L’avvento del nuovo Regolamento Europeo per la protezione dei dati (GDPR), già in vigore dal maggio 2016 e attuativo dal 25 maggio 2018, ha comportato un ripensamento radicale, sia nella piccola e media impresa sia nelle multinazionali e nel settore pubblico, della cosiddetta “data governance”, ossia la protezione delle informazioni e dei dati. Il Regolamento, più attento all’era dei social network, della profilazione, del controllo, del cloud e dei grandi data breach, prevede sanzioni elevatissime in caso di mancato rispetto dei numerosi adempimenti previsti in 99 articoli.
Nell’ambito del nuovo quadro normativo che la Commissione europea ha voluto delineare ed al quale gli Stati membri devono conformarsi, l’Italia ha recepito i nuovi principi attraverso l’art. 13 della legge n. 163/2017, entrata in vigore il 21 novembre 2017, che tra le altre prevede:
-abrogare le disposizioni del Decreto Legislativo n. 196/2003 (l’attuale Codice Privacy) che siano in contrasto o comunque incompatibili con la nuova disciplina europea in tema di trattamento di dati personali e a modificarlo al fine di dare puntuale attuazione alle disposizioni del RGPD;
-valutare l’opportunità di avvalersi dei poteri specifici del Garante per la protezione dei dati personali (di seguito Garante Privacy) affinché adotti provvedimenti attuativi e integrativi volti al perseguimento delle finalità previste dal RGPD;
.- adeguare l’attuale regime sanzionatorio, a livello penale e amministrativo, alle disposizioni del RGPD, al fine di garantire la corretta osservanza della nuova normativa.
Le principali novità introdotte dal Regolamento Generale sulla Protezione dei dati personali (RGPD), possono essere così sintetizzate:
—- è introdotta la responsabilità diretta dei titolari del trattamento in merito al compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali;
—- è definita la nuova categoria di dati personali (i c.d. dati sensibili di cui al precedente Codice Privacy);
—- viene istituita la figura obbligatoria del Responsabile della protezione dei dati, incaricato di assicurare una gestione corretta dei dati personali negli enti. Tale figura può essere individuata tra il personale dipendente in organico, oppure è possibile procedere a un affidamento all’esterno, in base a un contratto di servizi;
—- viene introdotto il Registro delle attività del trattamento ove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate dall’ente. Il Registro dovrà contenere specifici dati indicati dal RGPD;
—- viene richiesto agli enti l’obbligo, prima di procedere al trattamento, di effettuare unavalutazione di impatto sulla protezione dei dati. Tale adempimento è richiesto quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. (Si pensi, ad esempio, ai dati ottenuti dalla sorveglianza di zone accessibili al pubblico).
Le imprese e gli altri soggetti di qualsiasi dimensione sia pubbliche che private sono tenute a prepararsi ed adeguarsi al nuovo regolamento europeo, questi adempimenti richiedono la riorganizzazione di numerose procedure interne che devono essere per tempo riaggiornate.
Dal punto di vista operativo l’adeguamento e l’applicazione del Reg. Ue 2016/679 presenta numerose insidie e trappole che possono creare problemi nella corretta applicazione delle prescrizioni richieste.
Tra i vari adempimenti necessari il primo è l’aggiornamento delle informative date agli interessati del trattamento. Occorre spiegare all’interessato la base giuridica del trattamento, sarà anche necessario informarlo della durata della conservazione dei suoi dati e degli usi che se ne faranno. Dovrà infine essere sottolineato il suo diritto all’oblio, cioè alla cancellazione dei suoi dati, se ne fa richiesta.
Vi è poi, per quanto riguarda il titolare del trattamento dei dati e il responsabile del trattamento la tenuta e la compilazione del Registro del trattamento oltre alla formazione continuata ed obbligatoria, sia personale, che di tutti i soggetti a loro sottoposti e che trattano dati sensibili.
Questi sono solo alcuni degli adempimenti necessari per adeguare la propria attività al nuovo Regolamento privacy, il mancato adeguamento comporta sanzioni pecuniari ed amministrative e/o penali rilevanti. Il Regolamento prevede all’art. 83 che le sanzioni amministrative pecuniarie possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale nei casi di, a titolo esemplificativo: a) violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione; b) trattamento illecito di dati personali che non richiede l’identificazione dell’interessato; c) mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente; d) violazione dell’obbligo di nomina del DPO; e) mancata applicazione di misure di sicurezza. L’importo delle sanzioni amministrative pecuniarie può salire fino a 20 milioni di euro, o alternativamente, sino al 4% del fatturato mondiale dell’impresa nei casi di a titolo esemplificativo: a) inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente; b) trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.
Per questo motivo lo Studio Nicola si è dotato direttamente di professionisti, dotati di attestato per le funzioni di DPO (responsabile della sicurezza dei dati) con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati, che potranno aiutare nell’adeguamento alla nuova normativa sulla privacy. Siamo dunque disponibili per consulenze ad approfondimenti in materia di Nuovo Regolamento sulla Privacy.
