Regolamento Europeo nuova norma protezione Dati Personali

Nuovo Regolamento Europeo sulla protezione dei Dati Personali



La normativa sarà in vigore dal 25 maggio 2018 e porta con sé alcuni elementi di novità che le aziende italiane dovranno essere pronte a recepire.
Evidenziamo nel seguito i principali, con un approccio necessariamente schematico, rimandando ad altra sede gli approfondimenti del caso:

-  APPLICABILITA’ TERRITORIALE: Tutte le aziende che operano o sono interessate a operare nel mercato europeo saranno soggette al Regolamento. La norma infatti si applica anche alle imprese che non risiedono in UE se esse svolgono operazioni di trattamento legate all’offerta di beni e servizi (inclusi quelli che non prevedono il pagamento di corrispettivi) a interessati che si trovano in UE o se effettuano il monitoraggio di loro comportamenti che hanno luogo in UE.
-  LEGGE UNICA PER TUTTI I PAESI UE: La normativa si applica a tutti i paesi UE, così da garantire un’uniformità di diritti e doveri a chi opera nel mercato europeo o a chi vi risiede. Solo per alcune specifiche situazioni di trattamento, gli stati membri dell’unione hanno la facoltà di modificare e adattare le norme del Regolamento alla propria giurisdizione per casistiche che, per loro natura, sono di competenza dei singoli stati (contratti di lavoro, accesso del pubblico ai documenti ufficiali, archiviazione a fini statistici, storici o  scientifici, obblighi di segretezza, chiese e associazioni religiose).
-  PRINCIPIO DI RESPONSABILIZZAZIONE: Il Titolare del trattamento ha la responsabilità di dotarsi di misure tecnico-organizzative adeguate al contesto in cui opera per tutelare i diritti e le libertà fondamentali degli interessati. La norma richiede preparazione, consapevolezza e senso di responsabilità da parte di tutti coloro che svolgono operazioni di trattamento di dati personali.
-   NECESSITA’ DI DOCUMENTARE IL CONSENSO: Grande attenzione è posta sulle modalità di raccolta del consenso al trattamento.
Il consenso deve essere libero, specifico, informato e inequivocabile e, soprattutto, il Titolare deve in ogni momento poter dimostrare di averlo ricevuto: sarà quindi opportuno organizzare la registrazione e la “manutenzione” dei consensi ricevuti o ritirati dagli interessati attraverso procedure specifiche che permettano di averne immediata evidenza.

-  RAFFORZAMENTO DEI DIRITTI DEGLI INTERESSATI: la norma consolida i diritti degli interessati in merito ai propri dati personali, obbligando i Titolari a ottemperare alle richieste secondo tempistiche stringenti. Il nuovo diritto alla portabilità dei dati personali – quando il trattamento è effettuato con mezzi automatizzati e avviene in base al consenso dell’interessato o per ottemperare a un contratto – prevede che l’interessato riceva i propri dati dal Titolare a cui li ha conferiti in formato strutturato, di uso comune e leggibile da dispositivo automatico così che questi possano eventualmente essere trasmessi ad altro Titolare.  
Il nuovo diritto imporrà alle imprese l’obbligo di implementare processi in grado di soddisfare questo tipo  di richieste.

-  PRIVACY “NATIVA”: la privacy deve essere inclusa fin dall’inizio nei trattamenti ovvero nei prodotti e nei servizi offerti dal Titolare. Bisogna cioè tenere conto della protezione dei dati fin dalla fase di progettazione di un sistema IT o di un processo che include informazioni personali.
-  GESTIONE DEL RISCHIO E VALUTAZIONE D’IMPATTO: Trattare dati personali  è un’attività pericolosa e deve pertanto essere inserita nel quadro dei rischi aziendali. Il risk management e la capacità di gestire efficacemente i pericoli, anche tramite le metodologie usualmente utilizzati dalle imprese per l’analisi e la mitigazione di pericoli di altra natura, è uno strumento che dovrà diventare consueto anche per quanto riguarda il trattamento dei dati personali.
La grande quantità di dati personali disponibili in rete e circolanti rende questo approccio obbligatorio
Qualora poi un trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere il Titolare ha l’obbligo di effettuare una valutazione preliminare d’impatto allo scopo di valutare le possibili conseguenze del trattamento e i rischi connessi, soprattutto nel caso d’impiego di nuove tecnologie. La  valutazione effettuata deve contenere una serie di descrizioni e deve essere conservata ed  esibita, se richiesto, per dimostrare che il Titolare abbia agito in modo conforme alle norme. E’ possibile consultare l'Autorità di controllo qualora la valutazione d'impatto indicasse che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal Titolare per attenuarlo. E’ presumibile che l’Autorità rediga un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto.
-  NOTIFICA E GESTIONE DELLE VIOLAZIONI: Le violazioni di dati devono essere comunicate all’ Autorità Garante entro 72 ore dalla loro individuazione, insieme a una serie di informazioni circa la loro estensione e  gravità e alla descrizione dei rimedi che sono stati adottati per ridurre i rischi connessi alla perdita o alla diffusione di dati. Devono essere comunicate anche agli interessati senza ingiustificato ritardo in presenza di rischi elevati per i loro diritti e per le loro libertà.
-  POTERE SANZIONATORIO DELL’AUTORITA’ GARANTE: Il Regolamento definisce solo i limiti massimi delle sanzioni comminabili. lasciando all’Autorità Garante il compito di effettuare le valutazioni caso per caso e quindi attribuendole un grande potere discrezionale. I limiti massimi sono molto elevati e arrivano, nei casi più gravi, a un importo massimo di 20 milioni di euro o a un valore fino al 4% del fatturato mondiale (ultimo bilancio) dell’impresa.
-  ONE STOP SHOP E COLLABORAZIONE TRA AUTORITA’ EUROPEE: Gruppi d’imprese o multinazionali potranno interagire con uno “sportello unico” – individuato in funzione del “principio di  stabilimento” – per qualunque tema relativo al trattamento dei dati personali. Un’unica Autorità Garante (Autorità capofila) sarà responsabile, ad esempio, di relazionarsi con l’impresa per la definizione delle Norme vincolanti d’impresa. Gli accordi così raggiunti saranno validi in tutta l’UE senza bisogno di accordi locali.
L’istituzione dello sportello unico è solo un esempio della stretta collaborazione tra le Autorità di Controllo Europee prevista dal Regolamento.

-  TRASFERIMENTO DI DATI VERSO PAESI TERZI: Le condizioni e le garanzie necessarie per poter trasferire i dati personali o per trattarli in paesi terzi sono uguali per tutta la UE.
-  MISURE DI SICUREZZA: La sicurezza – organizzativa e tecnica, fisica e logica - è un aspetto fondamentale per effettuare un trattamento sicuro.
-  CODICI DI CONDOTTA E CERTIFICAZIONI: Sono due strumenti molto importanti per i soggetti che effettuano operazioni di trattamento perché permettono loro di testimoniano la propria attenzione alla conformità alla norma. Il Regolamento ne incoraggia l’adozione ma non la obbliga. L’adozione di un Codice di Condotta o una Certificazione PRIVACY saranno quindi una libera decisione e ciascuna organizzazione dovrà valutarne l’opportunità in base alla propria situazione.
-  RUOLO DEL RESPONSABILE DELLA PROTEZIONE DATI (DPO: La nuova figura professionale, introdotta in Italia dal Regolamento), è una figura di garanzia.
La sua designazione, obbligatoria in alcune specifiche situazione e facoltativa nelle altre, avviene in funzione delle qualità professionali nonché della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.

Moltissime aziende avranno la necessità di nominare un DPO nei mesi a venire.

redatto da: Paola Limatola 
in collaborazione con Sebastiano Plutino  e Giuseppe Galgano 


SE SEI INTERESSATO A SEGUIRE UN CORSO ON LINE PER DIVENTARE

Responsabile della Protezione dati (DPO) e Consulente Protezione Dati Personali (Privacy Consultant)

compila il form e ti invieremo informazioni sulle prossime date disponibili da settembre