Arriva il nuovo regolamento europeo sulla privacy. Le nuove figure, gli adempimenti, le sanzioni e i tempi di applicazione

Flat illustration of security center. Lock with chain around computer

Mercoledì 11 aprile, alla sede AGIS di Piazza Luigi di Savoia, ci sarà un incontro informativo sul nuovo regolamento europeo sulla privacy. Noi di ACEC Milano ci saremo e vi daremo maggiori delucidazioni in seguito.

Intanto, facciamo seguito alle circolari n. 35/2016 e n. 16/2018 sull’argomento in oggetto, per rammentare che il Regolamento europeo 679/2016 diverrà operativo a decorrere dal 25 maggio p.v.
Evidenziamo di seguito alcune importanti novità contenute nel Regolamento.

Valutazione d’impatto sulla protezione dei dati
Quando un tipo di trattamento presenti o possa presentare un rischio elevato per i diritti dell’interessato, il titolare, prima di procedere con il trattamento, deve effettuare una valutazione d’impatto.

Privacy by design e privacy by default
Il Regolamento impone di progettare misure tecniche e organizzative di regola tarate sul principio dell’uso minimo e indispensabile dei dati personali.
Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Principio dell’accountability
Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. In questo senso assume rilievo l’adesione ai codici di condotta o a un meccanismo di certificazione.

Responsabile della protezione dei dati personali
Le pubbliche amministrazioni e gli enti pubblici devono nominare obbligatoriamente un Responsabile della protezione dei dati personali (Data Protection Officer). L’obbligo riguarda anche tutti i soggetti (enti e imprese) che trattano su larga scala dati sensibili, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati su larga scala (sul concetto di “larga scala”, v. il considerando n. 91 del Regolamento).
I titolari del trattamento devono nominare come Responsabile della protezione dei dati personali un professionista che possieda un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interessi, operando come dipendente oppure anche sulla base di un contratto di servizi. Il titolare deve mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
Il Responsabile della protezione dei dati personali ha il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento e dalle altre normative europee e nazionali relative alla protezione dei dati. Dovrà poi verificare che la normativa vigente e le policy interne siano correttamente attuate e applicate e fungerà inoltre da punto di contatto sia con il Garante della privacy sia con gli interessati, che potranno rivolgersi a lui anche per l’esercizio dei loro diritti.

Registri delle attività di trattamento
Il titolare del trattamento e il responsabile del trattamento devono tenere i registri delle attività svolte sotto la propria responsabilità. L’adempimento sostituisce, nell’ordinamento italiano, l’obbligo di notificare il trattamento all’autorità garante.
Il registro del titolare del trattamento contiene le seguenti informazioni:
• il contatto del titolare e degli altri soggetti coinvolti nel trattamento;
• le finalità del trattamento;
• le categorie di dati personali, di interessati e dei trattamenti effettuati;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
• se possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
Gli obblighi di tenuta dei registri non si applicano alle imprese o organizzazioni al di sotto di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa dati sensibili e biometrici o dati personali relativi a condanne penali e a reati.

Campo di applicazione
La nuova normativa si applicherà anche alle attività di trattamento di dati personali di interessati che si trovano nell’Unione europea, effettuate da operatori stabiliti in Paesi terzi che offrono beni e servizi nell’Unione.

CHECK-LIST
per compliance con la normativa in materia di protezione dei dati personali

Quelli qui di seguito elencati sono i documenti, le policy, le nomine e, più in generale, gli atti da adottare, implementare o aggiornare al fine di garantire l’adempimento degli obblighi di legge in materia di protezione dei dati personali, sia alla luce del D.lgs. 196/2003 (il “Codice Privacy) che del Regolamento Generale sulla Protezione dei Dati n. 2016/679 (“GDPR”):

1. Informative sul trattamento dei dati da fornire, ex ante (in caso di raccolta dei dati direttamente presso l’interessato) o ex post (in caso di raccolta dei dati presso terzi o fonti terze), agli interessati, tra cui a titolo esemplificativo:
 dipendenti;
 clienti persone fisiche;
 utenti che forniscono dati da inserire in archivi aziendali;
 visitatori;
 fornitori/outsourcer/consulenti/agenti/distributori persone fisiche.

2. Moduli di acquisizione, anche online, del consenso/dei consensi degli interessati in relazione a ciascuna delle finalità perseguite, tra cui ad esempio (I) marketing; (II) trattamenti decisionali automatizzati e profilazione; (III) geo-localizzazione; (IV) eventuali dati sensibili/appartenenti a categorie particolari;

3. Nomine a responsabile da rilasciare nei confronti di call center/outsourcer/ consulenti/partner/agenti e, più in generale, fornitori di servizi che trattano dati per conto e nell’interesse del titolare;

4. Eventuali nomine a responsabile del trattamento per lo svolgimento di una o più attività per conto e nell’interesse di un terzo titolare;

5. Nomina di dipendenti, stagiaire e collaboratori quali incaricati del trattamento;

6. Nomina di uno o più amministratori di sistema;

7. Definizione processi IT e policy riguardo:
A) All’esecuzione della valutazione di impatto sulla protezione dei dati (Data Protection Impact Assessment – “DPIA”);
B) Alla gestione e all’adempimento dell’obbligo di notifica delle violazioni di dati personali (“data breach”);
C) Alla gestione delle richieste di esercizio dei diritti da parte degli interessati, con particolare riferimento a:
 la portabilità dei dati;
 l’accesso;
 la rettifica;
 la cancellazione;
 la limitazione del trattamento;
 l’opposizione;
 non essere sottoposti a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producano effetti giuridici sull’interessato o che comunque incidano significativamente sulla sua persona.
D) Ai tempi di retention e ai conseguenti obblighi di cancellazione dei dati;

8. adozione dei registri delle attività di trattamento svolte sia in qualità di titolare che di responsabile;

9. definizione di policy HR in merito a utilizzo di Internet, email ed altri strumenti elettronici aziendali;

10. adozione delle misure necessarie all’installazione di tool, software o impianti idonei a consentire al titolare del trattamento un controllo a distanza dell’attività del lavoratore (es. videocamere e software di data loss prevention);

11. definizione di clausole standard in materia di protezione dei dati personali da inserire nei master agreement con fornitori di servizi, partner e terzi da cui si ricevono o a cui si forniscono dati personali;

12. valutazione circa l’eventuale raccolta di dati qualificabili come sensibili/appartenenti a categorie particolari o di dati giudiziali.