Il nuovo Regolamento Europeo in materia di protezione dei dati personali: cosa cambia per le imprese?
A far data dal 25 maggio 2018 il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (di seguito anche “GDPR”) diverrà obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri dell’Unione Europea.
Il testo del GDPR (General Data Protection Regulation) – destinato ad abrogare integralmente la Direttiva 95/46/CE e di conseguenza anche le diverse leggi nazionali di recepimento, tra cui il nostro d.lgs. 196/2003 (Codice Privacy) – introduce un sistema di maggior rigore che si manifesta nella previsione di nuovi doveri, processi, attività, misure tecniche e organizzative, sanzioni e responsabilità in capo al titolare (e responsabile).
Il nuovo quadro normativo, che impatta e modifica fortemente l’attuale modello di gestione e protezione dei dati incentrata sui diritti dell’interessato, promuove infatti la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione da parte di quest’ultimi di approcci e politiche che tengano costantemente conto del rischio che un determinato trattamento di dati implica per i diritti degli interessati.
In buona sostanza, quali sono, inter alia, le principali novità introdotte dal Regolamento?
-
la privacy by design: garanzia della protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema e adozione di comportamenti che consentano di prevenire possibili problematiche;
-
la privacy by default: le impostazioni predefinite di trattamento dovranno garantire il più possibile il rispetto della privacy, ad esempio prevedendo la non accessibilità ad un numero illimitato di utenti, adottando specifiche misure, quali la minimizzazione e la pseudonimizzazione, che assicurino la protezione dei dati personali;
-
data breach: nel caso in cui la violazione dei dati rappresenti una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato tutti gli interessati e offrire agli stessi indicazioni su come intende limitare le possibili conseguenze negative. Il titolare del trattamento, inoltre, dovrà obbligatoriamente comunicare eventuali violazioni dei dati personali all’Autorità nazionale di protezione dei dati;
-
il diritto all’oblio: il diritto ad ottenere la cancellazione dei propri dati personali qualora ricorrano alcune condizioni (ad es. se i dati: sono trattati solo sulla base del consenso, non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, sono trattati illecitamente, oppure se l’interessato si oppone legittimamente al loro trattamento);
-
il diritto alla portabilità dei dati per trasferirli da un titolare del trattamento ad un altro (si potrà ad es. cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati);
-
il divieto per le attività di profilazione: elaborazione dei dati per suddividere l’utenza in gruppi di comportamento;
-
l’istituzione di registri delle attività di trattamento contenenti una serie di informazioni, tra cui le finalità per le quali il trattamento è stato effettuato, le categorie di dati personali e di soggetti interessati, le misure di sicurezza tecniche ed organizzative adottate;
-
l’obbligatorietà della figura del Data Protection Officer con riferimento agli enti pubblici e alle aziende che trattino particolari categorie di dati (quali, ad esempio, quelli relativi all’origine razziale o etnica, oltre che i dati genetici o biometrici), o ancora nel caso in cui le attività principali del titolare o del responsabile consistano in trattamenti che richiedono il controllo regolare e sistematico dei dati degli interessati.
Con particolare riferimento alle imprese, è evidente la direzione del Regolamento verso un maggior rigore generale, attraverso la previsione di sanzioni più onerose e la previsione di adempimenti maggiormente articolati.
Le novità introdotte dal GDPR, in particolare, impongono alle aziende una seria valutazione ed una attenta e preventiva pianificazione dell’impatto delle medesime rispetto alla gestione della “privacy” nella propria attività. Il Regolamento, in buona sostanza, vuole estendere la cultura del “rischio” – inteso come elemento chiave delle decisioni aziendali – anche nell’ambito della protezione dei dati personali. Le aziende, infatti, dovranno implementare un vero e proprio processo strutturato di trattamento dei dati e tutela della privacy che preveda nuovi ruoli, responsabili e responsabilità.
In particolare, le aziende e i titolari del trattamento dovranno avere la capacità di definire, attuare ed essere in grado di gestire alcuni specifici processi tra cui, inter alia:
-
la valutazione dell’impatto e del rischio di ogni specifico trattamento secondo il criterio “privacy by design”;
-
la definizione ed attuazione delle misure di sicurezza idonee -tecniche e organizzative – in relazione alla valutazione del rischio;
-
la gestione di un Registro dei Trattamenti;
-
la previsione di controlli periodici dell’effettiva attuazione ed efficacia delle misure di sicurezza in essere;
-
la gestione di eventuali incidenti “data breach” secondo un metodo predisposto;
-
il puntuale riscontro delle eventuali richieste degli interessati, con particolare attenzione ai nuovi diritti quali il “diritto all’oblio” oltre che il “diritto alla portabilità” dei dati.
Come è evidente, le novità introdotte dal Legislatore Europeo in materia di “protezione dati personali” comporteranno per le aziende la necessità di apportare modifiche organizzative significative alla propria struttura e, in alcuni casi, consistenti investimenti di natura tecnologica (“Data Protection Management Tools”) adatti a supportare l’azienda nell’implementazione e nell’attuazione dei modelli organizzativi previsti dal Regolamento 2016/679 (GDPR) entro il termine massimo del prossimo maggio 2018.