Il 25.5.2018 diventa direttamente applicabile il regolamento europeo 679 del 2016, il GDPR (General Data Protection Regulation).
Si tratta di un’importante novità in materia di “Privacy”, fino ad oggi in Italia disciplinata dal D. Lgs 196 del 2003. Il GDPR sorge dalla necessità di armonizzare, in tutto l’ambito europeo, le norme in materia di protezione dei dati personali.
Non viene, però, abrogato il famoso Codice della Privacy, che resterà in vigore finché il Legislatore non emanerà una nuova normativa italiana in base ai principi del nuovo regolamento europeo.
Cosa cambia in concreto?
Rispetto alla precedente normativa, viene lasciata maggiore autonomia e discrezionalità al titolare del trattamento dei dati. Ciò che sembra una minore tutela per l’interessato, viene compensato da un aumento delle sanzioni pecuniarie in caso di violazione dei precetti normativi.
Viene introdotto il concetto di accountability, responsabilizzazione (del titolare); scompare l’obbligo di notifica preventiva del trattamento, che lascia il posto ai registri delle attività di trattamento (del titolare e del responsabile); l’informativa, elemento fondante dell’espressione di un consenso “consapevole”, diventa più chiara, intelligibile, a misura (più o meno) di interessato.
Si fanno strada i concetti di Privacy by design e di Privacy by default, che sostituiscono le misure minime di sicurezza, previste dal D. Lgs. 196 del 2003.
Di fondamentale importanza è ora la valutazione (preventiva) del rischio: una analisi delle necessità di operare il trattamento dei dati, per quali finalità, se il rischio corso è mitigato dalle misure di sicurezza adottate dal titolare o giustificato dalla necessità di protezione di un diritto o interesse superiore.
Nuova è anche la figura del DPO, il responsabile per la protezione dei dati, non obbligatorio per le aziende con meno di 250 dipendenti, purché il trattamento non riguardi dati particolari.
Il DPO, comunque, anche quando non sia obbligatoria la nomina, può essere una figura utile, per agevolare il titolare nei suoi compiti e limitarne le responsabilità.
L’Autorità di controllo (da noi, il Garante Privacy) mantiene i propri poteri di indagine, di controllo e di intervento, ma svolge ora un ruolo più “maturo”, di valutazione (si potrebbe dire) secondaria, qualora il titolare abusi, in qualche modo, della discrezionalità lasciatagli dal GDPR.
L’ambito di applicazione del nuovo regolamento non è limitato al confine geografico, ma comprende i trattamenti di dati sia di cittadini residenti nella UE, anche se non siano ivi stabiliti i titolari e/o i responsabili, sia di cittadini extra UE, qualora eseguiti da titolari di dati stabiliti all’interno dell’Unione. Lo scopo è quello di arrivare ad una uniformità globale dei principi normativi in materia di protezione dei dati personali.
Le sanzioni previste dal GDPR arrivano anche fino a € 20 milioni (o, in caso di aziende, fino al 4% del fatturato mondiale dell’esercizio precedente, se superiore).
È chiaro che non vadano sottovalutati né l’importanza della materia, né il rischio di incorrere in sanzioni.
La valutazione del rischio, primo passo per una corretta applicazione del GDPR, dovrà essere svolta tempestivamente e con serietà, per verificare che le misure adottate nell’ambito professionale siano sufficienti a garantire il giusto trattamento dei dati personali altrui.
Conviene, prima del 25 maggio, che il vecchio modello di informativa data ai clienti che abbiano fornito i propri dati venga controllato, perché sia garantito il rispetto delle norme del nuovo regolamento.
Eventualmente, si potrà fornire agli interessati una nuova aggiornata informativa, cosa che dovrà comunque essere fatta se i dati raccolti per determinate finalità vengano poi trattati per finalità differenti da quella per cui sono stati raccolti.
Una tempestiva valutazione può essere molto utile per evitare di incorrere nei problemi derivanti da un illecito trattamento dei dati.
Inoltre, anche un controllo della efficacia della tecnologia e delle metodologie usate in azienda per il trattamento dei dati serve a capire se vengono rispettati i principi del GDPR o se, invece, il titolare rischi di incorrere in pesanti sanzioni.
In caso vi servisse un parere, potremmo svolgere un audit (anche in collaborazione con il vostro tecnico informatico o con un nostro partner commerciale) per la valutazione e i suggerimenti di adeguamento alla nuova normativa.
Avv. Antonio Roberto Lo Buglio