Il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione ditali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) da cui era disceso il D.Lgs. 196/2003.
[gdlr_core_button button-text=”CHECK-LIST PRIVACY” button-link=”https://docs.google.com/forms/d/e/1FAIpQLSe-hoCCb61JGh0Fz4DDtlmmdxljBxPedaIlOWETsqFLKhbH-Q/viewform?usp=pp_url&entry.1557209515&entry.2008033374&entry.384772361″ button-link-target=”_blank” ]
Il 25 maggio 2018 è il giorno in cui il nuovo Regolamento UE 2016/679 sarà direttamente applicato in tutti i Paesi dell’Unione Europea e andrà a sostituire l’attuale Codice della Privacy (Dlgs 196/2003) oggi vigente in Italia. Il Regolamento introdurrà regole più chiare e semplici in materia di informativa e consenso, puntando a garantire maggiori tutele per i cittadini in maniera omogenea in tutta l’Unione, sebbene ogni Stato possa integrare i contenuti del regolamento. In Italia questo ruolo sarà ancora gestito dal Garante della Privacy. Il regolamento diventerà immediatamente applicabile senza bisogno di essere recepito con provvedimenti nazionali; avremmo quindi un testo unico valido in tutti i paesi UE che mirerà a rendere omogeneo ed elevato il livello di protezione dei dati personali e a favorire la circolazione degli stessi all’interno dell’Unione Europea. Agli Stati Membri dell’Unione rimarrà la possibilità di introdurre ulteriori regole e condizioni.
Con l’uscita del Regolamento n. 679 non verranno aboliti i provvedimenti del nostro Garante su Videosorveglianza, Amministratori di Sistema, fidelity card, biometria e tracciamento flussi bancari. È quindi probabile che il Garante Privacy modifichi o integri alcuni provvedimenti per adeguarli alle prescrizioni del Regolamento Europeo n. 679. Il Garante Privacy italiano potrà inoltre integrare il Regolamento UE 679 per disciplinare il trattamento di dati personali effettuato per adempiere obblighi di legge italiana ed in particolari ambiti, ad esempio quello dei dati sanitari, oppure per definire in modo più dettagliato gli obblighi per le PMI (ovvero per le imprese con meno di 250 dipendenti).
Il Regolamento 679 disciplinerà esclusivamente il trattamento di dati personali relativi a persone fisiche non decedute, quindi tutti i trattamenti relativi a persone giuridiche, compresi il nome, la forma della persona giuridica ed i suoi dati di contatto.
Verranno stabiliti nuovi limiti al trattamento automatizzato dei dati personali e criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue. Entra in vigore l’obbligo di segnalazione per i casi di violazione dei dati personali (data breach).
Le nuove regole adattano la legislazione UE alle nuove tecnologie considerando l’uso sempre più diffuso e ampio che si fa di internet. La rete ormai contiene milioni di dati, in continua crescita e, tenendo conto delle connessioni sempre più fitte tra i vari Paesi, è stato necessario regolamentare la diffusione di dati personali all’esterno dell’Unione Europea.
Le PMI potranno godere di un alleggerimento e snellimento delle procedure, per esempio non sarà più obbligatoria la notifica alle autorità di vigilanza. Non sarà necessario incaricare un Responsabile della Protezione Dati.
Le sanzioni molto pesanti faranno da giusto deterrente all’uso improprio dei dati personali.
Cosa cambia per le imprese?
1. Individuazione dei soggetti interessati
Con il precedente sistema la normativa era applicabile nel luogo in cui aveva sede il Titolare del trattamento dei dati.
Con il Nuovo Regolamento Europeo la legge applicabile è quella del soggetto i cui dati vengono raccolti. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Con il nuovo regolamento viene abolita la figura del Titolare del Trattamento Dati e rimane solo la figura di Responsabile.
2. Dovere di documentazione e informazione
Prima la documentazione era importante.
Ora, con il Nuovo Regolamento Europeo, viene introdotto il principio dell’accountability (responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.
3. L’informativa privacy
Prima = l’informativa era spesso lunga, incomprensibile e con richiami normativi complessi.
Il Nuovo Regolamento Europeo stabilisce che l’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Si propone anche l’utilizzo di icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.
4. Cambia il consenso
Prima il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati.
Con il Nuovo Regolamento Europeo il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.
5. Valutazione d’impatto sulla protezione dei dati
Prima = si preparava il DPS.
Con il Nuovo Regolamento Europeo si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi. Quasi sicuramente il nuovo documento sarà chiamato PIA: Privacy Impact Assessment.
6. Abolizione della notificazione
Prima si doveva informare il Garante che un soggetto sta trattando dati per una particolare finalità. (ex art. 37 D.lgs. 196/2003)
Con il Nuovo Regolamento Europeo non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera effettuata la notifica.
7. Il data protection officer
Prima la figura del DPO non era contemplata.
Ora, con il Nuovo Regolamento Europeo, bisogna istituire (per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un responsabile per la protezione dei dati. Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.
8. Privacy by design e Privacy by default
Prima la privacy era un elemento conclusivo e finale.
Con il Nuovo Regolamento Europeo la privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato.
9. Obbligo di segnalazione in caso di violazione dei dati
Prima non era necessario comunicare violazioni nel trattamento dati.
Con il Nuovo Regolamento Europeo nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach.
10. Riconoscimento di nuovi diritti
Prima c’erano pochi diritti che tutelavano l’interessato in merito alla gestione dei suoi dati.
Con il Nuovo Regolamento Europeo sono stati introdotti nuovi diritti, come: il diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto a essere totalmente dimenticato da chi ha raccolto i miei dati.
11. Altre importati novità
- Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico”
- Introdotta la categoria del trattamento dati dei minori
- Introduzione della Co-titolarità nel trattamento dei dati
- Introduzione del Diritto all’Oblio
- Introduzione della figura del Joint Controller
- Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi
- Introduzione del principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni e servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’UE
- Istituzione del Comitato Europeo per la protezione dei Dati
Il termine ultimo per adeguarsi è fissato al 24 maggio 2018.
EUROTECNA fornisce consulenza specializzata in materia di PRIVACY, richiedi un preventivo cliccando sul bottone in alto a dx.