Con il Regolamento n. 679 del 27 aprile 2016 è stata uniformata la disciplina in tema di Privacy all’interno dell’Unione Europea. Il Regolamento entrerà in vigore anche nel ns. paese il 25 maggio 2018.
Purtroppo però fino ad oggi in Italia non sono state pubblicate le disposizioni attuative necessarie per adeguarsi alla normativa europea, pertanto regna la totale incertezza. Tutto ciò nonostante le sanzioni previste in caso di violazioni siano decisamente elevate (possono ammontare fino a 20 milioni di Euro). Di seguito cerchiamo di fornirVi una panoramica delle novità, precisando che facciamo riferimento alla guida del Garante della Privacy pubblicato nel mese di febbraio di quest’anno.
Ambito di applicazione (art.4)
Il Regolamento europeo trova applicazione per ogni trattamento di dati personali relativi alle persone fisiche, con l’esclusione dei trattamenti effettuati in ambito personale o domestico. Per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, mentre per “trattamento” si intende qualsiasi operazione compiuta con o senza l’ausilio di processi automatizzati, per la raccolta, l’organizzazione, la registrazione, l’estrazione, la conservazione, l’utilizzo e la diffusione di dati personali.
Il consenso al trattamento dei dati deve essere “esplicito” e l’imprenditore/soggetto che possiede i dati deve essere in grado di comprovare tale consenso.
I consensi dichiarati in passato restano validi anche dopo il 25 maggio 2018 se risultano chiari ed espliciti.
Obbligo di informativ a (art.13)
L’obbligo di informativa sul trattamento/sull’elaborazione dei dati personali viene regolata ex-novo. Consigliamo quindi di fare verificare se le clausole dei vs. contratti e dei vs. modelli o formulari corrispondono ai nuovi dettami della legge.
Obbligo documentale
In futuro le aziende dovranno poter documentare come e perché utilizzano dati personali. Inoltre saranno obbligate a mostrare concretamente le misure di sicurezza adottate.
Inversione onere della prova (art.5)
Fino ad ora, in caso di violazioni, ricadeva sulle autorità l’onere di provare la violazione, mentre in futuro vigerà il principio contrario: in caso di controlli sarà l’azienda a dover dimostrare che essa opera correttamente.
Obbligo generalizza to (art.5)
Il Regolamento europeo prevede un obbligo molto generico per la protezione dei dati: coloro che trattano dati personali devono intraprendere ogni misura possibile e necessaria, disponibile grazie all’utilizzo della tecnologia, per proteggere i dati raccolti.
Diritto alla trasparenz a (art.15)
In futuro chi comunica i propri dati ad un’azienda o ad un professionista, avrà il diritto di sapere come questi dati vengono elaborati ed utilizzati. Coloro che trattano i dati saranno obbligati ad informare in maniera chiara e comprensibile i clienti per determinati utilizzi (come per esempio quelli a scopo pubblicitario). Su richiesta scritta l’azienda dovrà fornire una risposta entro un mese, indicando tra l’altro anche l’arco temporale previsto per l’utilizzo dei dati.
Diritto alla portabilità (art.20)
I clienti in futuro avranno la possibilità di portare/trasferire i propri dati personali da un titolare ad un altro, p.es. in caso di cambio di contratto/fornitore. In pratica la persona ha il diritto di ricevere dall’incaricato al trattamento i propri dati personali in un formato strutturato, leggibile e di comune utilizzo ed altresì che tali dati vengano trasferiti ad un altro incaricato al trattamento su semplice richiesta.
Diritto all’oblio (art.17)
Il Regolamento europeo prevede il nuovo diritto all’oblio: quando i dati raccolti non sono più necessari vige l’obbligo da parte dell’operatore di cancellarli. Inoltre a determinate condizioni la persona ha il diritto di richiedere che tali dati vengano senza indugio cancellati su sua semplice richiesta.
Obbligo di controllo
Coloro che trattano dati devono controllare anche il comportamento tenuto in termini di protezione dei dati, da parte dei loro fornitori e dei collaboratori esterni, invitandoli al rispetto della normativa e/o a sottoscrivere un eventuale accordo.
Responsabile della protezione dei dati (art.37)
Mentre in altri paesi dell’UE è stabilito chiaramente in quali condizioni le imprese debbano nominare un responsabile del trattamento dei dati, in Italia spetta all’imprenditore stabilire, in considerazione di dimensione dell’azienda e caratteristiche dell’attività, se sia opportuno nominarne uno all’interno dell’azienda stessa.
Obbligo di comunicazione (art.33)
Eventuali violazioni in tema di protezione dei dati personali in futuro andranno comunicate all’Unione Europea, ai soggetti interessati ed alle autorità competenti al controllo.
Oltre a ciò vengono introdotti numerosi altri obblighi, per esempio in riferimento al trattamento dei dati sensibili ed all’obbligo di informativa.
Poiché in futuro coloro che trattano dati saranno maggiormente responsabilizzati rispetto al passato, dovendo dimostrare il rispetto del Regolamento Europeo, Vi consigliamo di non sottovalutare la novità normativa e di adeguarVi al Regolamento quanto prima, anche perché le sanzioni previste per il suo mancato rispetto sono elevate.
Le autorità competenti ai controlli a seconda della natura, della gravità e del perdurare della violazione commessa dal titolare del trattamento possono comminare sanzioni fino a 20 milioni di Euro, mentre ad es. per le violazioni relative ai diritti degli interessati, al rilascio del consenso o al trasferimento di dati a soggetti esteri non autorizzati, possono essere comminate alle imprese sanzioni di importo fino al 4% del fatturato (mondiale).
Nella norma per adeguarVi alle novità introdotte dal Regolamento Europeo, solo in rari casi sarà necessario che acquistiate un apposito pacchetto-software per la Vostra azienda, mentre nella maggior parte dei casi sarà opportuno introdurre una procedura interna e delle linee guida aziendali per disciplinare il trattamento, la gestione e la cancellazione dei dati relativi alle persone fisiche. Vi informeremo tempestivamente se nei prossimi giorni verrà emanato il decreto attuativo già da tempo atteso. Precisiamo che con la pubblicazione di quest’ultimo dovrebbe essere abrogato il vecchio codice sulla privacy.
Alleghiamo alla presente circolare la guida del Garante della Privacy risalente a febbraio di quest’anno, che però non può tenere di eventuali novità contenute nell’atteso decreto attuativo.
Restiamo a Vostra disposizione per ulteriori informazioni e chiarimenti. Distinti saluti.
Josef Vieider
Allegato: guida del Garante della Privacy febbraio 2018