Attesa ormai da diversi anni e caratterizzata da un percorso in continua salita, la rivoluzione che riguarda il mondo della privacy è arrivata. A decretarne l’inizio, è il 25 maggio 2018, giornata dell’entrata in vigore del GDPR 2018, ovvero “General Data Protection Regulation”, il nuovo Regolamento Europeo Privacy. Il testo detta legge per tutti gli Stati Membri dell’Unione Europea; per quanto riguarda il nostro Paese, il nuovo Regolamento va a sostituire il codice del 1995 e il successivo, in materia di protezione dei dati personali, del 2003. La proposta di adozione di un nuovo Regolamento Europeo Privacy è giunta nel gennaio 2012.
Dal lavoro congiunto di Parlamento, Commissione e Consiglio, ad aprile 2016 è arrivata l’adozione del testo da parte del Consiglio Europeo e del Parlamento europeo. Il 4 maggio 2016, invece, i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola il trattamento dei dati personali sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea. Il GDPR 2018 è applicabile in tutti gli Stati Membri, compreso il nostro Paese, dal 25 maggio 2018.
Anche per le aziende, risulta fondamentale conoscere i cambiamenti che vengono apportati dal nuovo Regolamento Europeo Privacy e sapere cosa fare per adeguarsi nei tempi giusti.
Quali sono i soggetti coinvolti?
Stiamo parlando di titolare, responsabile e incaricato del trattamento.
La legge
Disciplina anche la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati. Il GDPR individua la figura del Titolare del trattamento – la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali, il Responsabile del trattamento, cioè la persona fisica o giuridica, l’autorità pubblica, il servizio o l’organismo che tratta i dati personali per conto del trattamento; Incaricato del trattamento, ovvero la persona fisica autorizzata a compiere operazione di trattamento dal titolare o dal responsabile – nel GDPR non è più espressamente regolamentata come nel Codice della Privacy (D.Lgs 196/2003). Il regolamento prevede per il Titolare l’obbligo di formare gli addetti autorizzati al trattamento dei dati. Vengono introdotte anche due nuove figure: quella del Rappresentate – la persona fisica o giuridica stabilita nell’Unione Europea, designata da un titolare o responsabile del trattamento straniero affinché lo rappresenti per quanto riguarda gli obblighi derivanti dal Regolamento – e quella del DPO (Data Protection Officer), che deve avere ampia autonomia ed essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Il suo compito, infatti, è quello di analizzare, valutare e disciplinare la gestione del trattamento. In alcuni casi, la nomina del DPO diventa obbligatoria.
Il consenso valido
Aziende e organizzazioni devono garantire un linguaggio semplice quando domandano il consenso alla raccolta di dati personali. Ci deve essere chiarezza sulle finalità dell’uso dei dati personali. Silenzio e inazione non rappresentano più un consenso. Senza la prova di consensi chiari, le autorità possono chiudere le attività di elaborazione dei dati personali.
Internet e la privacy
Con il Nuovo Regolamento Europeo, social network, piattaforme web e motori di ricerca sono soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Maggiormente protetti, con alcune restrizioni sui meccanismi di “profiling”, sono i dati sul web.
Inoltre, viene introdotto l’obbligo di utilizzare un linguaggio chiaro nelle regole relative alla privacy. Chi fornisce servizi internet, infine, ha la necessità di avere il consenso esplicito prima di utilizzare i dati personali dei clienti.
La responsabilizzazione
Con forza, il Regolamento pone l’accento sulla responsabilizzazione, (accountability).
Secondo quest’ultima, tutti i soggetti partecipanti al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta è soggetto a possibili sanzioni: è sufficiente non avere i documenti per essere perseguibili.
I rischi e il registro del trattamento
Con il Nuovo Regolamento Europeo, viene fatta una valutazione degli impatti privacy analizzando i rischi, definendo le lacune rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarle e controllando annualmente gli effetti degli interventi per ridurre i rischi. Inoltre – eccezione fatta per le imprese con meno di 250 dipendenti, ma solo se non effettuano trattamenti a rischio – diventa obbligatorio tenere un registro delle operazioni di trattamento, che deve avere una forma scritta e deve essere esibito nel caso in cui venga richiesto dal Garante.
La segnalazione e le sanzioni
Per non incorrere nelle sanzioni, in caso di violazione del trattamento dati, bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Si possono prevedere delle assicurazioni per coprire il costo relativo alla comunicazione del Data Breach, ovvero le violazioni dei dati, per esempio in caso di attacchi informatici o furti. Elevate, sono le sanzioni per chi non segue la legge: possono arrivare fino a 20 milioni di euro o al 4% del fatturato, con sanzioni penali in base alle previsioni dei singoli Stati.
