General Data Protection Regulation, la privacy si cambia d’abito

13 Giungo 2018

Il 25 maggio 2018 è entrata in vigore la nuova normativa sulla protezione dei dati personali.

Gli operatori del settore sono pronti al cambiamento?

Il General Data Protection Regulation (GDPR) è un regolamento, approvato dalla Commissione Europea nel 2016, destinato a cambiare la normativa del trattamento dei dati personali dei cittadini residenti nell’Unione Europea in possesso di organizzazioni che li raccolgono o processano (indipendentemente dalla collocazione del luogo di archiviazione o di elaborazione dei dati), sostituendo, laddove vi sia contrasto, le norme del vigente Codice della privacy italiano (Decreto legislativo 30 giugno 2003, n. 196).
Il GDPR si pone come obiettivo l’uniformazione del diritto applicabile alla materia nei vari stati membri. Il regolamento mira, inoltre, all’ eliminazione di disparità nella circolazione dei dati nel mercato interno e al raggiungimento di un più efficace monitoraggio dei dati stessi, che, con l’entrata in vigore dal 28 Maggio, hanno iniziato ad essere raccolti solo
in seguito all’ ottenimento di un consenso esplicito e attivo da parte della singola persona.

Privacy by design e privacy by default sono due dei numerosi pilastri su cui si regge l’intera struttura. La disciplina muove verso un’ottica di prevenzione e non di correzione. Le imprese saranno tenute, prima ancora dell’avvio di un progetto (per questo by design – in sede di progettazione), ad individuare gli strumenti previsti a tutela dei dati personali.
Centrale in questa fase sarà la valutazione del rischio. Il regolamento, infatti, introduce un onere a cui deve adempiere il titolare del trattamento: la valutazione di impatto del trattamento. Tale valutazione dovrà condurre il titolare a considerare se sussistono elevati rischi inerenti al trattamento riguardo al progetto in questione e in tal caso provvedere a individuare le misure specifiche per attenuare o eliminare il rischio.
L’intervento dell’Autorità di controllo è dunque eventuale e, al massimo, successivo sulle valutazioni del titolare. L’Autorità potrebbe infatti intervenire indicando le misure ulteriori eventualmente da implementare, fino ad ammonire il titolare o vietare il trattamento.

In questo momento, il titolare dovrà consultarsi con una nuova figura introdotta dal GDPR, il Data Protection Officer (DPO). Questo soggetto, che può essere interno o esterno all’azienda, ha il compito di fornire, se richiesto, un parere in merito alla valutazione di impatto e sorvegliarne lo svolgimento. In ambito privato, la designazione del DPO è obbligatoria per i soggetti le cui principali attività consistono in trattamenti che “richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” o in trattamenti su “larga scala di categorie particolari di dati personali o di dati relative a
condanne penali e a reati”. Nel caso in cui il titolare non concordi con le indicazioni del DPO dovrà motivare e documentare il suo dissenso.

In merito alla privacy by default, le imprese, come impostazione predefinita (per questo di default) dovrebbero trattare i dati personali nella misura necessaria e sufficiente per le finalità previste dal progetto e per il periodo strettamente necessario a tali fini. Sarà dunque necessario ideare un sistema di trattamento dei dati che garantisca una raccolta
dati non eccessiva.

Un particolare adempimento viene richiesto alle imprese con più di 250 dipendenti, ossia la tenuta di un Registro delle attività di trattamento svolte sotto la propria responsabilità. Il registro dovrà contenere le generalità del titolare del trattamento, la “descrizione generale delle misure di sicurezza tecniche e organizzative individuate al fine di garantire un livello di sicurezza dei dati personali adeguato al rischio cui gli stessi sono esposti” e gli ulteriori elementi elencati all’ articolo 30 del regolamento.

Come devono comportarsi, dunque, le imprese già in possesso di questi dati?

Sarà necessario controllare i sistemi vigenti al fine di assicurare l’adeguatezza con gli standard previsti dal GDPR per evitare di incorrere in sanzioni che possono arrivare fino a venti milioni di euro o a coprire l’ammontare equivalente al 4% del fatturato dell’azienda.

E in caso di violazione dei dati personali?

Vengono introdotti degli obblighi di notifica in capo al titolare del trattamento. Le segnalazioni dovranno pervenire all’Autorità di vigilanza entro e non oltre settantadue ore dall’avvenimento. La comunicazione dovrà presentare un contenuto minimo così come indicato dall’articolo 33. La comunicazione dovrà inoltre essere effettuata nei confronti dell’interessato qualora la violazione possa presentare un elevato rischio per i diritti e le libertà delle persone fisiche.
Questa, per sommi capi, è la situazione che si è costituita a partire dal 28 Maggio, data alla quale le aziende si sono dirette (un po’ con timore) tentando di adempiere ai numerosi obblighi.

Se, però, da un lato è apparsa puntuale e precisa la regolamentazione
del mondo dei social networks e dei provider di servizi cloud, numerosi sono invece gli interrogativi riguardo ai vuoti normativi presenti in tema di trattamento dei dati dei dipendenti. Dovremmo dunque aspettarci un ulteriore intervento normativo pronto a stravolgere o ad integrare la nuova disciplina?

<script async src=”//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js”></script><!– –><!– Barra_down –><!– –><ins class=”adsbygoogle”<!– –> style=”display:inline-block;width:728px;height:90px”<!– –> data-ad-client=”ca-pub-1684532840919562″<!– –> data-ad-slot=”9810133650″></ins><!– –><script><!– –>(adsbygoogle = window.adsbygoogle || []).push({});<!– –>

Enrico Terragni

#data #gdpr #privacy