NUOVO REGOLAMENTO PRIVACY 2018 - CARAVATI PAGANI - Dottori Commercialisti Associati

Il 25 maggio 2018 entra in vigore il nuovo regolamento UE 2016/679 in materia di Privacy (Regolamento Generale sulla Protezione dei Dati o GDPR), il quale abroga la precedente Direttiva ed introduce importanti novità, oltre ad un pesante impianto sanzionatorio.

  • LE PRINCIPALI NOVITÀ DEL REGOLAMENTO EUROPEO PRIVACY 2018
  • IL TRATTAMENTO DEI DATI A NORMA DEL REGOLAMENTO EUROPEO PRIVACY 2018
  • IMPATTI PRATICI DEL REGOLAMENTO EUROPEO PRIVACY 2018
  • L’INFORMATIVA AI SENSI DEL REGOLAMENTO EUROPEO PRIVACY 2018
LE PRINCIPALI NOVITÀ DEL REGOLAMENTO EUROPEO PRIVACY 2018

Il nuovo regolamento entra in vigore automaticamente nelle legislazioni nazionali, abrogando la precedente direttiva privacy 95/46/CE. Il D.Lgs. 196/2003 resterà invece in vigore per quanto non espressamente regolamentato dal GDPR, dovendosi applicare la normativa più stringente. La legge di bilancio 2018 ha modificato le funzioni del Garante della Privacy per adattarlo a quanto previsto dal GDPR.

Il nuovo regolamento europeo privacy si applica al trattamento dei dati personali che avviene nell’ambito delle attività svolte da tutti i soggetti residenti nell’Unione Europea e, da parte di soggetti non residenti, per il trattamento nell’ambito di tutte le attività svolte all’interno dell’Unione Europea.

Il regolamento europeo privacy 2018 introduce maggiori tutele per i privati, quali la nomina del Data Protection Officer o DPO (in italiano Responsabile della Protezione Dati), nel caso in cui il trattamento riguardi categorie particolari di dati personali, cosiddetti dati sensibili (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), nonché di dati relativi a condanne penali ed a reati.

Innovativa rispetto al passato è anche l’introduzione del diritto all’oblio, ovvero la possibilità per i privati di chiedere la cancellazione completa dei propri dati personali, qualora questi non siano più necessari rispetto alle finalità per le quali erano stati raccolti. Il titolare del trattamento in tal caso ha l’obbligo di procedere alla cancellazione.

Vengono inoltre introdotti i nuovi concetti di Privacy by Default e Privacy by Design:

  • Privacy by Default prevede che ogni titolare richieda solo i dati (e per il periodo di tempo) strettamente necessari per la finalità di trattamento, implementando al contempo misure tecniche e organizzative adeguate;
  • Privacy by Design richiede che il titolare del trattamento tenga in considerazione, sin dalla progettazione delle attività di trattamento che intende porre in essere, le garanzie e le modalità tecniche di trattamento necessarie al fine di soddisfare i requisiti di tutela e Data Protection richiesti dalla normativa.

Infine viene previsto un sistema sanzionatorio uniforme a livello UE, con sanzioni ben più aspre rispetto a quelle applicabili in precedenza.

IL TRATTAMENTO DEI DATI A NORMA DEL REGOLAMENTO EUROPEO PRIVACY 2018

Il nuovo Regolamento Europeo Privacy fissa dei chiari e semplici principi di base, su cui è fondato il trattamento dei dati personali. I dati personali, in particolare, devono essere:

  1. trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  2. raccolti per finalità determinate, esplicite e legittime;
  3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  4. esatti ed aggiornati.

Inoltre devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche ed organizzative adeguate.

Affinché il trattamento possa essere considerato lecito, è necessario che il titolare raccolga l’esplicito consenso al trattamento.

Nonostante non sia richiesta la forma scritta, è necessario che il titolare sia in grado di provare l’avvenuto ottenimento del consenso. Il consenso non può in nessun caso essere tacito o presunto, ma deve essere manifestato attraverso dichiarazione o azione positiva inequivocabile. Ad esempio, il consenso può essere espresso mediante un form online compilato dal cliente e sul quale viene espressamente fornito il consenso al trattamento. Non sono ammessi modelli con caselle prespuntate.

IMPATTI PRATICI DEL REGOLAMENTO EUROPEO PRIVACY 2018

Da un punto di vista pratico, il nuovo regolamento europeo Privacy prevede che l’adeguamento alle novità debba avvenire entro il 25 maggio 2018. Tra le altre cose, gli impatti pratici più significativi sono:

  • Identificazione dei soggetti incaricati del trattamento dati personali (titolare del trattamento, responsabili interni ed esterni del trattamento, ecc.);
  • Nomina del DPO e comunicazione al garante della privacy, qualora sia necessario, entro il 25 maggio;
  • Aggiornamento dell’informativa privacy alle richieste del nuovo regolamento;
  • Possibilità di trasferire i dati raccolti in Paesi Extra-UE o di comunicarli a organizzazioni internazionali solo se il Paese o l’organizzazione sono riconosciuti dalla Commissione UE come un Paese o un’organizzazione che garantisca un livello di protezione adeguato, ovvero vengano fornite garanzie di adeguata tutela dei dati da parte del titolare del trattamento.

I principali soggetti coinvolti nel trattamento dei dati personali sono:

  • Titolare del trattamento: la figura è analoga a quella prevista dal Decreto Privacy nazionale e dalla Direttiva. Il titolare deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al DGPR;
  • Contitolari del trattamento (eventuali): esistono allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento. In tal caso, i contitolari devono determinare mediante accordo interno la ripartizione di funzioni e responsabilità;
  • Responsabile del trattamento: il titolare può delegare uno o più responsabili interni del trattamento, i quali possano mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato. In caso di nomina, titolari e responsabili sono obbligati in solido nel confronti degli interessati del trattamento;
  • Responsabili esterni del trattamento: nel caso in cui, per raggiungere le finalità per cui i dati sono stati raccolti, i dati debbano essere trasmessi a terzi (fornitori), il titolare del trattamento può nominare un responsabile esterno del trattamento. Il responsabile esterno è obbligato in solido nei confronti degli interessati del trattamento;
  • Data Protection Officer (DPO): si tratta di una figura indipendente, nominata dal Titolare del Trattamento e dal Responsabile del trattamento. Ove nominato, svolge funzioni di supporto e verifica corretta applicazione della normativa, oltre a gestire gli eventuali rapporti con il Garante.
  • Persone autorizzate al trattamento: sono figure analoghe agli incaricati previsti dalla Direttiva abrogata, anche se non sono più espressamente previste dal GDPR. Infatti il GDPR prevede che il titolare autorizzi persone terze al trattamento dei dati personali, purché queste si siano impegnate (anche in forza di obbligo contrattuale) alla riservatezza.

L’INFORMATIVA AI SENSI DEL REGOLAMENTO EUROPEO PRIVACY 2018

I contenuti dell’informativa sono diversi ed in alcuni casi più estesi rispetto alla normativa attualmente in vigore. La nuova informativa è necessaria per i trattamenti che avvengano dopo il 25 maggio 2018, pertanto anche in caso di dati raccolti precedentemente ma ancora utilizzati, le vecchie informative continueranno ad avere validità solo se già complete ai sensi del GDPR. In particolare è necessario che contengano:

  • l’identità e i dati di contatto del titolare del trattamento e i dati di contatto del DPO, se nominato;
  • le finalità del trattamento, la base giuridica del trattamento (es. contratto), il legittimo interesse perseguito dal titolare (es. prevenzione di frodi oppure attività di marketing) se esistente;
  • i destinatari dei dati personali;
  • l’intenzione del titolare a trasferire i dati in un paese terzo ovvero a un’organizzazione internazionale e l’esistenza eventuale della decisione della Commissione UE in merito all’adeguatezza del Paese terzo o dell’organizzazione. Nel caso in cui non sia intervenuta tale decisione della Commissione, è necessario riportare le garanzie ottenute e l’indicazione del luogo in cui i dati sono conservati.

Inoltre, al momento della raccolta dei dati, il titolare del trattamento deve comunicare all’interessato le seguenti informazioni:

  • il periodo di conservazione dei dati personali;
  • l’esistenza del diritto dell’interessato di chiedere l’accesso ai dati personali e la rettifica o cancellazione, l’esistenza del diritto di portabilità, del diritto di revocare il consenso in qualsiasi momento ed infine il diritto di proporre reclamo a un’autorità di controllo;
  • se vi è un obbligo dell’interessato a fornire al titolare i dati personali (es. se deriva da obbligo contrattuale oppure è requisito necessario per la conclusione del contratto);
  • l’eventuale esistenza di un processo decisionale automatizzato (es. profilazione), e in tal caso le informazioni significative sulla logica utilizzata.
    Nel caso in cui i dati non siano ottenuti dal titolare direttamente presso l’interessato (ad esempio qualora i dati vengano trasferiti al titolare da parte di altro soggetto), l’interessato deve essere informato delle modalità e delle finalità del trattamento entro un periodo di tempo ragionevole, e comunque non oltre un mese dal momento di trasferimento dei dati.