Il Consiglio dei Ministri del 21 marzo 2018 ha approvato il decreto legislativo di attuazione della direttiva europea sul GDPR: a partire dall’entrata in vigore del nuovo regolamento sarà abolito il Codice della Privacy. A pochi mesi dall’entrata in vigore del nuovo regolamento imprese e professionisti si stanno affrettando a capire cosa cambia in concreto e cos’è il GDPR, General Data Protection Regulation

Con il nuovo regolamento, l’Unione Europea ha voluto introdurre nuove regole in materia di protezione delle persone fisiche in merito al trattamento dei dati personali e alla libera circolazione degli stessi.

Le novità principali riguardano le regole sul trattamento dei dati personali, che non potrà essere limitato nel tempo ma funzionale al motivo per il quale sono stati raccolti. Il consenso del consumatore\cliente, inoltre, dovrà essere esplicito e le modalità di utilizzo dei dati dovranno essere spiegate in modo chiaro e semplice.

Quel che preoccupa più imprese e professionisti sono le nuove sanzioni per chi non si adeguerà alle nuove regole sulla privacy: potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

Ad aiutare sia le imprese, che i professionisti e consumatore nell’analisi di cosa cambia con l’entrata in vigore del GDPR dal 25 maggio 2018 è il Garante per la protezione dei dati personali, con una guida ai punti più importanti della riforma UE.

Il GDPR, il nuovo regolamento in materia di privacy che dovrà essere applicato in tutta Europa dal 25 maggio 2018 introduce maggiori tutele per i consumatori e maggiori responsabilità per le imprese.

Ad aiutarci a capire cosa cambia è la guida dell’Autorità Garante, che sviluppa per punti quali sono le nuove disposizioni introdotte.

Cerchiamo di seguito di capire alcune delle principali novità, che riguarderanno anche professionisti e le PMI, con degli utili esempi ripresi dalla guida alla riforma della Privacy pubblicata dal quotidiano economico-finanziario Italia Oggi.

1. Informativa 
Tra le principali novità del nuovo regolamento UE sulla privacy vi sono le nuove regole in materia di informativa e consenso: dovrà essere chiara e di facile comprensione e per fare ciò si potrà fare uso anche di icone (che tuttavia dovranno essere le stesse in tutta Europa).

Prendiamo ad esempio il caso di un’agenzia viaggi: l’informativa al trattamento dei dati dovrà spiegare in maniera semplice e con un linguaggio di facile comprensione come saranno utilizzati i dati e per quanto tempo saranno conservati nelle banche dati.

Se tali dati saranno utilizzati con finalità di marketing, ovvero qualora dovessero essere condivisi con altre aziende che si occupano del settore viaggi e tempo libero, nell’informativa privacy dovrà essere indicato in maniera esplicita ai clienti che i propri dati potrebbero essere trasferiti a terzi per finalità di marketing. Nel caso di mancanza di consenso l’agenzia viaggi non potrà comunicare i dati all’azienda terza.

2. Consenso
Il consenso al trattamento dei dati personali dovrà essere preventivo e inequivocabile, così come previsto già oggi. Quel che cambia è la modalità per esprimerlo: non varrà mai la regola del chi tace acconsente, il consenso dovrà essere esplicito e mai basato ponendo all’interessato una serie di opzioni già selezionate.

Se l’azienda, negli anni precedenti, ha raccolto il consenso dei propri clienti utilizzando il sistema di caselle precompilate dovrà chiedere ai clienti già “consenzienti” l’autorizzazione al trattamento dei dati utilizzando le nuove modalità previste dal GDPR.

Il consumatore potrà revocare il proprio consenso in ogni momento e l’azienda sarà obbligata a cancellare tutti i dati raccolti.

Ancora, il nuovo regolamento sulla privacy, prevede modifiche anche alle modalità di raccolta del consenso in caso di minori per la fruizione di servizi su internet e social media: per chi ha meno di 16 anni sarà necessario il consenso al trattamento dei genitori o di chi esercita la potestà genitoriale.

3. Portabilità dei dati
Una novità, questa, che interesserà soprattutto i consumatori che secondo quanto previsto dal regolamento privacy consentirà a partire dal 25 maggio 2018 di richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Ad esempio si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati, così come ad esempio, nel caso di cambio di gestore dell’energia.

4. Diritto all’oblio e conservazione limitata
In merito al diritto all’oblio, il consumatore potrà richiedere la cancellazione dei propri dati personali online nei casi in cui i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento.

Tipico esempio è il caso di richiesta di cancellazione di un articolo pubblicato su internet. Il diritto all’oblio tuttavia sarà escluso qualora si tratti di informazioni di interesse generale o necessari per finalità storiche, statistiche o scientifiche.

Al diritto all’oblio si collega anche un’ulteriore novità prevista dal GDPR: la conservazione dei dati dell’utente\cliente non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.

Ad esempio, un’azienda che si occupa di selezione del personale e che richiede il consenso al trattamento dei dati relativi ai curriculum trasmessi, potrà conservare gli stessi per un periodo proporzionato all’attività di ricerca del personale nel medio e lungo termine.

5. Violazione dei dati personali
In caso di data breach il titolare del trattamento dei dati è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

Un esempio potrebbe essere il caso di un’azienda che si occupa di servizi di archiviazione in cloud. n questo caso sarà necessario prima notificare la violazione dei dati al cliente e questi, in quanto titolare del trattamento dei dati, dovrà darne comunicazione agli interessati e informare il Garante.

6. DPO da nominare entro il 25 maggio 2018 e sanzioni
In base al regolamento UE 2016/679 (pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016) le aziende e i professionisti privati dovranno nominare entro il 25 maggio 2018 il Responsabile della Protezione dati, altrimenti detto DPO, cioè Data Protection Officer. Entro la stessa data deve essere redatto, aggiornato e conservato un Registro del trattamento che deve essere a disposizione dell’Autorità di controllo che, tramite il registro, deve controllare la conformità dell’organizzazione alle norme del Regolamento Europeo.

Il DPO deve conoscere a fondo la normativa e la prassi sulla protezione dei dati e deve essere in grado di assolvere ai compiti dell’articolo 39 del Regolamento. A patto che abbia queste conoscenze, il DPO può essere un dipendente o una persona esterna a un’azienda. Una volta scelto, il Titolare o il Responsabile del trattamento deve pubblicare i dati relativi al Responsabile della protezione dati e deve comunicarli all’Autorità di Controllo.

Come sottolinea il garante della Privacy, il candidato al ruolo di DPO deve avere competenze ed esperienze specifiche ma non sono richiesti attestati o iscrizioni ad albi professionali particolare. I requisiti devono essere valutati tenendo presente l’ambito in cui il DPO agirà: deve conoscere la normativa del settore di riferimento e l’organizzazione aziendale.

La nomina è obbligatoria se (articolo 37 del regolamento):
– il trattamento è fatto da un’Autorità Pubblica tranne le Autorità giurisdizionali quando esercitano le proprie funzioni
– le attività principali del Titolare o Responsabile del trattamento sono trattamenti che per natura ambito e finalità richiedono il monitoraggio su larga scala sistematico e regolare degli interessati
– le attività principali del Titolare o Responsabile del trattamento consistono su larga scala nel trattamento di categorie particolari di dati personali (articolo 9 del regolamento) o relativi a condanne penali e reati dell’articolo 10.

Come detto il DPO va scelto entro il 25 maggio 2018: da quella data i professionisti, le aziende e le pubbliche amministrazioni dovranno avere già applicato le prescrizioni del Regolamento europeo. Il Titolare o i Responsabile che non rispetta gli obblighi dell’articolo 37 verranno sanzionati (secondo l’articolo 83 comma 4 del Regolamento) con una multa fino a 10.000.000 di euroLe imprese fino al 2% del fatturato mondiale annuo dell’anno precedente.

PMI esonerate dall’obbligo di tenuta del registro dei trattamenti

Il nuovo regolamento sulla privacy introduce, a partire dal 25 maggio 2018, l’obbligo di tenuta del registro dei trattamenti. Si tratta di un documento all’interno del quale bisognerà indicare le caratteristiche del titolare del trattamento e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere.

L’obbligo di tenuta del registro riguarda tutti i titolari e responsabili del trattamento dei dati personali, ad esclusione delle PMI con meno di 250 dipendenti.

L’obbligo, tuttavia, si estende anche alle piccole e medie imprese qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o se riguardi particolari tipologie di dati.

Nuovo regolamento privacy 2018: testo GDPR in italiano

Le novità introdotte dal GPDR sono tante e rilevanti e per analizzarle nello specifico si rimanda al testo del regolamento sulla privacy in vigore dal 25 maggio 2018 pubblicato in Italiano dall’Autorità Garante: regolamento_ue_2016_679

Articoli precedenti:
– Novità nella informativa privacy per il 2018