Nuovo regolamento privacy europeo
Nuovo regolamento privacy europeo: cosa cambia?
Il nuovo Regolamento privacy europeo stabilisce che ogni Titolare del trattamento ha l’obbligo di definire un modello di gestione privacy per la propria organizzazione. Questo significa che l’informativa sulla privacy (come disciplinato all’art. 13 del D.Lgs 196/2003) deve contenere tutti gli elementi necessari affinché l’interessato possa esercitare i propri diritti (art. 7 D.Lgs 196/03) e manifestare un legittimo consenso ai sensi dell’art. 23 del Codice Privacy.
L’interessato, infatti, ha il diritto di essere informato in modo trasparente, leale e dinamico riguardo ai trattamenti effettuati sui suoi dati.
Quindi un trattamento può definirsi trasparente, chiaro e corretto solo se all’interessato viene fornita un’informativa esaustiva sull’esistenza del trattamento e delle sue finalità.
Come dev’essere l’informativa?
Con il nuovo Regolamento Privacy europeo l’informativa deve essere fornita in modo organico in un linguaggio semplice, senza frammentazioni e reiterazioni.
L’informativa diventa più chiara e sintetica per facilitare la comprensione dei contenuti da parte di tutti gli interessati. Questo grazie anche all’adozione di icone standardizzate (definite dalla Commissione Europea) e identiche in tutta l’Unione Europea.
Devono adeguarsi alla nuove regole stabilite dal Garante della Privacy tutte le aziende pubbliche e private.
Alcune delle principali novità a cui è bene adeguarsi fin d’ora in modo da non arrivare impreparati
Nell’ottica di maggiore chiarezza e trasparenza, l’informativa deve rispettare e contenere i seguenti punti:
- modalità del consenso;
- adeguamento dell’informativa (tempi, modalità e contenuti);
- diritti degli interessati (accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità);
- titolare, responsabile, incaricato del trattamento;
- responsabilizzazione di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RPD Responsabile della protezione dei dati – DPO Data Protection Officer);
- trasferimenti internazionali di dati.
Se i dati personali sono raccolti direttamente presso l’interessato, nella nuova informativa deve essere specificato:
- la base giuridica, ossia la fonte/origine del trattamento (in una norma, contratto) specificando, inoltre, il suo interesse legittimo o da parte di terzi;
- se il Titolare trasferisce i dati personali in Paesi Terzi e attraverso quali strumenti;
- il periodo di conservazione dei dati;
- il diritto dell’interessato di presentare un reclamo o un ricorso giurisdizionale all’Autorità di controllo;
- l’esistenza da parte dell’interessato di chiedere al Titolare del trattamento il diritto all’accesso ai dati personali e alla rettifica o cancellazione degli stessi (diritto all’oblio) oltre al diritto alla portabilità dei dati;
- altra novità introdotta dal Regolamento consistente nella possibilità di richiedere al Titolare una copia dei dati oggetto del trattamento;
- se si effettua attività di profilazione automatizzata (profiling dei dati personali) e le possibili conseguenze che ne possono derivare;
- ulteriori informazioni – utili per garantire maggiore trasparenza e correttezza all’interessato per il trattamento dei propri dati personali.
Se la raccolta dei dati viene fatta presso terzi, è possibile redigere una sola informativa
In questo caso l’informativa deve essere riferita sia ai dati conferiti direttamente dall’interessato sia ai dati acquisiti presso terzi.
Il Garante sottolinea che sarebbe opportuno che le informative più articolate fossero basate su uno schema per il settore di attività.
Ad esempio, le associazioni di categoria dovrebbero predisporre informazioni-tipo per determinati settori o categorie di trattamento.
Inoltre, il Garante specifica che deve invece essere fornita un’informativa ad hoc se il trattamento ha caratteristiche particolari. Ad esempio, quando coinvolge il trattamento di dati genetici, o può comportare rischi specifici per gli interessati.
Quali sono i tempi dell’informativa?
Nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese. Tale periodo va conteggiato dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati se si tratta di dati presi da terza parte.
Va sempre presentata l’informativa?
Se si dispone già dell’informazione necessaria, se la registrazione o la comunicazione dei dati personali sono già previste per legge o i dati in essere appartengono a dati di ricerca scientifica, storica o statistica, l’obbligo di presentazione di apposita informativa, in capo al Titolare, può essere derogato.
Quali illeciti e sanzioni sono previsti?
Tutte le aziende a livello europeo sono tenute ad adeguarsi al nuovo regolamento. In caso contrario sono previste sanzioni di natura amministrativa in tutti i casi di omessa o inidonea informativa ai soggetti interessati. Tutte le informazioni a riguardo sono contenute nell’art. 161 del Codice Privacy.
Il Regolamento europeo in materia di protezione dei dati personali è entrato ufficialmente in vigore il 24 maggio 2016 e diventerà definitivamente applicabile in tutti i Paesi UE a partire dal 25 maggio 2018.
Tra le novità troviamo:
- eliminazione dell’obbligo per il titolare di notificare i propri trattamenti all’autorità Garante (sarà sufficiente, infatti, la conservazione della documentazione comprovante le modalità del singolo trattamento);
- sono previste sanzioni per il mancato rispetto delle regole a cui le aziende dovranno prestare la massima attenzione, dato che potranno arrivare fino € 20.000.000 o al 4% del fatturato annuo;
- ulteriore misura è la predisposizione di un regolamento di protezione dei dati (basato sulla privacyimpact assessment) al fine di costruire un sistema completo per la gestione della sicurezza dei protocolli per il trattamento dei dati.