Il 24 maggio 2016 è entrato in vigore in tutta la comunità europea il GDPR – General Data Privacy Regulation, ovvero il Regolamento Generale sulla Privacy.
Il 25 maggio 2018 tale regolamento è diventato immediatamente applicabile in tutti gli stati dell'Unione Europea senza bisogno di essere recepito con provvedimenti nazionali.
Pertanto le norme sono applicabili e dovranno essere attuate entro e non oltre il 25 maggio 2018 da tutte le imprese italiane. Il regolamento ha una serie di novità per aziende, enti pubblici, liberi professionisti ed associazioni che dovranno applicare le norme in esso contenute.
E' tempo di adeguarsi.
Il GDPR introduce regole più chiare in merito all’informativa ed al consenso e stabilisce precisi limiti al trattamento automatizzato dei dati, alla relativa violazione ed all’interscambio degli stessi al di fuori della Comunità Europea.
La norma diventa così più trasparente, con un respiro internazionale che coinvolge tutta l’Unione Europea, rendendo molto chiara e semplice la gestione del proprio dato per ogni cittadino mediante consensi e revoche evidenti.
L’oggetto del regolamento diventa quindi il DATO e la gestione dello stesso è definita con il TRATTAMENTO.
Quindi il consenso al trattamento diventa obbligatoriamente esplicito (prima poteva essere tacito) ed il cittadino potrà verificarne l’applicazione ed eventualmente revocarlo in modo semplice.
La norma introduce in modo chiaro il diritto all’oblio, cioè la cancellazione definitiva dei propri dati personali da parte di un titolare del trattamento qualora ad esempio cessino i motivi per cui si era dato il consenso; e si obbliga il titolare del trattamento ad agire tempestivamente perché l’informazione sia rimossa ovunque venga trattata.
Viene inoltre data evidenza alle problematiche del trasferimento dei dati al di fuori dell’Unione Europea dove si deve valutare l’adeguatezza della tutela dei dati della controparte e in caso di insufficienza si dovranno richiedere garanzie ed il cittadino dovrà esplicitamente dare il proprio consenso ad ogni forma di trasferimento.
Il furto dei dati personali (Data Breach) richiederà maggiore informazione verso l’interessato e una comunicazione tempestiva ed obbligatoria verso l’autorità nazionale per la protezione dati.
Cambia la visione generale che passa da un mero censimento dei trattamenti effettuati relativi alla privacy ad un vero e proprio Sistema Rischi dove si devono fare attente misurazioni, mettere in atto politiche di riduzione del rischio.
I legislatori europei al fine di evidenziare l’importanza del provvedimento hanno stabilito forti sanzioni pecuniarie nel mancato rispetto della norma.
Le Sanzioni amministrative pecuniarie possono arrivare fino a 20 milioni di euro e, per le imprese, fino al 4% del fatturato annuo mondiale precedente.
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016
Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
DIRETTIVA (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016
Direttiva relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio
DIRETTIVA (UE) 2016/681 del Parlamento europeo e del Consiglio del 27 aprile 2016
Direttiva sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi
Le azioni che l’organizzazione (azienda, associazione, ente…) dovrà mettere in atto per implementare un sistema di Protezione dei Dati Personali, come dettato dal nuovo GDPR sono le seguenti:
Il PIA deve quindi essere costantemente monitorato e avrà impatto sulle revisioni successive.
Il PIA dovrà essere redatto in modo da raggiungere i seguenti obiettivi:
Il PIA diventa quindi l’elemento più importante per affermare di essere conformi alle prescrizioni del Regolamento.
Il più evidente cambiamento sta nel fatto che il consenso deve essere necessariamente fornito dal cittadino per il trattamento dei dati.
Non è più accettabile la pratica del silenzio assenso.
Il consenso deve essere: manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, attraverso dichiarazione o attività positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Ogni operazione di comunicazione dovrà quindi far capo ad un preciso consenso formalizzato da presentare all’interessato nel caso ne facesse richiesta.
L’interessato ha poi il diritto di revocare qualsiasi consenso abbia dato e deve essere informato di questo dal titolare del trattamento, restano leciti tutti i trattamenti effettuati prima della revoca.
Il nuovo regolamento compie un ulteriore passo avanti introducendo la Privacy by Design che con un innovativo approccio concettuale
L’articolo 25 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) dice:
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
È una visione del problema che obbliga tutti coloro che introducono nuove rischiosità “privacy” ad attuare e certificare anche i sistemi di sicurezza per limitarne il rischio.
La redazione dei registri delle attività e dei trattamenti stessi è a cura del responsabile e del titolare del trattamento. La tenuta del registro rappresenta il sostituto della comunicazione diretta delle medesime informazioni al Garante della Privacy.
Il registro del titolare del trattamento, che contiene:
La tenuta dei registri può essere sia in forma cartacea che in forma elettronica ma deve essere sempre disponibile ad eventuali ispezioni dell’autorità garante.
Si intende per violazione di sicurezza tutto ciò che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo.
Il responsabile del trattamento informa il titolare del trattamento senza immediatamente dopo essere venuto a conoscenza della violazione.
La comunicazione all’autorità deve descrivere la natura della violazione dei dati personali, dare informazioni sulla violazione in termini di categorie, quantità di interessati, e il numero delle registrazioni coinvolte; descrivere le probabili conseguenze della violazione dei dati personali; indicare le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione e per ridurre gli effetti negativi;
Va inoltre documentata qualsiasi violazione dei dati personali, contestualizzandone le circostanze, le conseguenze e i provvedimenti adottati per porvi rimedio.
Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.
Si prevede inoltre la comunicazione della violazione dei suoi dati all’interessato:
Non è richiesta la comunicazione all’interessato di cui al paragrafo se è soddisfatta una delle seguenti condizioni:
Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere che vi provveda o valutare che una delle condizioni precedentemente descritta sia soddisfatta.
Quindi va da sé che la protezione dei dati deve rispondere ogni violazione con tempestive segnalazioni considerando che ogni violazione a queste regole potrà essere sanzionata con i valori già indicati.
La figura del Data Protection Manager (DPO) non sempre è necessaria, ma diventa obbligatoria nei seguenti casi
Un gruppo imprenditoriale o più amministrazioni pubbliche tenuto conto della loro struttura organizzativa e dimensione possono nominare un unico responsabile della protezione dei dati.
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.
Il DPO deve essere dotato di autonomia nella gestione delle problematiche affidate e devono essergli fornite le risorse necessarie per assolvere i suoi compiti.
Va da se che sia il titolare del trattamento e il responsabile del trattamento si assicurano che il DPO sia adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
Chiunque può contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei propri dati personali e all’esercizio dei propri diritti.
Il DPO è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.
I compiti del responsabile della protezione dei dati sono i seguenti:
La figura del DPO è già presente sullo scenario internazionale da molti anni come un consulente interno o esterno esperto delle normative e delle problematiche privacy.