Il Regolamento UE 2016-679 (di seguito GDPR) del 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale UE del 4 maggio 2016, sarà pienamente esecutivo dal 25 maggio 2018, abrogando la direttiva del 1995 sulla protezione dei dati personali recepita dalla normativa nazionale attuale.
Tale novità legislativa comporta nuovi adempimenti per imprese e professionisti che dovranno porre in essere misure idonee e adeguate per il corretto trattamento dei dati dei propri clienti. Rilevanti saranno le sanzioni amministrative da sopportare in caso di violazione della normativa, di valore fino a 20 milioni di euro o al 4% del fatturato complessivo dell’azienda o del gruppo.
Le principali prescrizioni del GDPR
La principale novità del GDPR riguarda il principio di accountability del Titolare posto alla base della nuova normativa, ossia la responsabilizzazione del Titolare rispetto alle misure, organizzative e tecniche, poste in essere per conformarsi al GDPR. In base a questo principio, al Titolare è riconosciuto un certo livello di discrezionalità nel processo di adeguamento a fronte del quale è posto, però, l’obbligo di documentare le scelte fatte e le ragioni che le hanno motivate nell’ottica dell’adeguamento alla norma, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Uno dei criteri a cui il Titolare deve attenersi, come evidenziato dal Garante, è sintetizzato dall'espressione inglese “data protection by default and by design", ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili. Si tratta in altri termini di valutare il rischio inerente al trattamento e di adottare le misure idonee a mitigare sufficientemente il rischio.
Le misure di sicurezza adottate dal Titolare devono “garantire un livello di sicurezza adeguato al rischio” del trattamento, infatti, la normativa non stabilisce obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati (articolo 32 del regolamento).
Indicazioni metodologiche stabilite dal regolamento
Con riguardo ai singoli adempimenti, di seguito si vogliono sintetizzare alcune indicazioni metodologiche utili in relazione alle misure organizzative ritenute necessarie per adeguarsi alla particolare disciplina:
Punto 1. Il nuovo regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’articolo 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy D.Lgs. n.196/2003;
Punto 2. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche individuate dal regolamento. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se il Titolare vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica. Occorre prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara. In tale contesto è opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento;
Punto 3. Dovranno nominarsi responsabili ed incaricati del trattamento. Il Titolare designa un responsabile del trattamento attribuendogli specifici compiti tramite specifico contratto e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” in tema di natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento. Il regolamento consente la nomina di sub-responsabili del trattamento da parte di un responsabile; prevede, inoltre, obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari quali la tenuta del registro dei trattamenti svolti, l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti oltre alla designazione di un DPO o “responsabile della protezione dati”.
Punto 4. In relazione alla designazione della figura del DPO per l’attività esercitata, il regolamento ne tratteggia le caratteristiche soggettive e oggettive quali indipendenza, autorevolezza e competenze manageriali (articoli 38 e 39 del regolamento). Il DPO coopera con l'Autorità ed il suo nominativo va comunicato al Garante costituendo il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali. La nomina del DPO è obbligatoria, in primo luogo, se il trattamento è svolto da un'Autorità pubblica o da un organismo pubblico, con l'eccezione delle autorità giudiziarie nell'esercizio delle funzioni giurisdizionali, in secondo luogo, se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala, infine, se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati;
Punto 5. A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all'autorità dell'avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre senza ingiustificato ritardo. All’uopo sarà necessario predisporre protocolli organizzativi che consentano di intervenire tempestivamente e procedere senza ritardo alla comunicazione al Garante;
Punto 6. Tutti i Titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.
In conclusione
La nuova disciplina impone ai destinatari un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un'intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.
**************
Lo studio rimane a disposizione per eventuali necessità e chiarimenti in merito.
I più cordiali saluti.
Comments