’interessato che glielo richieda con formati elettronici leggibili e di uso comune in tempi congrui.
  • Garanzie rigorose per il trattamento dei dati al di fuori del UE. Resta vietato il trasferimento dei dati personali verso Paesi extra UE per i quali il Regolamento fissa standard di adeguatezza più stringenti.
  • Obbligo di comunicare i casi di violazione dei dati personali (data breach) al Garante e, nel caso in cui tale violazione rappresentasse una minaccia per i diritti e le libertà delle persone, il titolare del trattamento dovrà informare in modo chiaro e semplice anche tutti gli interessati e fornire indicazioni su come intervenire per limitare le possibili conseguenze negative.
  • Approccio basato sulla valutazione del rischio: il Regolamento promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Il principio base è la “privacy by design”, ovvero garantire la protezione dei dati fin dalla fase di ideazione di un trattamento ed adottare azioni che consentano di prevenire possibili problematiche.
  • Limiti alla possibilità per il titolare di adottare decisioni (ad esempio la concessione di un prestito) solo sulla base di un trattamento elettronico dei dati (ad esempio la profilazione), fatto salvo che l’interessato abbia dato il proprio consenso. In ogni caso sono previste garanzie per gli interessati quali il diritto ad opporsi alla decisione “automatizzata” o il diritto di ottenere un intervento “umano” rispetto alla decisione automatizzata.
  • Introdotta la nuova figura del Responsabile della protezione dei dati (Data Protection Officer – DPO) incaricato di assicurare una corretta gestione dei dati personali negli enti e nelle imprese che abbiano determinati requisiti. In ambito privato le FAQ del Garante chiariscono che sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati. Ricorrendo i suddetti presupposti una delle FAQ chiarisce che sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

I requisiti del Regolamento UE 679/2016 possono essere agevolmente inseriti nei sistemi di gestione qualità ISO 9001:2015:

  • Integrando nella leadership le figure della protezione dei dati
  • Integrando nella gestione dei processi esternalizzati l’individuazione dei responsabili del trattamento;
  • Inserendo nell’analisi del contesto e dei rischi i requisiti richiesti dal Regolamento in materia di registri trattamenti e di adozione di misure adeguate;
  • Gestendo le richieste di accesso ai dati e i requisiti temporali di risposta mediante procedura di gestione delle richieste dei clienti/reclami;
  • Gestendo il data breach mediante gestione delle non conformità;
  • Utilizzando l’audit interno per soddisfare il requisito di verifica periodica dell’efficacia delle misure.