IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PRIVACY

Il Regolamento UE 2016/679 in materia di Privacy è entrato in vigore il 25 maggio 2016 e non necessita di ulteriore recepimento da parte degli Stati Membri, fatta salva la facoltà per questi ultimi di promulgare leggi in materia di privacy più specifiche per talune fattispecie.
Il Regolamento diventerà applicabile a decorrere dal 25 Maggio 2018.
Il codice della privacy italiano in vigore dal 1° Gennaio 2004 verrà quindi sostituito dal nuovo Regolamento e tutti gli operatori dovranno uniformasi alla normativa europea che diventerà – a quel punto – unica e comune a tutti gli Stati UE.
Il Regolamento è estremamente complesso (si consideri solo che consta di 173 considerando e 99 articoli): di seguito verranno trattati i punti di maggiore interesse e le azioni che le società saranno tenute a porre in essere per adeguarsi alla nuova normativa.

1. OGGETTO E AMBITO DI APPLICAZIONE PER MATERIA E PER TERRITORIO DEL REGOLAMENTO (cfr. art. 1-2-3 Reg.)
Il Regolamento riguarda le norme relative alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali nonché alla libera circolazione dei dati stessi.
Il Regolamento si applica al trattamento automatizzato e non automatizzato dei dati personali.
L’impianto normativo conferma il divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, l’appartenenza sindacale, l’orientamento sessuale e conferma altresì il divieto di trattare dati genetici e biometrici (tutte categorie di dati sensibili), a meno che l’interessato non presti il proprio consenso esplicito.
Il Regolamento si applica integralmente alle imprese situate all’interno dell’UE e alle imprese situate fuori dall’UE che offrano servizi o prodotti o che svolgano attività di monitoraggio dei comportamenti di persone che si trovino nel territorio dell’UE.
Assume preminente importanza ai fini della valutazione dell’applicazione del Regolamento la legge del luogo del soggetto interessato al trattamento, a discapito della legge della sede del titolare del trattamento.
Social network, piattaforme web e motori di ricerca saranno quindi soggetti al Regolamento, anche se gestiti da società con sede al di fuori dall’UE nella misura in cui comunque trattino dati di soggetti “che si trovano nell’unione” (art. 3.2)

2. INFORMATIVA SULLA PRIVACY: DOVERE DI DOCUMENTAZIONE (art. 12 del Reg.)
L’informativa che viene fornita all’interessato deve essere preventiva e deve rispondere a criteri di trasparenza. Essa deve quindi essere intelligibile, accessibile, comprensibile, scritta con linguaggio chiaro e semplice e deve essere fornita all’interessato per iscritto o con altri mezzi, ivi compresi i mezzi elettronici.
L’interessato al trattamento deve essere informato sul diritto di revoca del consenso prestato per determinati trattamenti (es. finalità di marketing) e in modo specifico sul fatto che i dati verranno trasmessi al di fuori dell’UE e con quali garanzie (sul punto vedi infra).
Tutti i soggetti che partecipano al trattamento devono tenere documentazione di tutti i trattamenti effettuati ed essere in grado di provare tale attività (principio di responsabilizzazione o accountability).
Il titolare del trattamento che non riesce a documentare il trattamento dei dati è soggetto a sanzione.

3. IL CONSENSO (art. 7-8-21 e 22 del Reg.)
Il consenso al trattamento dei dati deve essere espresso in modo libero, specifico e inequivocabile anche quando espresso attraversi mezzi elettronici (es. mediante il sistema di point and click).
Qualora il trattamento dei dati personali abbia ad oggetto dati sensibili, il consenso dovrà essere esplicito. Se il soggetto interessato al trattamento dei dati è un minore di anni 16 il consenso dovrà essere prestato dai genitori.
In ogni caso le decisioni che producono effetti giuridici non potranno essere basate esclusivamente sul trattamento automatizzato (es. profilazione) fatto eccezione il caso in cui l’interessato abbia rilasciato un consenso esplicito oppure questo tipo di trattamento sia necessario per la definizione del contratto.
L’interessato conserva il diritto di opporsi in qualsiasi momento al trattamento dei dati per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale scopo.
Per “titolare del trattamento” si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali mentre il “responsabile del trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Il Regolamento definisce la “profilazione” qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

4. VALUTAZIONE DELL’IMPATTO SULLA PROTEZIONE DEI DATI (cfr. art. 35)
Il DPS verrà sostituito dal documento denominato Privacy Impact Assessment (PIA).
Il titolare del trattamento dovrà valutare gli impatti, i rischi connessi al trattamento e predisporre gli eventuali interventi per ridurre al minimo i rischi e per prevenire la violazione dei dati personali.
Il Garante per la Privacy renderà noto l’elenco delle tipologie di trattamento soggette al requisito della valutazione di impatto sulla protezione dei dati.

5. IL DATA PROTECTION OFFICER (art. 37 del Reg.)
Il regolamento istituisce la figura del Data Protection Officer (DPO) ovvero il responsabile della protezione dei dati.
Il DPO viene nominato dal titolare del trattamento e dal responsabile del trattamento.
Il DPO dovrà essere obbligatoriamente presente all’interno delle aziende pubbliche e delle aziende private che trattano dati sensibili.
Nelle aziende private che trattano dati non sensibili l’introduzione del DPO è facoltativa.
Le società facenti parte di uno stesso gruppo a livello nazionale o internazionale potranno nominare un solo DPO.
Il DPO potrà essere un dipendente del titolare del trattamento o del responsabile del trattamento o un consulente esterno e potrà assumere altri compiti, non in conflitto di interesse con la funzione (indipendenza e autonomia del DPO).
Ogni azienda dovrà rendere noto i dati del proprio DPO sia ai soggetti interessati del trattamento sia al Garante.
Per il carattere di autonomia, indipendenza e assenza di conflitto di interessi la figura del DPO può essere accostata all’ODV introdotto dalla legge 231/2001. Il DPO riferisce direttamente ai vertici della società.
Il DPO svolgerà i seguenti compiti:
a) informare, consigliare e formare il titolare e il responsabile del trattamento e i dipendenti sugli obblighi del regolamento;
b) verificare l’attuazione del regolamento;
c) fungere da punto di riferimento per gli interessati al trattamento e per il Garante.

6. PRIVACY BY DESIGN E PRIVACY BY DEFAULT (art. 32 del Reg.)
La materia della privacy viene intesa come elemento dinamico che prevede l’attuazione costante di misure tecniche e organizzative adeguate per il trattamento dei dati (c.d. privacy by design).
Il Regolamento stabilisce in ogni caso che i dati debbano essere trattati solamente per le finalità previste e per il tempo necessario al raggiungimento del fine stesso (c.d. privacy by default).

7. OBBLIGO DI NOTIFICA IN CASO DI VIOLAZIONE DEI DATI (art. 33 del Reg.)
In caso di violazione dei dati, il titolare del trattamento dovrà effettuare una segnalazione al Garante entro le 72 ore successive e nel più breve tempo possibile dovrà informare gli interessati al trattamento qualora la violazione dei dati rappresenti una minaccia per i diritti e le liberà delle persone (c.d. data breach). Tale tipo di informazione può essere effettuata anche per pubblici proclami o attraverso il sito web.
È possibile prevedere che le società di assicurazioni strutturino delle polizze volte a coprire i costi per la comunicazione della violazione agli interessati.

8. REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO (art. 30 del Reg.)
Le società con un numero maggiore di 250 dipendenti e le società che trattano dati sensibili (indipendentemente dal numero dei lavoratori) dovranno dotarsi di un registro nel quale verranno indicati il nome e i dati del titolare del trattamento, le finalità del trattamento, la descrizione delle categorie degli interessati e delle categorie dei dati trattati, la descrizione delle misure di sicurezza adottate a tutela della privacy. Nel registro bisognerà segnalare se i dati vengono trasferiti all’estero.
Il registro potrà essere cartaceo o elettronico.

9. TRASFERIMENTO DEI DATI ALL’ESTERO (art. 44-45-49 del Reg.)
Resta vietato il trasferimento dei dati personali verso Paesi situati al di fuori dell’UE che non rispondano agli standard di adeguatezza in materia di privacy.
In mancanza di un riconoscimento di adeguatezza da parte della Commissione Europea, i titolari del trattamento potranno trasferite i dati verso un Paese terzo a patto che il titolare del trattamento del Paese terzo fornisca adeguate garanzie di tutela (garanzie
contrattuali). In assenza di garanzie contrattuali o di riconoscimento di adeguatezza, i dati potranno essere trattati solo previo consenso esplicito dell’interessato.

10. RICONOSCIMENTO DI NUOVI DIRITTI (art. 17 e 20 del Reg.)
Il Regolamento introduce la tutela di nuovi diritti tra i quali il diritto alla portabilità dei dati e il diritto all’oblio.
Il diritto alla portabilità dei dati consiste nella richiesta dell’interessato al titolare del trattamento di restituzione dei propri dati su supporto elettronico.
Il diritto all’oblio si sostanzia nel diritto dell’interessato ad essere totalmente cancellato dal data-base del titolare del trattamento.

11. CODICI DI CONDOTTA (art. 40 del Reg.)
Le associazioni di categoria possono elaborare codici di condotta in materia di privacy
allo scopo di promuovere l’applicazione del Regolamento.
Il titolare del trattamento potrà chiedere la certificazione del trattamento dei dati ad aziende specializzate anche ai fini del trasferimento di dati verso l’estero.
L’adesione ai codici di condotta e la certificazione saranno elementi che potranno essere valutati dal Garante in caso di applicazione delle sanzioni.

12. LE SANZIONI (art. 82 del Reg.)
Il Regolamento prevede un adeguamento al rialzo delle sanzioni amministrative per il titolare e il responsabile del trattamento in caso di violazione delle norme in materia di privacy. Il tetto massimo delle sanzioni è previsto nella misura di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
L’interessato al trattamento che abbia subito un danno per la violazione delle norme sulle privacy potrà pretendere un risarcimento dal titolare o dal responsabile del trattamento.
La responsabilità per la violazione della normativa sulla privacy è ancorata al concetto di responsabilità per l’esercizio delle attività pericolose: per non rispondere del danno commesso in violazione della normativa bisognerà provare di aver fatto tutto il possibile per evitare il danno.

SUGGERIMENTI OPERATIVI.
Come ben si comprende dalla lettura di quanto precede, si tratta di una regolamentazione complessa e ponderosa, caratterizzata da un elevato tecnicismo delle norme. Tuttavia si può semplificando – per quanto possibile e allo stato – individuare gli incombenti che sarà opportuno tenere presenti per adeguarsi all’entrata in vigore della nuova normativa.
1) Sarà necessario rivedere l’informativa da fornire al Cliente, adeguando il testo attualmente in uso ed inserendo il riferimento ai nuovi diritti (diritto alla portabilità e diritto all’oblio).
2) Bisognerà informare il Cliente del diritto alla revoca del trattamento per finalità di marketing nonché della possibilità attribuita al titolare del trattamento di trasferire i dati dell’interessato all’estero.
3) Sarà necessario raccogliere un consenso esplicito del Cliente al trasferimento dei dati all’estero nonché inserire un’apposita previsione per la raccolta del consenso al trattamento dei dati per il minore di anni sedici.
4) La Vs. società dovrà redigere il nuovo documento denominato Privacy Impact Assessment che andrà a sostituire il DPS e che dovrà avere i contenuti previsti dall’art. 35. Tale documento dovrà tracciare il profilo dei rischi collegato alla raccolta e al trattamento dei dati e i rimedi volti a eliminare o ridurre il rischio di perdita/appropriazione da parte di terzi dei dati.
5) Infine si ritiene fondamentale predisporre una policy aziendale per l’archiviazione dei dati, in modo da poter sempre dimostrare – in caso di controllo – che il titolare del trattamento ha adottato misure giuridiche, organizzative, tecniche adeguate e conformi al Regolamento per la protezione dei dati.

© Tutti i diritti riservati.