Nuovo GDPR – Proposta ai nostri Clienti

Gentile Cliente,

Il 25 maggio 2018 entra in vigore il nuovo regolamento UE 2016/679 in materia di Privacy (Regolamento Generale sulla Protezione dei Dati o GDPR), il quale abroga la precedente Direttiva ed introduce importanti novità, oltre ad un pesante impianto sanzionatorio.

***

LE PRINCIPALI NOVITÀ DEL REGOLAMENTO EUROPEO PRIVACY 2018

Il nuovo regolamento entra in vigore automaticamente nelle legislazioni nazionali, abrogando la precedente direttiva privacy 95/46/CE. Il D.Lgs. 196/2003 resterà invece in vigore per quanto non espressamente regolamentato dal GDPR, dovendosi applicare la normativa più stringente. La legge di bilancio 2018 ha modificato le funzioni del Garante della Privacy per adattarlo a quanto previsto dal GDPR.

Il nuovo regolamento europeo privacy si applica al trattamento dei dati personali che avviene nell’ambito delle attività svolte da tutti i soggetti residenti nell’Unione Europea e, da parte di soggetti non residenti, per il trattamento nell’ambito di tutte le attività svolte all’interno dell’Unione Europea.

Il regolamento europeo privacy 2018 introduce maggiori tutele per i privati, quali la nomina del Data Protection Officer o DPO (in italiano Responsabile della Protezione Dati), nel caso in cui il trattamento riguardi categorie particolari di dati personali, cosiddetti dati sensibili (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), nonché di dati relativi a condanne penali ed a reati.

Innovativa rispetto al passato è anche l’introduzione del diritto all’oblio, ovvero la possibilità per i privati di chiedere la cancellazione completa dei propri dati personali, qualora questi non siano più necessari rispetto alle finalità per le quali erano stati raccolti. Il titolare del trattamento in tal caso ha l’obbligo di procedere alla cancellazione.

Vengono inoltre introdotti i nuovi concetti di Privacy by Default e Privacy by Design:

  • Privacy by Default prevede che ogni titolare richieda solo i dati (e per il periodo di tempo) strettamente necessari per la finalità di trattamento, implementando al contempo misure tecniche e organizzative adeguate;
  • Privacy by Design richiede che il titolare del trattamento tenga in considerazione, sin dalla progettazione delle attività di trattamento che intende porre in essere, le garanzie e le modalità tecniche di trattamento necessarie al fine di soddisfare i requisiti di tutela e Data Protection richiesti dalla normativa.

Infine viene previsto un sistema sanzionatorio uniforme a livello UE, con sanzioni ben più aspre rispetto a quelle applicabili in precedenza.

***

IL TRATTAMENTO DEI DATI A NORMA DEL REGOLAMENTO EUROPEO PRIVACY 2018

Il nuovo Regolamento Europeo Privacy fissa dei chiari e semplici principi di base, su cui è fondato il trattamento dei dati personali. I dati personali, in particolare, devono essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • raccolti per finalità determinate, esplicite e legittime;
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • esatti ed aggiornati.

Inoltre devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche ed organizzative adeguate. Affinché il trattamento possa essere considerato lecito, è necessario che il titolare raccolga l’esplicito consenso al trattamento.

***

IMPATTI PRATICI DEL REGOLAMENTO EUROPEO PRIVACY 2018

Da un punto di vista pratico, il nuovo regolamento europeo Privacy prevede che l’adeguamento alle novità debba avvenire entro il 25 maggio 2018. Tra le altre cose, gli impatti pratici più significativi sono:

  • Identificazione dei soggetti incaricati del trattamento dati personali (titolare del trattamento, responsabili interni ed esterni del trattamento, ecc.);
  • Nomina del DPO e comunicazione al garante della privacy, qualora sia necessario, entro il 25 maggio;
  • Aggiornamento dell’informativa privacy alle richieste del nuovo regolamento;
  • Possibilità di trasferire i dati raccolti in Paesi Extra-UE o di comunicarli a organizzazioni internazionali solo se il Paese o l’organizzazione sono riconosciuti dalla Commissione UE come un Paese o un’organizzazione che garantisca un livello di protezione adeguato, ovvero vengano fornite garanzie di adeguata tutela dei dati da parte del titolare del trattamento.

I principali soggetti coinvolti nel trattamento dei dati personali sono:

  • Titolare del trattamento: la figura è analoga a quella prevista dal Decreto Privacy nazionale e dalla Direttiva. Il titolare deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al DGPR;
  • Contitolari del trattamento (eventuali): esistono allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento. In tal caso, i contitolari devono determinare mediante accordo interno la ripartizione di funzioni e responsabilità;
  • Responsabile del trattamento: il titolare può delegare uno o più responsabili interni del trattamento, i quali possano mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato. In caso di nomina, titolari e responsabili sono obbligati in solido nei confronti degli interessati del trattamento;
  • Responsabili esterni del trattamento: nel caso in cui, per raggiungere le finalità per cui i dati sono stati raccolti, i dati debbano essere trasmessi a terzi (fornitori), il titolare del trattamento può nominare un responsabile esterno del trattamento. Il responsabile esterno è obbligato in solido nei confronti degli interessati del trattamento;
  • Data Protection Officer (DPO): si tratta di una figura indipendente, nominata dal Titolare del Trattamento e dal Responsabile del trattamento. Ove nominato, svolge funzioni di supporto e verifica corretta applicazione della normativa, oltre a gestire gli eventuali rapporti con il Garante;
  • Persone autorizzate al trattamento: sono figure analoghe agli incaricati previsti dalla Direttiva abrogata, anche se non sono più espressamente previste dal GDPR. Infatti il GDPR prevede che il titolare autorizzi persone terze al trattamento dei dati personali, purché queste si siano impegnate (anche in forza di obbligo contrattuale) alla riservatezza.

***

IL NOSTRO METODO IN SEI PUNTI:

  • Valutazione preliminare, l’Audit;
  • Valutazione del rischio, IT Legal;
  • Accountability (ovvero, essere responsabili);
  • Resilienza dei sistemi;
  • Difesa;
  • Verifica continuativa automatica.

Alla luce di quanto sopra, il nostro Studio è a sua completa disposizione per affrontare tale delicato ed importante argomento insieme, potendola assistere ed affiancare in una consulenza ad hoc al fine di studiare la situazione attuale della sua azienda e, se del caso, aggiornarla in vista della scadenza del prossimo 25 maggio 2018.

L’occasione è gradita per porgere cordiali saluti.

STUDIO G&G Commercialisti Associati
Erika Maran