Privacy e dati personali: dal 2018 cambia tutto
A breve diventerà obbligatorio conformarsi alle nuove norme europee in materia di privacy, ma ancora in pochi sanno di cosa si tratta. Scopriamolo insieme
Dal 25 maggio 2016 è in vigore il nuovo regolamento europeo relativo alla protezione dei dati personali delle persone fisiche ed alla libera circolazione di tali dati [1]. Tra non molto, dunque, diventerà obbligatorio conformarsi alle nuove norme europee in materia di privacy. Il nuovo Regolamento privacy, infatti, dovrà essere operativo a partire dal 25 maggio 2018: entro tale termine dovranno essere adeguate le normative interne di ciascuno Stato membro dell’Unione Europea, compresa (ovviamente) l’Italia.
Il nuovo
Indice
Chi sono i soggetti obbligati?
Devono conformarsi alle prescrizioni europee tutte le aziende pubbliche e tutte quelle realtà (anche private) in cui il trattamento dei dati presenta rischi specifici.
Qual è l’ambito di applicabilità?
Il Regolamento si applica solo al trattamento di dati personali delle persone fisiche.
Qual è la ratio della nuova normativa?
Lo
Quali sono gli scopi della nuova normativa sulla privacy
La nuova disciplina ha i seguenti scopi:
- responsabilizzare maggiormente il titolare del trattamento dei dati personali in considerazione del rischio che il trattamento possa comportare per i diritti e le libertà degli interessati (si parla in proposito di «accountability»);
- garantire la protezione dei dati sin dalla progettazione del sistema di trattamento degli stessi, ad esempio attraverso la possibilità da parte del titolare di far certificare le modalità di trattamento dei dati;
- introdurre regole più chiare sia in materia di informativa agli interessati sia per l’esercizio dei diritti dei medesimi. Sul punto, per approfondimenti leggi: Informativa sulla privacy: come funziona;
- garantire che il consenso del soggetto interessato al trattamento dei dati personali sia sempre preventivo ed inequivocabile anche nel caso in cui venga espresso con mezzi elettronici, escludendo espressamente ogni ipotesi di consenso tacito; per i minori di 16 anni è inoltre previsto che gli enti fornitori di servizi via web o Social Network debbano richiedere il consenso al trattamento dei dati personali a chi esercita la responsabilità genitoriale (per saperne di più leggi anche: Consenso sulla privacy: cos’è e quando è necessario);
- assicurare agli interessati la possibilità di revocare in ogni momento il consenso a determinati trattamenti di dati personali;
- adottare ogni misura necessaria per il cosiddetto “data breach“,principio in base al quale il quale il titolare del trattamento dovrà comunicare eventuali violazioni esterne dei dati personali dei propri utenti al Garante nazionale e, nel caso in cui la violazione rappresenti una minaccia per i diritti e le libertà delle persone, dovrà informare dell’accaduto anche i soggetti interessati.
Qual è la tecnica in concreto utilizzata?
Al fine di garantire la protezione dei dati personali il Regolamento ha introdotto due importanti principi, ovverosia il principio di privacy by default e quello di privacy by design.
Il principio di privacy by default fa riferimento alla necessità di tutelare la vita privata dei cittadini – appunto – di default, ovvero come impostazione predefinita dell’organizzazione aziendale. In altri termini, ogni azienda dovrà necessariamente dotarsi di un sistema tale da proteggere adeguatamente i dati personali ed evitare il rischio di una loro violazione.
Il concetto di privacy by design, invece, stabilisce che la protezione dei dati deve avvenire fin dal disegno e/o progettazione di un processo aziendale. Quindi, ogni azienda deve effettuare una cosiddetta valutazione dell’impatto-privacy, cioè una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Questa analisi deve condurre ad escludere il verificarsi in concreto dei
Chi è il Responsabile della protezione dei dati personali?
Per il perseguimento delle finalità sopra descritte, il Regolamento ha introdotto la figura del Responsabile della Protezione dei Dati Personali (detto Dpo). Si tratta di un soggetto in possesso di specifici requisiti come competenza, esperienza, indipendenza, autonomia di risorse, con il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza ecc.
Il diritto all’oblio
Il regolamento infine prevede il cosiddetto
Privacy e nuove sanzioni
Manca meno di un anno alla piena applicazione del Regolamento, tuttavia ad oggi solo il 30% delle imprese italiane risulta essere in regola con le disposizioni europee. Al riguardo si evidenzia che le norme che sanzionano il trattamento illecito di dati personali sono molto severe. Il Regolamento, infatti, ha innalzato sensibilmente la misura delle pene pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato annuo.
È necessario, quindi, che le imprese interessate si attivino al più presto per conformarsi alle norme europee entro e non oltre il 25 maggio 2018.