Dati personali, cosa dice il nuovo regolamento europeo

Il GDPR (General Data Protection Regolution) è un regolamento europeo che affronta e rinnova, in maniera organica, la tematica della tutela della privacy e della protezione dei dati personali. I nostri consulenti legali ce ne illustrano le principali novità.

Avatar di Avv. Cristina Brilli

a cura di Avv. Cristina Brilli

banner tom s legal 813643fc24538e60ff074e8dea9719c67

Il GDPR (General Data Protection Regolution), il regolamento europeo che rinnova in maniera organica la tematica della tutela della privacy e della protezione dei dati personali, è entrato in vigore nel 2016 e sarà direttamente applicabile in tutti gli Stati dell'Unione europea a partire dal 25 maggio 2018; sostituirà la disciplina attualmente vigente, senza bisogno di leggi nazionali di recepimento.

Il GDPR presenta, però, una struttura complessa, stratificata e spesso priva di indicazioni concrete che rende difficile approcciarsi autonomamente alla nuova disciplina. Cerchiamo, quindi, di capire e di iniziare a prendere dimestichezza con i principali elementi di novità con cui ci dovremo necessariamente confrontare tra qualche mese.

Data Protection 1030x773

Un nuovo approccio alla tutela della privacy

Il Regolamento introduce un nuovo approccio, essenzialmente basato sulla responsabilizzazione del titolare del trattamento (si parla, infatti, di accountability e privacy "dimostrabile", in quanto l'onere della prova della conformità del trattamento grava sui titolari) e sul concetto di privacy by design. Il GDPR affida ai titolari il compito di individuare e predisporre autonomamente le modalità (incluse garanzie e limiti) più idonee per garantire il rispetto della normativa, attraverso un'analisi preventiva e specifica di tutti i trattamenti di dati effettuati, rinviando il controllo dell'Autorità Garante ad una fase eventuale e successiva.

Uno dei primi passi sarà quindi quello della verifica dell'informativa sulla privacy rilasciata agli interessati, che andrà debitamente integrata per garantire il rispetto delle novità introdotte dal Regolamento: vanno ora indicati obbligatoriamente, ad esempio, anche il diritto dell'interessato di proporre reclamo all'autorità di controllo, il periodo di conservazione dei dati ed i dati identificativi del Data protection officer.

ue riforma tutela privacy

In particolare, occorrerà, poi verificare come viene raccolto il consenso degli interessati al trattamento dei dati: alla luce del GDPR, tra le altre cose, bisognerà valutare se occorra la verifica dell'età degli interessati e, quindi, se sia necessario acquisire il consenso da parte dei genitori/tutori degli interessati.

I titolari sono tenuti, ancora, a predisporre delle misure di sicurezza adeguate al rischio che il trattamento effettuato crea per i diritti e le libertà delle persone: passeremo, quindi, dalle misure di sicurezza statiche previste attualmente dall'All. B al Codice Privacy a delle misure di sicurezza definite in base alla valutazione dei rischi specifici esistenti e prevedibili in ciascuna realtà aziendale a seconda dei dati raccolti e delle attività di trattamento effettuate (l'art. 32 del GDPR contiene, infatti, una lista aperta e non esaustiva, perché la valutazione è rimessa caso per caso ai titolari).

Sarà, infine, compito dei titolari anche quello di disporre delle procedure idonee a rilevare e documentare in modo specifico e completo ogni eventuale violazione dei dati personali che si verificherà (data breaches), informandone prontamente gli interessati e fornendo tutta la relativa documentazione al Garante, per l'accertamento di eventuali responsabilità.

Le nuove procedure: il registro delle attività di trattamento e la valutazione di impatto

Il GDPR introduce anche nuove procedure che i titolari dovranno applicare per garantire un elevato livello di protezione dei dati personali.

Tra queste, è prevista la predisposizione di un registro delle attività di trattamento e la documentazione dei dati personali raccolti (con una mappatura del trattamento). La redazione di un registro è obbligatoria soltanto in ipotesi determinate, ma è uno strumento fondamentale nella struttura del GDPR, perché permette ai titolari di fare il punto sui trattamenti e sui dati trattati, di individuare eventuali trattamenti che comportano rischi per i diritti e le libertà personali, oltre che di verificare costantemente il rispetto della normativa ed avere uno strumento per dimostrare la conformità al Regolamento (anche considerando che il titolare ed il responsabile del trattamento devono tenere traccia di tutte le attività di trattamento svolte sotto la propria responsabilità).

privacy policy

Altra interessante novità del GDPR è la cosiddetta "valutazione di impatto sulla protezione dei dati" (Data protection impact assessment - art. 35 GDPR). Anche questa procedura non è sempre richiesta obbligatoriamente, ma è uno strumento estremamente utile per organizzare le attività e per verificare la corretta applicazione della normativa, in quanto permette di stabilire a priori quando un trattamento può essere rischioso (privacy by design). La valutazione, infatti, va realizzata prima di porre in essere il trattamento e successivamente aggiornata, secondo un processo continuativo e costante.

In generale, peraltro, andranno riviste e rinnovate tutte le procedure interne di gestione dei dati personali con lo scopo specifico, tra gli altri di dare concreta e rapida attuazione ai diritti degli interessati. Questi diritti non dovranno rimanere astratti, ma dovranno essere chiaramente riportati agli interessati ed affiancati da forme di tutela rapide ed efficaci: dovrà, quindi, essere garantita in tempi brevissimi, ad esempio, la portabilità dei dati (ovvero il diritto di trasmettere dati personali da un titolare ad un altro, che richiede la garanzia di trasmissione in un formato strutturato ed interoperabile) o la cancellazione dei dati stessi, ove richiesto dall'interessato.

Le nuove figure: il DPO

Tra i soggetti previsti dal Regolamento particolare importanza è già stata attribuita alla figura del DPO, ovvero Data Protection Officer (o Responsabile della protezione dei dati). La nomina non è sempre obbligatoria, ma comunque spesso opportuna, perché si tratta di un soggetto, dotato di esperienza e competenze specifiche, tenuto ad occuparsi specificamente dell'attuazione del Regolamento e a garantire la corretta applicazione della normativa all'interno della struttura e dell'organizzazione aziendale.

Il DPO potrà essere interno o esterno all'azienda e rivestirà, quindi, un ruolo versatile, impostato su ciascuna realtà aziendale: egli si occuperà di svolgere compiti informativi, consultivi e di controllo interno, su più ambiti (giuridico, tecnico, informatico) per organizzare tutte le attività connesse alla privacy e potrà fungere da raccordo con l'Autorità garante e con i singoli interessati.

La posizione del DPO è innovativa, in quanto egli: (i) riferisce direttamente al vertice (titolare del trattamento), (ii) non riceve istruzioni per i compiti che deve svolgere, (iii) gode di una posizione di autonomia all'interno della struttura aziendale, per cui gli dovranno essere garantite risorse umane e finanziarie adeguate ed effettive per svolgere correttamente e compiutamente i propri compiti.

privacy

Conclusioni

L'obiettivo base dell'emanazione del GDPR è quello di fornire una disciplina attuale ed uniforme per il territorio europeo superando le discrepanze profonde finora esistenti tra gli Stati membri in tema di protezione dei dati personali: proprio per questo motivo, infatti, è stato previsto un termine di due anni per consentire agli Stati di raggiungere un livello uniforme che permetta di rendere effettive le nuove regole. E proprio l'effettività della disciplina così introdotta è uno degli aspetti a cui il GDPR dà particolare attenzione.

Da un lato, infatti, il Regolamento introduce delle sanzioni molto elevate, che l'Autorità Garante, dotata di rilevanti poteri ispettivi, applicherà direttamente in caso di violazioni e che potranno arrivare addirittura a somme pari a 20.000.000,00 di euro. Dall'altro lato, viene richiesto a tutte la Autorità degli Stati europei, singolarmente e collettivamente, di predisporre e mettere a disposizione delle linee guida e di fornire delle indicazioni pratiche specifiche e dettagliate che aiutino i titolari nell'applicazione concreta del Regolamento. Compito al quale le Autorità stanno procedendo da alcuni mesi, ma che sono tuttora in corso di elaborazione.