Lunedì, 18 Giugno 2018 09:32

GDPR Nuovo regolamento PRIVACY

Scritto da Eugenio Pacelli

Il Regolamento sulla privacy GDPR 679/2016 impone obblighi stringenti e introduce nuove responsabilità volte a garantire maggiori misure di sicurezza a protezione dei dati personali. Infatti, sono state introdotte regole più chiare in materia di informativa e consenso, definendo i limiti al trattamento automatizzato dei dati personali e stabilendo criteri (e sanzioni) rigorosi nei casi di violazione dei dati personali.

 

Il Regolamento sostituisce il Codice della Privacy, riconoscendo importanti e ampi diritti ai cittadini e imponendo alle imprese e alla Pubblica Amministrazione una forte responsabilizzazione; in particolare, introduce una legislazione in materia di privacy uniforme e valida in tutta Europa affrontando temi innovativi (quali, ad esempio, il diritto all’oblio).

Tuttavia, il regolamento non stravolge la precedente norma, ma la adegua a nuovi principi e definizioni.

I fondamenti di liceità del trattamento, indicati all’art. 6 del GDPR, coincidono, in linea di massima, con quelli previsti dal vecchio Codice Privacy.

In particolare, il Consenso per i “dati sensibili” deve essere “esplicito” anche quando riguardi decisioni basate su trattamenti automatizzati, compresa anche la profilazione.

A un’attenta analisi della nuova normativa non tutti ancora ne hanno compreso la portata; pertanto, cerchiamo di comprendere le più importanti novità che sono state introdotte dal Regolamento e cosa è cambiato in materia di Privacy.

Privacy: la nuova normativa

Lo sviluppo tecnologico e la globalizzazione comportano un rischio per la privacy di ognuno e per la protezione dei dati personali, la cui condivisione e raccolta è aumentata in modo esponenziale. Per tali ragioni, si è reso necessario predisporre un più solido sistema di protezione del diritto alla riservatezza. Secondo la disciplina europea, devono conformarsi alle prescrizioni dettate sulla privacy tutte le aziende pubbliche e tutte quelle realtà (anche private) in cui il trattamento dei dati presenta rischi specifici. Il Regolamento si applica solo al trattamento di dati personali delle persone fisiche.

Privacy: i dati a scadenza

È stato introdotto un concetto nuovo e sinora sconosciuto in tema di trattamento di dati personali: ossia il concetto di scadenza dei dati. Ciò significa che, nel momento in cui l’azienda entra in possesso di dati di alcuni utenti, non può tenerli per sempre. Pertanto, ogni azienda nella propria informativa privacy dovrà anche specificare il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo.

Privacy: gli scopi della nuova normativa

Responsabilizzare maggiormente il titolare del trattamento dei dati personali in considerazione del rischio che il trattamento possa comportare per i diritti e le libertà degli interessati (si parla in proposito di «accountability»).

Garantire la protezione dei dati sin dalla progettazione del sistema di trattamento degli stessi, ad esempio attraverso la possibilità da parte del titolare di far certificare le modalità di trattamento dei dati.

Introdurre regole più chiare sia in materia di informativa agli interessati sia per l’esercizio dei diritti dei medesimi.

Garantire che il consenso del soggetto interessato al trattamento dei dati personali sia sempre preventivo e inequivocabile anche nel caso in cui sia espresso con mezzi elettronici, escludendo espressamente ogni ipotesi di tacito consenso. Per i minori di 16 anni è previsto che gli enti fornitori di servizi via web o Social Network debbano richiedere il consenso al trattamento dei dati personali a chi esercita la responsabilità genitoriale.

Assicurare agli interessati la possibilità di revocare in ogni momento il consenso al trattamento di dati personali.

Adottare ogni misura necessaria per il cosiddetto “data breach“, principio in base al quale il titolare del trattamento dovrà comunicare eventuali violazioni esterne dei dati personali dei propri utenti al Garante nazionale e, nel caso in cui la violazione rappresenti una minaccia per i diritti e le libertà delle persone, dovrà informare dell’accaduto anche i soggetti interessati.

Privacy: com’è tutelata?

Al fine di garantire la protezione dei dati personali, il Regolamento ha introdotto due importanti principi: quello di privacy by default e quello di privacy by design.

Il principio di privacy by default fa riferimento alla necessità di tutelare la vita privata dei cittadini – appunto – di default, ovvero come impostazione predefinita dell’organizzazione aziendale. In altri termini, ogni azienda dovrà necessariamente dotarsi di un sistema tale da proteggere adeguatamente i dati personali ed evitare il rischio di una loro violazione.

Il concetto di privacy by design, invece, stabilisce che la protezione dei dati deve avvenire fin dal disegno e/o progettazione di un processo aziendale. Quindi, ogni azienda deve effettuare una cosiddetta valutazione dell’impatto-privacy, cioè una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Questa analisi deve condurre a escludere il verificarsi in concreto dei rischi legati al trattamento dei dati personali quali ad esempio la loro distruzione, perdita, modifica e divulgazione non autorizzata.

Privacy: chi è il responsabile della protezione dei dati personali?

Per il perseguimento delle finalità sopra descritte, il Regolamento ha introdotto la figura del Responsabile della Protezione dei Dati Personali (detto DPO). Si tratta di un soggetto in possesso di specifici requisiti come competenza, esperienza, indipendenza, autonomia di risorse, con il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza, ecc.

Privacy: cos’è il diritto all’oblio

La nuova legge estende il campo del cosiddetto diritto all’oblio: la norma sancisce il diritto a ottenere la cancellazione dei propri dati personali dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità. Questo diritto si estende anche ai casi in cui un soggetto chiede la cancellazione dei propri dati personali, revocando così il consenso al trattamento concesso per fruire di un determinato servizio. Il diritto all’oblio del cittadino potrà essere limitato solo per garantire la libertà di espressione volta alla tutela di un interesse generale o quando i dati trattati in forma anonima dal titolare del trattamento siano necessari per la ricerca storica o per finalità scientifiche o statistiche.

Privacy e nuove sanzioni

Una delle più grandi novità del regolamento è quella che riguarda i casi di ”data breach“, ossia le violazioni dei dati, per esempio in occasione di attacchi informatici. La norma introduce, infatti, il diritto per tutti i cittadini, siano essi aziende o persone fisiche, di conoscere la violazione dei dati che le aziende saranno obbligate a comunicare al Garante. Le norme che sanzionano il trattamento illecito di dati personali sono molto severe. Il Regolamento, infatti, ha innalzato sensibilmente la misura delle pene pecuniarie, che potranno arrivare fino a un massimo di 20 milioni di euro o fino al 4% del fatturato annuo.

Conclusioni

In conclusione, è da ritenere che il nuovo Regolamento non segni significativi stravolgimenti rispetto alla precedente normativa. Nel presente documento sono state individuate ed analizzate le similitudini e le difformità tra le due normative. In particolare, relativamente al consenso, tutti i dati raccolti precedentemente alla data del 25 maggio 2018 restano validi.

Si rammenta che, nel caso di interesse vitale di un soggetto, tale base giuridica può essere invocata solo se nessuna delle altre condizioni di liceità trovi applicazione.

Nel caso di interesse legittimo prevalente di un titolare /terzo, il relativo bilanciamento tra il legittimo interesse del titolare/terzo e i relativi diritti e libertà dell’interessato non spetta all’Autorità, in quanto tale compito deve essere svolto dallo stesso titolare, attraverso l’applicazione del cosiddetto principio di Responsabilizzazione introdotto dal GDPR.

Con il nuovo regolamento cambiano le regole per coloro che si trovano a gestire dati personali, con particolare riferimento alle società di telefonia, alle pubbliche amministrazioni e a qualsiasi azienda con cui l’utente sottoscriva un contratto contenente i propri dati personali.

Alla luce dei fatti, la reale peculiarità del nuovo Regolamento sono le pesantissime sanzioni rispetto al passato, che, laddove attuate, possono creare gravi problemi a chi le subisce.

La procedura di verifica della normativa dovrà avvenire mediante un sopralluogo in cui si cercherà di comprendere gli aspetti tecnici e giuridici del problema. Successivamente, si effettuerà una valutazione dei rischi nella gestione dei dati, sia personali sia sensibili, per procedere all’emissione di uno specifico documento; in tale elaborato, saranno riportate le soluzioni adottate per la gestione in sicurezza di tutti i dati in possesso e, almeno una volta l’anno, si procederà al riesame della gestione per la ricerca di nuove soluzioni, laddove necessarie.

Letto 232 volte Ultima modifica il Lunedì, 18 Giugno 2018 09:37

Lascia un commento

Assicurati di aver digitato tutte le informazioni richieste, evidenziate da un asterisco (*). Non è consentito codice HTML.