PRIVACY: ARRIVA IL REGOLAMENTO EUROPEO. ADEGUARSI, PENA SANZIONI PESANTISSIME PER LE AZIENDE.

Siamo ormai prossimi all’entrata in vigore della nuova normativa europea in materia di tutela della privacy (Regolamento UE 2016/679); sebbene approvato sin dallo scorso 27 aprile 2016 – dopo una vacatio legis di due anni, per consentire a tutti gli Stati membri di adeguarsi alla nuova normativa – il 25 maggio entrerà in vigore il Regolamento generale sulla protezione dei dati personali, identificato con l’acronimo GDPR (General Data Protection Regulation).

Lo scopo primario della nuova legislazione è la tutela delle persone fisiche, attraverso la protezione dei dati che le riguardano, innovando profondamente la precedente legislazione, nata agli albori dell’era di internet (dalla L.675/96 al testo unico sulla privacy con il D.Lvo 196/03) oggi ormai obsoleta davanti alla più moderna e sempre crescente tecnologia digitale.

Il Legislatore, con il regolamento europeo, si prefigge di disciplinare in modo uniforme in ambito europeo – almeno per principi generali, lasciando una certa discrezionalità ai singoli Stati membri per questioni più specifiche – la protezione dei dati personali elevandoli tra i “diritti fondamentali” e, quindi, imponendo una maggiore cautela a professionisti e/o imprese che ne curano il “trattamento”.

In questa sede non è possibile approfondire la materia come meriterebbe ed analizzare esaurientemente tutte le problematiche ad essa sottesa; cerchiamo di individuare le novità di maggiore portata e gli adempimenti di più diffuso interesse anche per dare risposta a domande e dubbi che, con l’avvicinarsi della fatidica data di entrata in vigore, crescono nella vasta platea dei destinatari della normativa.

In conformità con gli obiettivi che si prefigge il Regolamento, sono state sostanzialmente modificati la disciplina che riguarda l’ “informativa” ed il “consenso” al trattamento dei dati: l”informativa” deve essere chiara, semplice, di facile comprensione, può prevedere anche l’utilizzo di “icone” uguali in tutta l’Unione, il “consenso” deve essere preventivo ed esplicito, non è più consentito il semplice barrare caselle precompilate, finora inserite all’interno di altro documento di più vasta portata, deve essere e sarà sempre revocabile in qualsiasi momento, con conseguente obbligo dell’Azienda di cancellare tutti i dati raccolti fino a quel momento.

Questo introduce un’altra delle novità più rilevanti: il diritto all’oblio, grazie al quale ognuno di noi potrà far valere il proprio diritto a che i propri dati siano cancellati dagli archivi a seguito di semplice richiesta, laddove la conservazione non sia più giustificata dalla scopo per cui i dati erano stati raccolti, ovvero se trattati in modo illecito, ed ancora in caso di legittima opposizione al trattamento (esempio classico è l’articolo pubblicato che non abbia un interesse scientifico e/o pubblico).

Unitamente al diritto all’oblio, il diritto all’accesso e alla portabilità dei dati, grazie al quale ciascuno potrà accedere con facilità alle informazioni che lo riguardano e detenute da terzi soggetti ed ancora si potrà cambiare, ad esempio, il provider di posta elettronica senza perdere i messaggi salvati.

Per le aziende con più di 250 dipendenti è previsto l’obbligo del registro dei trattamenti: si tratta di un documento all’interno del quale bisognerà indicare le caratteristiche del titolare del trattamento e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere.

In questa ottica di tutela dei dati personali, il Regolamento all’art. 25, introduce gli innovativi concetti di “Privacy by design” e “privacy by default”. Con “privacy by design” si intende come già dalla progettazione di un servizio, di un software o di qualsiasi strumento in cui rilevino dati personali, questo dovrà contenere i mezzi per la protezione dei dati che vi saranno coinvolti, in buona sostanza nel rispetto del vecchio principio per cui “prevenire e meglio che curare”; con espressione “privacy by default”, il titolare del trattamento attua misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento e per il periodo strettamente necessario a tali fini.

All’art.8 è stabilito che il “consenso” del minore di anni 16 (limite modulabile dai singoli Stati membri tra 13 e 16 anni, in Italia il Garante ancora non si è pronunciato sul punto) dovrà essere accompagnato dal consenso/autorizzazione dei genitori.

All’art.83 del reg. UE/2016/679 sono indicate le sanzioni che devono avere carattere di effettività, proporzionalità e dissuasività.

Destinatari delle sanzioni possono essere le persone fisiche, i soggetti giuridici pubblici e privati, il Responsabile del Trattamento, il D.P.O., gli organismi di certificazione.

Il Regolamento rimanda alla Legislazione dei singoli Stati membri per la determinazione delle sanzioni penali.

Le sanzioni economiche piuttosto severe possono arrivare fino a 20 milioni di euro di multa ovvero il 4% del fatturato mondiale dell’esercizio precedente.

La decisione sull’applicazione delle sanzioni spetta all’autorità di controllo (in Italia: l’Autorità Garante per la Protezione dei Dati Personali), che, nella valutazione, tiene conto delle circostanze del singolo caso, ossia: della natura, gravità e durata della violazione; – del carattere doloso o colposo della violazione; delle misure adottate per attenuare il danno subito dagli interessati; delle eventuali precedenti violazioni commesse dal titolare del trattamento; del grado di cooperazione con l’autorità di controllo.

Tutelare la propria impresa è sinonimo di protezione dei dati personali ed ottemperare ai dettami della normativa vigente.

Il patrimonio informativo di un’azienda è un valore da tutelare e promuovere alla stregua di ogni altro asset, e può trasformarsi in una risorsa competitiva, di marketing e di immagine.

Le aziende dovranno avvalersi di professionisti capaci di valutare quanto opportuno per non rischiare. Dovranno affidare la gestione dei propri dati a chi sarà in grado di tutelarli e blindarli. I professionisti che si avvarranno di team di esperti tra i quali, anche, la figura del Data Protection Officer (DPO), ovvero il Responsabile della protezione dei dati personali, che verrà nominato dal Titolare del Trattamento o dal Responsabile del Trattamento (RPD), già presenti in azienda.

Per ricoprire questo ruolo le imprese, attraverso il proprio Titolare o Responsabile del Trattamento possono avvalersi di un proprio dipendente il quale però dovrà essere designato in base alle qualità professionali e alla conoscenza approfondita della normativa sulla protezione dei dati ed essere adeguatamente formato, vista la complessità della materia da affidargli. La caratteristica del Data Protection Officer (DPO) è quella di essere un punto di riferimento e un’interfaccia tra le persone fisiche, l’Autorità Garante per la Protezione dei dati personali e le altre funzioni aziendali operative e di controllo, e avere anche compiti consultivi, di supporto sulla applicazione di regole di legge e delle policy e procedure aziendali. Risulta, dunque, molto complesso conciliare le predette necessità all’interno di un contesto aziendale.

Quanto all‘impresa, sarà necessario mettere a disposizione le risorse finanziarie e umane necessarie per l’adempimento dei compiti del DPO il cui ruolo dovrà essere ricoperto dallo stesso soggetto per almeno 2 anni, con possibilità di rinnovo.

Per questo, la migliore soluzione per l‘azienda è quella di sottoscrivere un contratto di servizi con un professionista esterno che sia dotato di un’ampia conoscenza della normativa sulla privacy relativa al paese in cui egli opera, possibilmente certificata.

Uniformarsi al GDPR rappresenta, ormai, un obiettivo da raggiungere ed anche velocemente; parola d’ordine è adeguarsi, affidandosi a chi ne ha le competenze.

Aprile 2018

 

Avv. Felice Sibilla

info@studiolegalesibilla.it