Dal 25 maggio 2018 tutte le aziende, i professionisti e gli enti pubblici dovranno mettersi in regola con le nuove regole in materia di privacy.
DIRETTAMENTE APPLICABILE IN ITALIA
Il Regolamento EU n. 679/2016, direttamente applicabile in tutti i 28 Stati membri – e quindi anche in Italia – senza necessità di una legge di recepimento, introdurrà moltissime novità sia con riguardo ai diritti degli Interessati (le persone fisiche a cui appartengono i dati personali), sia con riferimento agli obblighi da rispettare per un corretto trattamento dei dati personali.
IL VALORE DEI DATI PERSONALI MOVIMENTATI IN EUROPA
La Commissione Europea stima che il valore dei dati personali dei cittadini europei abbia il potenziale di crescere di circa mille miliardi di Euro (€ 1 trillion) l’anno entro il 2020.
NUOVI DIRITTI DEI CITTADINI EUROPEI E CORRISPONDENTI OBBLIGHI DI AZIENDE, ENTI PUBBLICI E PROFESSIONISTI
Ai nuovi diritti degli Interessati, tra i quali quello di ricevere un’informativa chiara e semplice, di ottenere risposta entro 30 giorni da eventuali richieste, di poter accedere ai propri dati, di ottenerne la portabilità presso altro operatore (data portability), di pretenderne la rettifica e la cancellazione (diritto all’oblio), di opporsi a decisioni adottate sulla base di un trattamento automatizzato e privo di intervento umano , corrispondono in modo speculare altrettanti obblighi in capo al Titolare del Trattamento (il soggetto che stabilisce le finalità e di mezzi del trattamento dei dati) e al Responsabile del Trattamento (il soggetto che tratta dati personali per conto del Titolare del Trattamento).
“PRIVACY BY DESIGN” E “ACCOUNTABILITY”
Esaminando la nuova normativa dalla prospettiva degli imprenditori notiamo che il Regolamento si fonda sui concetti della cosiddetta “Privacy by Design”, ovverosia della progettazione e pianificazione preventiva del miglior sistema di trattamento dei dati , e della cosiddetta “Accountability”, ovverosia della responsabilizzazione dei Titolari per l’adozione di tutte quelle misure, approcci e politiche – da monitorare costantemente – idonee ad evitare rischi di perdita di dati o di accessi non autorizzati.
RESPONSABILITÀ CIVILE E RISARCIMENTO DEL DANNO
Titolare e Responsabile del Trattamento rispondono nei confronti dell’Interessato per i danni da questo subiti a seguito della violazione delle norme imposte dal Regolamento, qualora non siano in grado di dimostrare di aver adottato tutte le misure idonee ad evitare il danno.
Il Regolamento, a differenza della vigente Legge sulla privacy (D.P.R. 196/2003), non stabilisce quali debbano essere in dettaglio le misure minime di sicurezza da adottare, ma lascia ai Titolari e ai Responsabili ampia scelta in merito. Il Regolamento, tuttavia, offre alcune linee-guida conformandosi alle quali il Titolare è avvantaggiato nella dimostrazione di aver operato diligentemente.
Tra queste:
- l’uso della crittografia;
- l’uso della pseudonimizzazione e dell’anonimato;
- l’uso di sistemi informatici che garantiscano l’integrità dei dati e il ripristino tempestivo in caso di incidente fisico o tecnico;
- l’adozione di procedure per testare con periodicità l’efficacia delle misure tecniche adottate;
- l’utilizzo di codici di condotta elaborati da organismi di categoria;
- la certificazione da parte degli organismi accreditati presso l’Autorità di controllo o dall’organismo nazionale di accreditamento designato in conformità alla EN-ISO/IEC 17065/2012.
LA NUOVA FIGURA DEL RESPONSABILE DELLA PROTEZIONE DEI DATI (DATA PROTECTION OFFICER)
Viene introdotta la figura del Data Protection Officer (DPO) che diventa obbligatoria quando si richiede un monitoraggio sistematico su larga scala dei dati personali trattati. Il DPO deve avere qualità professionali e competenze specifiche e può essere un dipendente dell’azienda o un freelance.
REGISTRI DELLE ATTIVITÀ DI TRATTAMENTO
Il Titolare e il Responsabile con almeno 250 dipendenti sono obbligati a tenere un registro scritto (anche in formato elettronico) delle attività di trattamento nel quale indicare, tra gli altri dati:
- Nome del titolare, responsabile, rappresentante;
- Finalità trattamento;
- Categorie di interessati e di dati personali;
- Categorie di destinatari;
- Trasferimenti all’estero dei dati;
- Termini di cancellazione dei dati;
- Descrizione generale delle misure di sicurezza tecniche ed organizzative;
- Categorie di trattamenti effettuati;
- Trasferimenti all’estero dei dati;
OBBLIGHI DI DENUNCIA IN CASO DI VIOLAZIONE (DATA BREACH)
Titolare e Responsabile devono denunciare all’Autorità di Controllo o direttamente all’Interessato eventuali violazioni dei dati trattati entro 72 ore da quando ne vengono a conoscenza.
SANZIONI
Fino a € 10.000.000,00 o fino al 2% del fatturato totale annuo relativo all’esercizio precedente, ove superiore, in caso di violazione degli obblighi gravanti sul Titolare e sul Responsabile del Trattamento, nonché degli obblighi impartiti dall’organismo di certificazione o dell’organismo di controllo dell’applicazione dei codici di condotta.
Fino a € 20.000.000,00 o fino al 4% del fatturato totale annuo relativo all’esercizio precedente, ove superiore, in caso di violazioni più gravi che riguardino i principi base del trattamento, i diritti degli Interessati, i trasferimenti dei dati personali all’estero, specifiche legislazioni nazionali o l’inosservanza di ordini da parte dell’Autorità di controllo.
AMBITO DI APPLICAZIONE TERRITORIALE
Il Regolamento si applica a tutte le aziende/istituzioni/professionisti che hanno sede o uno stabilimento in EU anche se i dati non vengono trattati nell’EU, oppure se l’azienda/istituzione/professionista non ha sede o stabilimento in EU ma propone beni o servizi ad interessati che si trovano in EU o effettua il monitoraggio dei loro comportamenti. In quest’ultimo caso vige l’obbligo di nomina di un rappresentante nell’Unione.
[RIPRODUZIONE RISERVATA]