Si rende pertanto necessario procedere all’adeguamento della gestione del trattamento dei dati personali, in modo tale da ottenere una compliance aziendale conforme alle nuove disposizioni previste dal legislatore europeo. Le nuove sanzioni previste dal GDPR sono ben più gravose rispetto al sistema sanzionatorio del Codice Privacy: da un minimo di 10.000,00 euro e un massimo pari a 20 milioni di Euro o al 4% del fatturato globale totale annuo dell’esercizio precedente. Per maggiore chiarezza, di seguito sono elencate le principali novità introdotte dal GDPR.

SOGGETTI

Il GDPR modifica l’Organigramma Privacy. Permane la figura del Titolare del trattamento (nel GDPR in inglese Data Controller), che è la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento, ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa.. Il Responsabile del trattamento (nel GDPR in inglese Data Processor), ed è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento. Nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa.

MISURE DI SICUREZZA ADEGUATE AL RISCHIO

Il GDPR richiede che vengano predisposte misure di protezione del dato “adeguate” rispetto al rischio. Di volta in volta, sulla base della singola realtà aziendale, si renderà necessario analizzare la tipologia del dato trattato, le possibilità di violazione/cancellazione/modificazione dello stesso e le conseguenti misure di sicurezza. Non è pertanto più sufficiente attenersi alle misure minime di sicurezza previste dall’Allegato B al D.lgs 196/2003.

PRIVACY BY DESIGN

Le imprese, come requisito strutturale del sistema, devono garantire la protezione dei dati personali facendo ricorso alle misure tecniche e organizzative adeguate, prevenendo l’eventuale violazione o distruzione dei dati.

PRIVACY BY DEFAULT

Le imprese devono trattare, per impostazione predefinita, solamente i dati strettamente necessari per il raggiungimento di specifiche finalità. Occorre, pertanto, che il sistema di trattamento garantisca la non eccessività dei dati raccolti.

VALUTAZIONE PREVENTIVA DEL RISCHIO (Data Privacy Impact Assessment)

L’impresa è tenuta a svolgere e redigere una valutazione preliminare dell’impatto di un trattamento sulla privacy e la sicurezza dei dati ogni volta che viene effettuato un trattamento di dati sensibili, o ricorrendo alle nuove tecnologie, o la quantità dei dati sia rilevante. La valutazione di impatto rientra tra gli strumenti di prevenzione richiesti dal legislatore europeo che, accanto ai nuovi concetti di privacy by design e by default, intende far sì che le aziende si adoperino, fin dal momento della ricezione, per impedire la violazione dei dati personali delle persone fisiche.

REGISTRO DEI TRATTAMENTI

Ogni Titolare e Responsabile del trattamento deve tenere il Registro dei trattamenti. Questo documento contiene l’indicazione rispettivamente delle attività di trattamento svolte sotto la propria responsabilità e quelle compiute su disposizioni del Titolare. Il Registro costituisce applicazione del principio di accountability, in ordine al quale ciascun Titolare del trattamento si assume pienamente la responsabilità della gestione dei dati personali; su di lui incombe l’onere di provare di aver adottato tutte le misure idonee a garantire una gestione del dato conforme alla disciplina europea. La tenuta del Registro non è obbligatoria per tutti i Titolari e Responsabili, ma solo per le imprese e le organizzazioni dotate di almeno 250 dipendenti, salvo che il trattamento che effettuano non sia occasionale o includa dati sensibili (salute, opinioni politiche, orientamento sessuale o religioso, dati giudiziari).

DATA BREACH

Qualora, nonostante siano state prese tutte le misure del caso, si verifichi una violazione dei dati, l’impresa è tenuta a comunicarlo all’Autorità di Controllo (Garante Privacy) senza ritardo ingiustificato e comunque entro 72 ore dalla scoperta.

Per quanto riguarda l’interessato, questi ha diritto a ricevere la comunicazione della violazione dei suoi dati solamente nel momento in cui la violazione ponga in essere un serio rischio ai suoi diritti e alle sue libertà.

PERIODO DI CONSERVAZIONE DEI DATI

L’art. 13 del GDPR impone di indicare nell’informativa privacy l’indicazione del periodo massimo di conservazione dei dati personali, ovvero i criteri utilizzati per la determinazione di tale periodo. I dati non potranno più essere conservati senza limiti di tempo, ma solamente per un periodo di tempo adeguato rispetto alle finalità perseguite, secondo le disposizioni di legge e le indicazioni del Garante Privacy.

ESERCIZIO DEI DIRITTI DELL’INTERESSATO

Il GDPR allarga il novero dei diritti riconosciuti all’interessato: l’art. 20 introduce il diritto alla portabilità dei dati, ossia il diritto ad ottenere i dati che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasferirli ad un nuovo Titolare del trattamento senza alcun impedimento. Più ampio rispetto alla normativa del Codice Privacy è il diritto alla cancellazione od oblio (art. 17), che impone al Titolare cui è stata imposta la cancellazione dei dati e che precedentemente li aveva resi pubblici di informare i Titolari che li gestiscono al fine di ottenere la cancellazione di ogni link, copia o riproduzione dei dati. L’art. 18 tratta della limitazione al trattamento, per cui il trattamento può non soltanto essere impedito, ma solamente limitato a richiesta dell’interessato e alla presenza degli specifici requisiti di legge.

Davanti alle richieste dell’interessato, il Titolare del trattamento è tenuto a rispondere all’interessato senza ingiustificato ritardo e comunque entro 1 mese (prorogabile di due mesi nei casi di particolare complessità), anche nel caso di diniego.

SANZIONI

Assumono particolare rilevanza le nuove sanzioni previste dal GDPR, ben più gravose rispetto al sistema sanzionatorio del Codice Privacy. Il Titolare può essere tenuto a versare, quale sanzione amministrativa pecuniaria, da un minimo di 10.000,00 euro ad un massimo di 2 milioni di Euro o pari al 4% del fatturato globale totale annuo dell’esercizio precedente.

E. P.