GDPR - Come mettersi in regola!
Come mettersi in Regola con il nuovo GDPR entro il 25 Maggio 2018
GDPR: cosa è? Il nuovo Regolamento si propone di restituire ai cittadini europei il pieno controllo sui propri dati personali, un diritto spesso ostacolato da legislazioni nazionali differenti e da scenari tecnologici che a volte sfuggono all’attuale normativa. Per questo, adottare regole uniformi diventa l’unica strada percorribile. Ecco perché tutte le aziende sono chiamate ad adeguarsi, dimostrando di operare in conformità a quanto previsto dal GDPR. L’obbligo di osservanza delle direttive è imposto anche alle imprese con sede legale al di fuori del territorio europeo ma che, nella loro attività, si trovano a gestire o trattare dati personali di chi risiede nello spazio UE.
Obblighi e responsabilità: cosa cambia?
Il nuovo Regolamento europeo sulla privacy mira dunque ad assicurare ai dati personali dei cittadini dell’Unione Europea una protezione omogenea nel caso di trattamento interamente o parzialmente automatizzato ovunque lo stesso abbia luogo.
Ecco quindi profilarsi nuovi obblighi per il Titolare ed il Responsabile del trattamento, entrambi chiamati a ricalibrare totalmente l’approccio alla gestione dei sistemi di trattamento.
Al fine di garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema e adottare comportamenti che consentano di prevenire problematiche, il GDPR 2018 promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche proattive mediante “Accountability” che tengano conto costantemente del rischio che un determinato trattamento può comportare (Risk based approach) per i diritti e le libertà degli interessati. Nella ipotesi di contitolarità del trattamento, è necessario determinare mediante accordi interni le rispettive responsabilità sul rispetto del Regolamento e con riguardo all’esercizio dei diritti dell’interessato.
Con la General Data Protection Regulation cambia l’informativa obbligatoria che dovrà contenere anche il periodo di conservazione dei dati, l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale, il diritto dell’interessato di proporre reclamo ad un’autorità di controllo, l’esistenza di un processo decisionale automatizzato, compresa la profilazione.
Dopo le tante controversie sui consensi più o meno impliciti, acquisterà un peso maggiore il carattere dell’inequivocabilità attribuito alla manifestazione di volontà con cui l’interessato esplicita il proprio assenso al trattamento.
Di particolare importanza la nuova regolazione in materia di “Data breach”, con il nuovo Regolamento europeo per la privacy che estende a tutti i Titolari e Responsabili l’obbligo di comunicazione al Garante dell’avvenuta violazione dei dati personali, quali che siano i trattamenti posti in essere.
Regolamentato anche il “diritto all’oblio”, consistente nella cancellazione immediata dei dati personali in presenza di determinate condizioni che ne rendono impossibile il proseguimento del trattamento.
Più impegnativa per le imprese sarà la gestione del “diritto alla portabilità” che comporterà l’obbligo dei titolari di sviluppare formati interoperabili che ne permettano la facile trasmissione ad altro titolare. L’interessato avrà il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Tale garanzia verrà meno laddove la decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento, oppure autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e, da ultimo, qualora si basi sul consenso esplicito dell’interessato.
Per tutti i trattamenti che prevedono l’uso di “nuove tecnologie” si rende obbligatoria la nuova e fondamentale “Valutazione d’impatto sulla protezione dati” (DPIA Data Protection Impact Assessment) che si sostanzia nella valutazione degli aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato ovvero su un trattamento su larga scala. Quale contenuto minimo della valutazione si individua la descrizione sistematica dei trattamenti previsti e delle finalità, compresi l’interesse legittimo perseguito dal titolare, la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, la valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, nonché le misure per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento.
Ulteriore novità introdotta dal GDPR rispetto all’attuale regolamento sulla privacy è la figura del “Responsabile della protezione dei dati“ (DPO Data Protection Officer) che può avere sede nella UE o extra UE, purché siano garantite le informazioni di contatto e la raggiungibilità: trattasi di una nuova figura aziendale assolutamente indipendente dalla governance e deputata a sorvegliare l’osservanza degli obblighi sulla protezione dei dati posti in capo al titolare o al responsabile del trattamento. Da sottolineare che, in caso di inosservanza degli obblighi sulla protezione dei dati, i soggetti responsabili restano il titolare o il responsabile, mai il DPO.
In occasione della valutazione di impatto sulla protezione dei dati, il DPO sarà chiamato ad esprimersi sull’opportunità di una DPIA, sulla migliore metodologia da adottare, sulle salvaguardie da applicare e in un’analisi ex post verificherà se le conclusioni raggiunte siano conformi ai requisiti in materia di protezione dei dati.
Sotto l’aspetto dell’enforcement, assisteremo ad un inasprimento delle sanzioni amministrative a carico di imprese e P.A. fino ad un massimo di 10 milioni di euro. Gli strumenti posti a tutela dell’interessato saranno utilizzabili direttamente, ma anche avvalendosi di un’associazione i cui obiettivi statutari siano di pubblico interesse ed attivi nel settore della tutela della privacy restano il reclamo al Garante e il ricorso giurisdizionale.
