preloder

GDPR – cosa cambia dal 25 maggio 2018

Il nuovo regolamento europeo 679/2016 in materia di protezione dei dati personali, meglio conosciuto con l’acronimo GDPR – General Data Protection Regulation -, sostituisce la Direttiva 95/46/CE. L’obiettivo di tale modifica si ritrova nella volontà di uniformare e allineare la materia in tutti i Paesi europei, in modo tale da rendere più agevole lo scambio di dati tra aziende sparse sul territorio europeo, pur garantendo la massima protezione del dato comunicato e, quindi, dell’interessato. In questo periodo di transizione è dunque necessario che tutte le aziende si uniformino alla nuova normativa.

E qui, la domanda dell’azienda (o del titolare del dato, ossia di colui che raccoglie ed utilizza materialmente il dato) sorge spontanea: cosa devo fare per essere a norma? Per non perdersi tra articoli e disposizioni previste dal GDPR, di seguito si elencano le voci previste dal regolamento europeo a cui bisogna adeguarsi, al fine di evitare sanzioni pecuniarie elevate.

Il “kit” necessario all’azienda

 I dati nell’UE, la figura del DPO/RPD e il data breach

Il principio alla base del nuovo regolamento europeo è il medesimo del D. Lgs. 196/2003: bisogna specificare dettagliatamente i motivi della raccolta e del trattamento dei dati forniti dall’interessato. Dato che il nuovo regolamento europeo è volto a proteggere i dati in tutto il territorio europeo, ma al tempo stesso anche a liberalizzare e a facilitare la comunicazione degli stessi nel continente, l’azienda è tenuta a comunicare in modo chiaro se i dati saranno comunicati a società terze sia a livello nazionale, sia internazionale specificandone le finalità. Inoltre, è previsto che l’azienda comunichi anche per quanto tempo i dati verranno trattati e conservati e se sono previsti dei trattamenti automatizzati. Molto importante è quindi la chiarezza: diventa obbligatorio specificare bene chi tratterà i dati, per quanto tempo, come e dove, oltreché fornire i contatti del referente a cui l’interessato può rivolgersi nel caso in cui avesse dubbi o volesse comunicare di voler modificare o eliminare in modo permanente i suoi dati dal database. Ecco quindi che la figura del DPO (Data Protection Officer, o Responsabile per la Protezione dei Dati) diventa un tassello fondamentale per adeguarsi correttamente alla normativa europea, tant’è che la normativa prevede di segnalare in modo chiaro ed immediato i contatti del RPD.

La figura del DPO/RPD è fondamentale: è colui che deve comunicare all’interessato il furto, lo smarrimento o il tentato accesso forzato ai dati entro 72 ore dalla scoperta. Ora, la segnalazione del data breach in concomitanza all’Autorità/Garante Privacy deve avvenire esclusivamente se si teme per la libertà e i diritti dell’interessato, ma è comunque obbligatorio mantenere un registro delle violazioni in cui devono essere documentate le circostanze ed i provvedimenti presi affinché non si verifichi più la violazione.

 L’Informativa Privacy

Anche nel nuovo regolamento europeo è prevista la stesura da parte dell’azienda della sua informativa privacy. La nuova informativa privacy deve essere di chiara, di linguaggio immediato e semplice, in sostanza non troppo “giuridica”, e deve essere consegnata all’interessato in formato cartaceo o, se si tratta di contratti online, via mail o in qualunque formato elettronico. La forma verbale dell’informativa è accettata solo in alcuni casi specifici. L’informativa deve essere consegnata all’interessato che vi apporrà la firma per presa visione, lettura e accettazione delle clausole volte al trattamento dei suoi dati. Nel caso in cui i dati venissero comunicati da un titolare (i.e. da un’azienda verso un soggetto terzo), la normativa prevede che l’informativa dovrà essere recapitata all’interessato entro un mese dalla stipula del contratto, periodo nel quale il diretto interessato può anche retrocedere e far valere il suo diritto all’oblio.

 

I diritti dell’interessato e i doveri del titolare (o azienda):

  • Consenso (Art. 7.2): nel momento in cui si raccoglie un dato sensibile, bisogna essere certi che l’interessato abbia dato il suo consenso esplicito per il trattamento del dato in questione. Non è necessaria la forma scritta per confermare il consenso, ma il titolare del dato deve comunque essere in grado di dimostrare il consenso fornito nel momento in cui ha raccolto le informazioni, per esempio facendo firmare all’interessato un modulo precompilato in cui si attesta l’effettiva volontà dello stesso al trattamento dei suoi dati presenti in quel documento posto alla firma. Particolare attenzione deve essere posta nel momento in cui si raccolgono e si trattano i dati di minori: in questi caso, il consenso deve essere fornito dai genitori/tutori fino al compimento del sedicesimo anno di età, dopodiché è sufficiente il consenso dell’interessato;

 

  • Diritto all’oblio (Art. 17): così come un soggetto ha il diritto di scegliere se acconsentire o meno al trattamento dei suoi dati, lo stesso gode del diritto “rafforzato” di richiederne l’oblio, ossia la cancellazione totale di qualsiasi dato a lui riferito da qualsiasi database sia dell’azienda presso cui li ha forniti. Nel caso in cui l’azienda avesse comunicato i dati dell’interessato ad aziende terze (i.e. per marketing, indagini di mercato…), deve assumersi la responsabilità di comunicare la volontà di cadere nell’oblio dell’interessato a queste ultime;

 

  • Diritto di limitazione al trattamento (Art. 18): nel caso in cui vi sia una violazione, oppure una richiesta di modifica dei dati da parte dell’interessato, o semplicemente un’opposizione al trattamento dei dati, l’azienda non ha il diritto di trattarli, ma può solo conservarli. Quindi, l’azienda deve predisporre nel suo sistema informativo un modo per contrassegnare il dato soggetto a limitazione del trattamento;

 

  • Diritto alla portabilità dei dati (Art. 20): tutti i dati automatizzati (ossia “elettronici”, non cartacei) devono essere trattati solo previo consenso dell’interessato, il quale può richiederne il trasferimento in blocco presso altro ente o azienda. In questo caso, l’azienda a cui viene richiesto il trasferimento, deve essere in grado di fornire il servizio senza che vi sia dispersione o smarrimento dei dati.