Privacy: maggiori tutele e norme più rigorose

Il 25 maggio 2018 entra in vigore in tutti gli Stati Membri il Regolamento dell’Unione Europea numero 679 del 2016, detto “GDPR”,  che si applica alle imprese e ai professionisti che trattano dati personali di persone fisiche.

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue.

In estrema sintesi col GDPR:

  • si introducono regole più chiare su informativa e consenso;
  • vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • vengono poste le basi per l’esercizio di nuovi diritti;
  • sono stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • sono fissate norme rigorose per i casi di violazione dei dati.

I requisiti per le informative agli interessati rimangono e in parte sono ampliati. Essi devono includere il tempo di mantenimento dei dati personali e occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati.

È stato introdotto il diritto di contestazione delle decisioni automatizzate, compresa la profilazione, nonché il diritto all’oblio e alla portabilità dei dati.

Un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per le finalità. Pertanto se la richiesta viene inserita nell’ambito di altre dichiarazioni essa va distinta e formulata con linguaggio semplice e chiaro. Condizione di validità del consenso è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti. Nel caso in cui il consenso al trattamento dei propri dati personali per una o più specifiche finalità sia stato espresso da minori esso è valido solo se il minore ha almeno 16 anni. L’età viene ridotta a 13 anni solo se lo stato membro ha previsto con legge una diversa età purché non inferiore a questa. Qualora il minore abbia un’età inferiore ai 16 o 13 anni, il consenso al trattamento deve essere dato da un genitore o da chi eserciti la potestà, e deve essere verificabile.

Sussistono inoltre nuovi obblighi in capo ai Titolari del trattamento:

  • In particolare, il principio dell’Accountability comporta l’adozione di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate all’applicazione del Regolamento.
  • Sono poi stati introdotti i principi di Data protection by default and Data protection by design ossia la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati.
  • Tutti i titolari e i responsabili, eccettuati gli organismi con meno di 250 dipendenti, devono tenere un registro delle operazioni di trattamento, strumento indispensabile per ogni valutazione e analisi del rischio.
  • Tutti i titolari dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore, se ritengono che da tale violazione derivino rischi per i diritti degli interessati.
  • Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.

E’ stata inoltre prevista la figura del “Responsabile della protezione dei dati” (il c.d. Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. È il soggetto responsabile dell’applicazione e del rispetto della normativa privacy all’interno delle strutture dei titolari. Funge da interfaccia tra il titolare e i soggetti coinvolti nel trattamento, inclusi gli interessati. Riferisce e risponde direttamente al Consiglio di Amministrazione, ma è da questo indipendente.

Si ricorda, infine, che il mancato adempimento agli obblighi previsti dal GDPR comporta l’applicazione di sanzioni che vanno dall’ammonizione scritta in casi di una prima mancata osservanza non intenzionale a multe fino a 20 milioni di euro o fino al 4% del fatturato annuo.