Nuovo GDPR Privacy – sei sul pezzo?

Il 25 maggio 2018 è entrato in vigore il nuovo regolamento UE 2016/676 in materia di Privacy (Regolamento Generale sulla Protezione dei Dati o GDPR), il quale ha abrogato la precedente Direttiva ed introdotto importanti novità, oltre ad un pesante impianto sanzionatorio.

Il regolamento europeo privacy 2018 ha introdotto maggiori tutele per i privati, quali la nomina del Data Protection Officer o DPO (in italiano Responsabile della Protezione Dati), nel caso in cui il trattamento riguardi categorie particolari di dati personali, cosiddetti dati sensibili (dati personali che rivelino l’originale razziale o etnica, le opinioni politiche, le convenzioni religiose o filosofiche, l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), nonché di dati relativi a condanne penali ed a reati.

Innovativa rispetto al passato è stata anche l’introduzione del diritto all’oblio, ovvero la possibilità per i privati di chiedere la cancellazione completa dei propri dati personali, qualora questi non siano più necessari rispetto alle finalità per le quali erano stati raccolti. Il titolare del trattamento in tal caso ha l’obbligo di procedere alla cancellazione.

Sono stati inoltre introdotti i nuovi concetti di Privacy by Default e Privacy by Design:

• Privacy by Default prevede che ogni titolare richieda solo i dati (e per il periodo di tempo) strettamente necessari per la finalità di trattamento, implementando al contempo misure tecniche e organizzative adeguate;
• Privacy by Design richiede che il titolare del trattamento tenga in considerazione, sin dalla progettazione delle attività di trattamento che intende porre in essere, le garanzie e le modalità tecniche di trattamento necessarie al fine di soddisfare i requisiti di tutela e Data Protection richiesti dalla normativa.

Infine è previsto un sistema sanzionatorio uniforme a livello EU, con sanzioni ben più aspre rispetto a quelle applicabili in precedenza.

IMPATTI PRATICI DEL REGOLAMENTO EUROPEO PRIVACY 2018

Da un punto di vista pratico, il nuovo regolamento europeo Privacy ha previsto l’adeguamento alle novità entro lo scorso 25 maggio 2018. Tra le altre cose, gli impatti pratici più significativi sono:

• Identificazione dei soggetti incaricati del trattamento dati personali (titolare del trattamento, responsabili interni ed esterni del trattamento, ecc.);
• Nomina del DPO e comunicazione al garante della privacy, qualora sia necessario il 25 maggio;
• Aggiornamento dell’informativa privacy alle richieste del nuovo regolamento;
• Possibilità di trasferire i dati raccolti in Paesi Extra-UE o di comunicarli a organizzazioni internazionali solo se il Paese o l’organizzazione sono riconosciuti dalla Commissione US come un Paese o un’organizzazione che garantisca un livello di protezione adeguato, ovvero vengano fornite garanzia di adeguata tutela dei dati da parte del titolare del trattamento.

I principali soggetti coinvolti nel trattamento dei dati personali sono:

• Titolare del trattamento:  la figura è analoga a quella prevista dal Decreto Privacy nazionale e dalla Direttiva. Il titolare deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al DGPR;
• Contitolari del trattamento (eventuali): esistono allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento. n tal caso, i contitolari devono determinare mediante accordo interno la ripartizione di funzioni e responsabilità;
• Responsabili del trattamento: il titolare può delegare uno o più responsabili interni del trattamento, i quali possano mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato. In caso di nomina, titolari e responsabili sono obbligati in solido nei confronti degli interessati del trattamento;
• Responsabili esterni del trattamento:  nel caso in cui, per raggiungere le finalità per cui i dati sono stati raccolti, i dati debbano essere trasmessi a terzi (fornitori), il titolare del trattamento piò nominare un responsabile esterno del trattamento. Il responsabile esterno è obbligato in solido nei confronti degli interessati del trattamento;
• Data Protection Officer (DPO): si tratta di una figura indipendente, nominata dal Titolare del Trattamento e dal Responsabile del trattamento. Ove nominato, svolge funzioni di supporto e verifica corretta applicazione della normativa, oltra a gestire gli eventuali rapporti con il Garante;
• Persone autorizzate al trattamento: sono figure analoghe agli incarichi previsti dalla Direttiva abrogata, anche se non sono più espressamente previste dal GDPR. Infatti il GDPR prevede che il titolare autorizzi persone terze al trattamento dei dati personali, purché queste si siano impegnate (anche in forza di obbligo contrattuale) alla riservatezza.

Alla luce di quanto sopra, Prima è a sua completa disposizione per affrontare tale delicato ed importante argomento insieme, potendola assistere ed affiancare in una consulenza ad hoc al fine di studiare la situazione attuale della sua azienda e, se del caso, aggiornala nel modo più adeguato per la sua realità.