La nuova disciplina in materia di privacy
La nuova disciplina Privacy – Adeguamenti e novità
| Il regolamento UE n. 2016/679 introduce una legislazione in materia di privacy uniforme e valida in tutta Europa, affrontando temi innovativi, stabilendo criteri che, da una parte, responsabilizzano maggiormente le imprese rispetto alla protezione dei dati personali e dall’altra introducono notevoli semplificazioni e sgravi per chi rispetterà le regole. Alcune disposizioni del regolamento, in vigore dal 25.05.2018, non lasciando spazi a interventi del legislatore nazionale sono automaticamente operative, mentre altre richiedono il relativo recepimento in ottemperanza a obblighi di legge. L’impatto delle nuove disposizioni su imprese e professionisti richiederà un adattamento dal punto di vista tecnologico, organizzativo e legale delle procedure finora adottate ai sensi del Codice della privacy. |
| Consenso | Per i dati “sensibili” il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione). | |
| Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili); inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. | ||
| Raccomandazioni
Garante |
· Il consenso raccolto precedentemente al 25.05.2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi, prima di tale data, per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
· In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara. I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali. |
|
| Informativa | Le caratteristiche dell’informativa sono specificate in modo più specifico: deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. | |
| Raccomandazioni
Garante |
È opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento. | |
| Compliance | Raccolta e analisi delle informazioni sull’organizzazione aziendale, effettuando un controllo interno. | |
| Registro
dei trattamenti |
Istituzione di un registro delle attività di trattamento svolte sotto la responsabilità del titolare del trattamento. | |
| Raccomandazioni
Garante |
La tenuta del registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, il Garante invita tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. | |
| Documentazione | Documentazione delle scelte prese secondo un processo di accountability. | |
| Aggiornamento di tutta la documentazione tenuta. | ||
| Ruoli e responsabilità | Individuazione, sensibilizzazione e formazione di tutte le persone coinvolte nel processo, nonché delle singole responsabilità. | |
| Nomina di un
Data Protection Officer (DPO) |
Individuazione della nuova figura professionale, che rappresenta un elemento chiave del nuovo sistema di governance dei dati. | |
| Sono previsti specifici requisiti per la nomina e compiti. | ||
| Valutazione
dei rischi |
Verifica del livello di esposizione ai rischi connessi a una situazione concreta o minaccia conosciuta nella propria realtà imprenditoriale o professionale. | |
| Definizione degli interventi per mitigare i rischi (politiche di sicurezza). | ||
| Protezione dei
dati personali |
Valutazione degli aspetti relativi alla protezione dei dati, prima che questi siano trattati. | |
| Diritti dell’interessato | Controllo di aver adottato tutte le procedure idonee alla tutela dei diritti dell’interessato (il cui livello è stato innalzato). | |
| Raccomandazioni
Garante |
È opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che dovrà avere per impostazione predefinita forma scritta (anche elettronica). | |
| Violazioni | Analisi e definizione degli adempimenti da seguire nel caso di un data breach (perdita, violazione di dati sensibili, protetti o riservati). | |
| A partire dal 25.05.2018 tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. | ||
| Raccomandazioni
Garante |
· Tutti i titolari del trattamento dovranno, in ogni caso, documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati; tale obbligo non è diverso, nella sostanza, da quello attualmente previsto dall’art. 32-bis, c. 7 del Codice.
· Il Garante raccomanda, pertanto, ai titolari del trattamento di adottare le misure necessarie a documentare eventuali violazioni, essendo peraltro tenuti a fornirgli tale documentazione, su richiesta, in caso di accertamenti. |
|
