Lo scorso 4 maggio è stato pubblicato sulla Gazzetta Ufficiale della Comunità Europea il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” e dopo 20 giorni dalla sua pubblicazione è divenuto legge europea, pertanto a partire dal 25 maggio 2016 decorrono i due anni di transitorio per l’applicazione del nuovo Regolamento.
Il nuovo Regolamento introdurrà una legislazione in materia di protezione dati uniforme e valida in tutta Europa stabilendo criteri che responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei dati personali. Il Garante della Privacy per l’Italia potrà integrare i contenuti del Regolamento dettagliando meglio alcuni aspetti o per disciplinare il trattamento in particolari ambiti (ad esempio quello dei dati sanitari o per definire in modo più dettagliato gli obblighi per le PMI), introdurre linee guida generali e di settore e regolamentare aspetti particolari. Ma quali sono le principali novità per le imprese nella gestione della privacy a fronte del Regolamento UE? L’aspetto più significativo è sicuramente il cambio di approccio rispetto al Codice Privacy attualmente in vigore in Italia, soprattutto per quelle organizzazioni che trattano dati sensibili o giudiziari. Occorrerà un cambio di mentalità: non serviranno più “un po’ di carte” (informative, consensi, lettere di incarico, …) ed alcune misure minime di sicurezza specifiche (password, antivirus,…) per garantire il rispetto della legge. Le responsabilità in capo al responsabile del trattamento (ex titolare del trattamento) sono maggiori e comunque più impegnative da gestire, soprattutto laddove il trattamento di dati venga delegato a fornitori (es. consulenti del lavoro, consulenti fiscali e legali, strutture esterne, ecc.) che dovranno inevitabilmente essere tenuti sotto controllo.
- Il nuovo Regolamento Europeo sulla privacy sposta la responsabilità di definire le misure di sicurezza idonee sul titolare o responsabile del trattamento, dopo un’attenta analisi dei rischi. Dunque non ci sono più misure minime, ma solo misure di sicurezza adeguate che andranno poste in essere prima di iniziare il trattamento.
- Restano gli obblighi di informare l’interessato sull’uso che verrà fatto dei suoi dati personali.
- Restano gli obblighi di ottenere il consenso per i trattamenti non necessari o per i trattamenti di particolari tipi di dati, ad esempio quelli idonei a rivelare lo stato di salute delle persone, le origini razziali, le idee religiose, ecc.
- I diritti dell’interessato sono più ampi e maggiormente tutelati.
- Tra gli elementi che cambiano vi è il fatto che il responsabile del trattamento è ora responsabile in solido con il titolare per i danni derivanti da un trattamento non corretto e deve mettere in atto misure tecniche ed organizzative tali da consentirgli di dimostrare che tratta i dati personali in conformità al Regolamento. Tali misure devono seguire lo stato dell’arte e devono derivare dall’analisi dei rischi che incombono sui dati, secondo relativa gravità e probabilità.
- Possono esserci più responsabili per un medesimo trattamento che risulteranno, pertanto, corresponsabili di eventuali trattamenti non conformi, ma dovranno stabilire congiuntamente le rispettive responsabilità.
- Quando un trattamento presenta dei rischi elevati per i dati personali degli interessati, il responsabile del trattamento deve effettuare una valutazione di impatto preventiva, prima di iniziare il trattamento.
- Il responsabile del trattamento deve notificare all’autorità competente – e, in casi gravi, anche all’interessato – ogni violazione dei dati (data breach) trattati entro 72 ore dall’evento.
- Le imprese che hanno sede al di fuori dell’Unione Europea e trattano dati personali di interessati residenti nella UE dovranno eleggere una propria organizzazione o entità all’interno della UE che sarà responsabile di tali trattamenti.
- Devono essere mantenuti registri dei trattamenti di dati effettuati con le informazioni pertinenti e le relative responsabilità.
- Viene introdotta la certificazione del sistema di gestione della privacy (le cui modalità dovranno essere meglio definite tramite gli Organismi di Accreditamento Europei, ACCREDIA per l’Italia).
- È richiesta la designazione di un Responsabile della Protezione dei Dati (Data Protection Officer) nelle Aziende Pubbliche e nelle organizzazioni che trattano dati sensibili o giudiziari su larga scala oppure che la tipologia di dati trattati e la loro finalità richieda il controllo degli incaricati al trattamento su larga scala.Il Responsabile per la Protezione dei Dati dovrà essere correttamente informato dal Responsabile del Trattamento su tutte le attività che riguardano la privacy e dovrà disporre di risorse adeguate per svolgere il proprio compito e mantenere le sue competenze adeguate al ruolo che ricopre. Egli dovrà inoltre essere indipendente dalle altre funzioni dell’organizzazione e riferire solamente all’alta direzione.
- Introduzione della Privacy by default: devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.
- Introduzione della Privacy by design: ogni nuovo trattamento di dati personali dovrà essere progettato in modo da garantire la sicurezza richiesta in base ai rischi a cui è sottoposto prima di essere implementato. Anche i sistemi informatici dovranno essere progettati secondo tale principio.