Privacy, nuovo sportello per le imprese associate

Oggi 25 maggio 2018 entra in vigore il nuovo Regolamento UE 679/2016 in materia di “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, GDPR - General Data Protection Regulation.
La normativa mira ad adeguare la legislazione vigente all’evoluzione tecnologica degli ultimi anni che ha determinato un aumento esponenziale della quantità e qualità dei dati personali raccolti e trattati.
Il Regolamento introduce modifiche al Codice sulla Privacy vigente (D.Lgs. n.196/2003) e introduce nuovi obblighi e nuovi diritti.

Il Regolamento disciplina il trattamento dei dati di persone fisiche, da chiunque effettuato: persone, imprese, enti pubblici.
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (denominata “interessato”).
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione.

Il Regolamento conferma, seppure con qualche innovazione, i principi di base già vigenti.
Trasparenza: l’interessato ha diritto ad essere informato, con un linguaggio chiaro e semplice e in forma scritta, circa i trattamenti di dati che lo riguardano e, in aggiunta a quanto già previsto, circa i tempi di conservazione, i diritti di reclamo all’Authority, l’indicazione del RDP, i diritti di accesso, rettifica, cancellazione, nonchè l’eventuale l’intenzione del titolare di trasferire dati personali a un paese terzo.
Liceità: ogni trattamento deve trovare fondamento in un'idonea base giuridica: adempimento obblighi contrattuali, obblighi di legge cui è soggetto il titolare, consenso dell’interessato.
Consenso: il titolare deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.
Per i dati "sensibili" il consenso deve essere esplicito; lo stesso di casi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione).
Non è ammesso il consenso tacito o presunto (es. no a caselle pre-spuntate su un modulo) ma deve essere manifestato attraverso "dichiarazione o azione positiva inequivocabile".
Titolare del trattamento: è la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Principio di Responsabilità: Titolare e Responsabile del Trattamento dei Dati debbono garantire non soltanto il formale rispetto delle regole, ma anche l’adozione di comportamenti specifici, tecnici e organizzativi, necessari a dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del Regolamento, anche sotto il profilo della sicurezza.
Privacy by Design e by Default: il Titolare del Trattamento deve adottare e attuare misure tecniche e organizzative sin dal momento della progettazione di un determinato trattamento (by Design), mirate a tutelare i principi di protezione dei dati.
Nell’operatività il Titolare deve adottare, perimpostazione Predefinita (by Default), misure tecniche che garantiscano l’utilizzo deisoli dati personali necessariper ciascuna specifica finalità di trattamento.
Obbligo di comunicazione di violazione di dati personali - Data Breach: Titolari e Responsabili hanno l’obbligo di comunicare l’eventuale avvenutaViolazione di Dati Personali (Data Breach), come ad esempio: attacchi hacker, crash tecnico con rilevanti perdite di dati, dispersione di dati, attacchi da virus informatici, etc. quali che siano i trattamenti posti in essere.
A seguito di Data Breach il Titolare deve notificare la violazione all’autorità garante, senza ingiustificato ritardo. È previsto, inoltre, un obbligo di comunicazione anche all’interessato, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Registri delle attività di trattamento: il Titolare e il Responsabile del Trattamento devono tenere un registro delle attività di trattamento in forma scritta. L’obbligo si applica alle imprese o organizzazioni con oltre 250 dipendenti, a meno che siano trattati “dati sensibili” e/o giudiziari.
Valutazione d'impatto sulla protezione dei dati: quando un trattamento può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il Titolare deve effettuare una Valutazione d’Impatto sulla protezione dei dati; in particolare se:
• avviene una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la Profilazione, sulla quale si fondano decisioni che hanno effetti giuridici o incidono su dette persone fisiche;
• si effettua un trattamento su larga scala didati sensibili e giudiziari;
• si effettua una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Accanto al Titolare del Trattamento si pongono due nuove figure.
Responsabile del Trattamento: il Responsabile del Trattamento deve essere designato formalmente tutte le volte in cui un trattamento debba essere effettuato per conto del Titolare, anche se esternamente alla organizzazione dello stesso. In questi casi, bisogna ricorrere unicamente a figure che presentino garanzie sufficienti per la protezione e la sicurezza dei dati. In questa figura si possono ricondurre le società di servizi, le software farm, i CED, i professionisti, legali, consulenti, provider web, hosting cloud, etc. e tutti coloro che collaborano, anche indirettamente, con il Titolare a trattare i dati personali.
I rapporti del Titolare con il Responsabile debbono essere regolati formalmente in merito ai trattamenti effettuati per suo conto, tramite un contratto o altro atto giuridico.
Responsabile della Protezione dei Dati  ("RPD - DPO"): il Responsabile della Protezione dei Dati Personali (RPD - detto anche DPOData Protection Officer) deve essere designato ogni qualvolta le attività principali del Titolare o del Responsabile:
1. consistano in trattamenti che, per loro natura, campo di applicazione e/o finalità richiedano ilcontrollo regolare e sistematico degli interessati su larga scala;
2. consistano in trattamenti didati sensibili e/o giudiziari.
L’ RPD deve essere designato in base alla sua comprovata professionalità e, in particolare, alla sua conoscenza della legislazione di protezione dei dati.
L’ RPD svolge i suoi compiti in autonomia rispetto al Titolare, non può ricevere istruzioni e deve essere dotato delle risorse necessarie. L’RDP può essere un dipendente oppure un soggetto esterno.

Diritto all'oblio: è riconosciuto il diritto del singolo interessatoad essere “dimenticato” dalle banche dati, dai mezzi di informazione, o dai motori di ricerca: cosiddetto Diritto all’Oblio. In particolare, l’interessato ha diritto di chiedere che siano cancellati i suoi dati personali che non siano più necessari per le finalità per le quali sono stati raccolti. L’interessato ha diritto di richiedere di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati.
Portabilità dei dati: l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati che lo riguardano forniti al Titolare, e di trasmettere i propri dati da un Titolare ad un altro Titolare (Data Portability), senza impedimenti da parte di colui al quale sono stati forniti in precedenza.
Il diritto non si applica ai trattamenti non automatizzati, sono quindi esclusi archivi o registri cartacei. Sono oggetto del diritto solo i dati trattati con il consenso dell'interessato o sulla base di un contratto stipulato con l'interessato e che siano stati "forniti" dall'interessato al titolare.

Sanzioni: le sanzioni amministrative previste in caso di impresa possono arrivarefino a euro 20.000.000 o al 4 % del fatturato mondiale totale annuodell'esercizio precedente, se superiore.
Il Regolamento prevede che saranno gli Stati membri a stabilire le norme relative alla quantificazione specifica delle sanzioni assicurandone la proporzionalità e l’efficacia dissuasiva.