Il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n.2016/679, il quale entrerà in vigore il 25 maggio 2018.
Le novità introdotte dal Regolamento si prefiggono lo scopo di sempre meglio adattare la normativa dell’Unione Europea alle nuove tecnologie, stante l’uso sempre più diffuso che viene fatto di internet.
Sempre più numerosi sono infatti i dati presenti nella rete e la stessa connessione tra i diversi Paesi del mondo sempre più forte, al punto che è stata disciplinata la diffusione di dati personali all’esterno dell’Unione Europea.
I meccanismi di profiling avranno maggiori restrizioni al fine di proteggere sempre di più i dati su internet.
Verrà introdotto l’obbligo di utilizzare un linguaggio più facile, più chiaro nelle regole relative alla privacy.
Inoltre chi fornisce servizi internet, dovrà ottenere un consenso esplicito, prima di utilizzare i dati personali dei clienti.
Cosa cambia per le aziende?
Innanzitutto precisiamo che le novità introdotte dal Regolamento UE e quindi gli adempimenti ivi previsti, riguarderanno tutte le aziende, ovvero i titolari del trattamento dei dati personali, che avendo una sede all’interno dell’Unione Europea, trattano dati personali, a prescindere dal fatto che il trattamento sia eseguito nell’UE stessa.
Inoltre si precisa che il comma 5 dell’art.30 del Regolamento, esonera dagli adempimenti che di seguito si indicheranno, le piccole e medie imprese, quelle con meno di 250 dipendenti, a meno che “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati, ad esempio quelli sensibili”.
A chi si applica il Regolamento?
Si applica la legge del soggetto i cui dati vengono raccolti.
Pertanto ai motori di ricerca su internet, alle piattaforme web e ai social network, verrà applicata la normativa europea anche se per esempio, gestiti da società con sede fuori dall’Unione Europea.
Inoltre il nuovo regolamento cancella la figura del Titolare del Trattamento Dati mentre viene mantenuta quella di Responsabile.
Principio dell’ accountability: cos’è?
Il principio dell’accountablility ovvero della responsabilità verificabile, è quel principio che obbligherà tutti i soggetti che partecipano al trattamento dati a essere responsabili e consapevoli.
Per questo dovranno conservare e tenere la documentazione di tutti i trattamenti effettuati.
Se non si è in possesso dei documenti si è perseguibili, a nulla vale l’eventuale utilizzo che potrebbe essere fatto dai dati.
L’Informativa Privacy
Con il nuovo Regolamento l’informativa deve essere più chiara, più leggibile, semplice, accessibile a tutti, breve e scritta con linguaggio con pochi riferimenti normativi.
Deve essere fornita per iscritto.
Se l’interessato è d’accordo può essere fornita anche oralmente, tuttavia la sua identità dovrà comunque essere provata con altri mezzi.
Infine è previsto di utilizzare delle icone al fine di rendere l’informativa più facilmente leggibile anche da parte di chi non conosce la lingua.
Il Consenso
Il consenso deve essere libero, specifico, informato e inequivocabile.
Il consenso è valido se il soggetto lo dichiara in modo NON equivoco, è sufficiente un’azione positiva, non serve più come in passato, un atto formale.
Valutazione degli impatti
Il Regolamento stabilisce che la valutazione degli impatti privacy deve partire con l’analisi dei rischi, attraverso una corretta gestione dei stessi, adottando una strategia per colmarli, effettuando controlli periodici per ridurre i rischi.
In particolare questo adempimento è richiesto per esempio per i trattamenti automatizzati, compresa la profilazione, oppure per i trattamenti sui dati sensibili, quelli di sorveglianza sistematica di zone accessibili al pubblico.
Sarà comunque il Garante per la Privacy a comunicare e rendere noto l’elenco delle tipologie di trattamenti soggetti al requisito della valutazione di impatto sulla protezione dei dati.
La notifica
Con il nuovo Regolamento le aziende non dovranno più informare il Garante, ma ogni anno dovrà essere redatto il cosiddetto Privacy Impact Assessment, con cui la notifica viene considerata eseguita.
Il Data Protection Officer
Le aziende dovranno nominare un Data Protection Officer, ossia un responsabile della protezione dei dati.
Il responsabile della protezione dei dati dovrà essere obbligatoriamente presente all’interno di tutte le aziende pubbliche nonché in tutte quelle ove i trattamenti di natura rischiosa, ad esempio le aziende nelle quali è necessario un monitoraggio sistematico degli interessati e quelle che trattano i c.d. “dati sensibili”.
Potrà essere nominato anche un dipendente della società titolare del trattamento, ma potrà essere nominato anche un collaboratore esterno all’azienda con regolare contratto.
Il Data Protection Officer si confronterà direttamente con i vertici gerarchici dell’azienda, ed avrà grande autonomia e indipendenza e dovrà possedere specifiche ed elevate competenze e sarà referente del Garante.
Cosa fare in caso di violazione dei dati?
In questo caso occorre effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati.
Il mancato rispetto di quest’obbligo comporta per l’azienda l’applicazione di sanzioni penali.
Cosa rischia l’azienda?
Nel caso in cui l’azienda non rispetti le norme del nuovo Regolamento il sistema prevede delle sanzioni amministrative pecuniarie che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato totale dei trasgressori.
Sarà bene quindi che le imprese, comprese le pubbliche amministrazioni ripensino ai processi di trattamento dei dati cercando di adeguarsi alle novità portate dal Regolamento UE entro il 24 maggio 2018.
Vuoi altre informazioni su questo argomento?
Contatta l’Avv. Francesco Nepi
347/5741872 -mail:Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
