IL NUOVO REGOLAMENTO SULLA PRIVACY

Il nuovo Regolamento privacy è operativo a partire dal 25 maggio 2018: ciascuno Stato membro dell’Unione, sta adeguando la propria normativa in materia. L’Italia ha promulgato un nuovo D. Lgs. Pubblicato il 05/09/2018 n. 101, che modificando il D. Lgs. 196/03 ha riordinato la normativa in essere allineandola al Regolamento Comunitario.

I soggetti chiamati a trattare i dati personali sono destinatari di nuove regole e sanzioni in casi di mancato adeguamento.

Il regolamento introduce, infatti, regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, e stabilisce anche criteri (e sanzioni) rigorosi nei casi di violazione dei dati personali.

COS’È IL GDPR?

Con l’acronimo inglese Gdpr (General Data Protection Regulation) si fa riferimento al Regolamento europeo in materia di protezione dei dati personali che, seppur in vigore dal 24 maggio 2016, ha trovato concreta applicazione dal 25 maggio 2018, con la conseguente  sostanziale modifica del Codice della Privacy precedentemente vigente.

Ciò che ha indotto l’introduzione di tale regolamento, proprio come precisato dalla Commissione Europea, è stata l’esigenza di dare certezza giuridica, uniformità e semplificazione alla normativa relativa al trasferimento dei dati personali dall’Unione Europea verso il resto del mondo, nonché di istituire uno strumento idoneo a fronteggiare l’evoluzione tecnologica.

COSA CAMBIA

Ebbene, il nuovo Regolamento sulla Privacy, nel richiamare i principi già enunciati dal Codice privacy precedentemente vigente, ne introduce anche di nuovi e si rende portatore delle seguenti novità:

• Il nuovo Regolamento conserva gli adempimenti già prescritti, ad esempio l’obbligo di fornire agli interessati l’informativa o di acquisire il consenso esplicito in assenza di altra condizione di liceità e ne istituisce di altri, inerenti le ulteriori indicazioni sul trattamento che debbono essere fornite all’interessato con l’informativa e il legittimo interesse.
• introduce nuove prescrizioni in tema di tenuta dei registri del trattamento [3] e di obbligatorietà per alcune categorie della figura nota come “Date Protection Officer”, da intendersi quale figura professionale avente competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi [4];
• individua nuovi diritti per l’interessato, come il “diritto all’oblio” ed il “diritto alla portabilità dei dati”, trattati con mezzi automatizzati [5];
• amplia notevolmente gli obblighi prescritti, introducendo quello di comunicare all’Autorità le eventuali violazioni dei dati personali (data breach);
• introduce maggiori responsabilità ed un trattamento sanzionatorio molto più rigido, a dispetto di quello previgente. Per dare un’idea più chiara, le sanzioni possono ammontare fino a 20 milioni di euro e, per le imprese, fino al 4% del fatturato annuo dell’esercizio precedente, fermo restando le responsabilità penali comunque addebitabili.
  

QUAL È L’AMBITO DI APPLICAZIONE

Per comprendere qual è l’ambito di applicazione del nuovo regolamento privacy, giova preliminarmente soffermarsi su due definizioni:

• quella, tutt’altro scontata, di “trattamento di dati personali”;
• la definizione di “dati personali”.

Ebbene, per “dato personale” deve intendersi qualsiasi informazione concernente una persona fisica identificata o identificabile, ad esempio dati anagrafici, indirizzo di posta elettronica, numero di telefono e via discorrendo.

Il “trattamento dei dati personali”, invece, viene qualificato come una qualsiasi operazione, o insieme di operazioni, compiute con o senza l’ausilio di mezzi automatizzati, ed applicate a dati personali o insieme di dati. In altre parole, si parla della raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione con trasmissione, diffusione o qualsivoglia altro mezzo, interconnessione, limitazione, cancellazione o distribuzione [6].

Il trattamento dei dati, dunque, coinvolge tutte quelle organizzazioni con almeno un collaboratore, che comportano una conoscenza di dati personali, sia mediante l’ausilio di processi automatizzati che non.

La novità del Regolamento in esame sta proprio qui e consiste nel fatto che, a dispetto di quello previgente, per far sì che lo stesso trovi applicazione, il trattamento può essere automatizzato in tutto in parte o, diversamente, può non essere automatizzato, riguardando per l’appunto dati contenuti in un archivio.

In sintesi, il Regolamento dell’Ue, che si appresta a diventare vincolante si applica con riferimento:

• al trattamento interamente o parzialmente automatizzato di dati personali;
• al trattamento non automatizzato di dati personali,
• ai dati contenuti in un archivio o destinati almeno a figurare.

COSA FARE

In virtù di quanto precede, il consiglio per tutti gli interessati è quello di prendere atto della nuova normativa. Le imprese ed i soggetti pubblici, dunque, devono monitorare scrupolosamente l’attività finora svolta e verificarne la conformità ai principi ed agli obblighi prescritti, colmando le eventuali incongruenze e lacune. Non solo, ulteriore esortazione, è quella di avviare tempestivamente l’iter di adeguamento ai mutamenti che a breve troveranno applicazione, se non altro per non correre il rischio di essere assoggettati alle pesanti sanzioni prescritte.


CONTATTACI PER AVERE UNA CONSULENZA SULLA PRIVACY PER LA TUA AZIENDA