PROTEZIONE DATI PERSONALI – PRIVACY

PROTEZIONE DEI DATI PERSONALI: LA NUOVA DISCIPLINA DEL REGOLAMENTO (UE) 2016/679 IN VIGORE DAL 28 MAGGIO 2018 E LA GUIDA AL REGOLAMENTO DEL GARANTE PRIVACY ITALIANO

Il 25 maggio 2016 è entrato ufficialmente in vigore il nuovo Regolamento Europeo in materia di protezione dei dati personali, la cui caratteristica principale è quella di essere direttamente applicabile in tutti i 27 Paesi dell’Unione Europea, senza necessità, per detti Stati Membri, di emettere leggi ad hoc di recepimento della normativa, come è avvenuto in passato.

Il testo – pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) lo scorso 4 maggio 2016 – è già in vigore, ma diventerà definitivamente e direttamente applicabile in tutti i Paesi dell’Unione Europea dal 25 maggio 2018, data in cui dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.
Manca, dunque, meno di un anno per le aziende per verificare la compliance con le nuove regole privacy e, conseguentemente, per adattare/modificare e revisionare le procedure interne già in essere al fine di essere perfettamente allineati con le nuove disposizioni del Regolamento UE.

Molte e rilevanti, infatti, sono le novità e gli adempimenti introdotti dal nuovo Regolamento UE in tema di privacy, tra cui si segnalano: (i) l’estensione dell’ambito territoriale di applicabilità del Regolamento; (ii) l’introduzione della figura del DPO (Data Protection Officer), obbligatorio per alcune tipologie di aziende; (iii) l’introduzione di Codici di Condotta e delle certificazioni dei trattamenti; (iv) l’introduzione dei principi di “Accountability”, “Privacy by design” e “Privacy by Default”, su cui dovranno basarsi i trattamenti dei dati personali ed i processi ed applicativi implementati in azienda al fine di svolgere correttamente tali trattamenti; (v) l’introduzione di nuovi diritti per gli interessati del trattamento; (vi) la predisposizione dei registri delle attività di trattamento; (vi) l’implementazione/aggiornamento di nuove informative privacy e nomine di responsabili del trattamento, (vii) il data breach reporting.

Al fine di aiutare le aziende italiane a districarsi tra i numerosi adempimenti che sono chiamate ad implementare entro la data del 25 maggio 2018, il Garante per la Privacy Italiano, in data 28 aprile 2017, ha redatto una “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, ove ha evidenziato in modo semplicistico “che cosa cambia” e “che cosa non cambia” rispetto all’architettura privacy disciplinata fino ad ora dal nostro Codice Privacy (“Codice”), fornendo specifiche raccomandazioni e suggerendo alcune azioni che è bene che le aziende compiano sin da ora, tra cui la verifica di informative, consensi e contratti in essere.

La Guida è articolata in 6 aree tematiche, che evidenziano i punti più importanti su cui le aziende dovrebbero concentrare i propri sforzi di adeguamento in vista del prossimo 25 maggio 2018:

1. Fondamenti di liceità del trattamento
Il Regolamento conferma i fondamenti di liceità del trattamento dei dati previsti dal nostro Codice Privacy (quali, ad esempio, consenso, adempimento obblighi contrattuali, interesse legittimo). A tal proposito, il Garante precisa che il consenso raccolto prima del 25 maggio 2018 resta valido solo se presenta tutti i requisiti richiesti dal Regolamento e raccomanda, in caso contrario, di adoperarsi tempestivamente e raccogliere nuovamente il consenso in conformità alle nuove prescrizioni.

2. Informativa
Il Regolamento elenca tassativamente i contenuti della nuova informativa, che si palesano come più ampi rispetto a quelli previsti finora nel Codice. In particolare, l’informativa deve indicare, oltre che l’identità e i dati di contatto di titolare e responsabile, anche il periodo di conservazione dei dati e il diritto, per gli interessati, di proporre reclamo all’Autorità competente. Il Garante sottolinea come – diversamente da quanto previsto finora dal Codice – ove i dati personali non siano raccolti presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole, che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati. Il Regolamento fornisce, inoltre, indicazioni dettagliate circa le modalità con cui fornire l’informativa, da darsi in linea di principio per iscritto e preferibilmente in formato elettronico. E’ utile, pertanto, verificare prima del 25 maggio 2018 la conformità delle informative già in uso presso le aziende ai requisiti previsti dal Regolamento, in modo tale da avere il tempo di apportare le eventuali modifiche ed integrazioni nel rispetto della scadenza europea.

3. Diritti degli interessati
Il Garante fornisce una disamina approfondita delle principali novità apportate in relazione ai diritti degli interessati ed in particolare al diritto di accesso, al diritto all’oblio, al diritto di limitazione di trattamento ed al diritto alla portabilità dei dati. Per quanto riguarda le modalità di esercizio dei diritti, tra le novità del Regolamento vi è la previsione esplicita di un termine per fornire la risposta da parte del titolare (massimo 1 mese, estendibile a 3 mesi in casi di particolare complessità). Il titolare deve sempre dare un riscontro all’interessato anche in caso di diniego; la risposta deve essere concisa, trasparente e facilmente accessibile e deve essere data in forma scritta. Il Garante raccomanda che i titolari si dotino di misure tecniche e organizzative adeguate al fine di favorire l’esercizio dei diritti ed il riscontro alle richieste ricevute.

4. Soggetti privacy
Numerose sono le novità introdotte in relazione ai soggetti privacy coinvolti nel trattamento dei dati. Anzitutto la co-titolarità del trattamento riceve esplicita disciplina e viene imposto ai titolari di definire espressamente il rispettivo ambito di responsabilità ed i rispettivi compiti. Con riferimento al Responsabile del trattamento, il Regolamento definisce le caratteristiche dell’atto di nomina, che deve avere la forma di un contratto e deve contenere tassativamente alcuni elementi. Il Regolamento, inoltre, prevede obblighi specifici in capo ai soggetti privacy, quali la tenuta dei registri dei trattamenti (novità rispetto al Codice), l’adozione di misure tecniche ed organizzative idonee a garantire la sicurezza dei trattamenti, nonché la designazione del “DPO”, ove previsto.

5. Approccio basato sul rischio e misure di accountability di titolari e responsabili
La Guida evidenzia come uno degli elementi caratterizzanti del Regolamento consista nella “responsabilizzazione” (cd. “accountability”) dei soggetti privacy, ossia nell’adozione di comportamenti proattivi, tali da dimostrare la concreta adozione di misure idonee ad assicurare l’applicazione del Regolamento. Il Garante sottolinea come i titolari siano chiamati a definire in autonomia modalità, garanzie e limiti del trattamento dei dati personali condotto, in conformità ad alcuni criteri definiti dal legislatore comunitario.
Il primo criterio è la cd. protezione dei dati “by default e by design”, attraverso una analisi preventiva finalizzata a configurare ex ante il trattamento dei dati che verrà effettuato e prevedendo sin dall’inizio le garanzie indispensabili alla tutela dei diritti degli interessati. Il secondo criterio è relativo al cd. “impact assessment”, ovvero la valutazione del rischio di impatti negativi su libertà e diritti degli interessati, che andranno analizzati, tenendo conto anche delle misure tecniche ed organizzative che il titolare intende adottare per mitigare i rischi stessi.
La Guida sottolinea anche le novità introdotte dal Regolamento in relazione alla tenuta del registro delle operazioni di trattamento, che deve avere forma scritta, anche elettronica. Il registro è strumento fondamentale ed indispensabile per ogni valutazione e analisi del rischio e il Garante ne raccomanda l’adozione a tutti gli operatori. Il Garante precisa come in base al nuovo Regolamento la valutazione relativa all’adozione delle misure di sicurezza deve essere in rapporto ai rischi specificamente individuati e chiarisce che dopo il 25 maggio 2018 non potranno sussistere obblighi generalizzati di adozione di misure minime di sicurezza.

6. Trasferimenti di dati verso Paesi terzi e organismi internazionali
Viene meno il requisito dell’autorizzazione nazionale al trasferimento dei dati nei Paesi extra UE ove sia intervenuta la decisione di adeguatezza della Commissione UE ovvero tramite procedure specifiche previste dal Regolamento stesso (ad es. sulla base di cd. “binding corporate rules”).
In buona sostanza, tramite la Guida, il Garante fornisce un set di direttive su alcuni temi chiave del sistema privacy, ma in particolare raccomanda ai titolari del trattamento, quindi a tutte le aziende che trattano, inevitabilmente, per l’esercizio della propria attività, dati che provengono sia dall’ “interno” (si pensi a dipendenti) sia dall’ “esterno” (si pensi a clienti e/o fornitori) di non attendere il 25 maggio 2018 per verificare la conformità della struttura in essere con la normativa comunitaria, ma invita ad avviare sin da subito gli accertamenti necessari al fine di poter attuare per tempo gli eventuali correttivi, ed evitare di incorrere nelle sanzioni, anche ingenti, previste ad hoc dal Regolamento.

Avv. Marco Scaranna

Avv. Rossella Torraca

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *