LA SICUREZZA DEI DATI PERSONALI A SEGUITO DEL NUOVO REGOLAMENTO EUROPEO
La vecchia disciplina sulla sicurezza dei dati personali è stata modificata a seguito del nuovo Regolamento dell’Unione Europea (Regolamento UE 2016/679 adottato dal Parlamento e dal Consiglio Europeo il 27 Aprile 2016), denominato General Data Protection Regulation (GDPR). Questo regolamento europeo entrerà in vigore nel territorio italiano il 25 maggio 2018 e, come stabilito dal Comunicato n. 75 del Consiglio dei Ministri del 21 marzo 2018.
Di seguito indichiamo in sintesi le novità più importanti.
QUALI DATI PERSONALI E QUALI SOGGETTI RESPONSABILI
Con il termine dati personali ci si riferisce a qualsiasi informazione su una persona fisica identificata o identificabile che fornisca dettagli sul suo stile di vita, le sue abitudini, la salute e la situazione economica. Questi dati possono essere di tipo identificativo, cioè permettono l’identificazione diretta di un soggetto (es.: nome, cognome, immagini); di tipo sensibile, cioé riguardano interessi religiosi, politici, sessuali o di altro genere; oppure di tipo giudiziario, sull’esistenza di procedimenti iscritti al casellario giudiziale o sulla qualità di persona indagata o imputata.
I soggetti responsabili del trattamento di queste tre macro-categorie di dati sono: il titolare del trattamento, il responsabile del trattamento ed il responsabile della protezione dei dati. Il titolare del trattamento è il soggetto che determina le finalità ed i mezzi del trattamento dei dati personali; il responsabile del trattamento è, invece, il soggetto, che si occupa di trattare i dati personali per conto del titolare del trattamento. Con il GDPR è stata introdotta anche la nuova figura del responsabile della protezione dei dati che dev’essere obbligatoriamente nominato nel caso in cui il trattamento abbia ad oggetto particolari categorie di dati personali oppure quando il trattamento richieda un monitoraggio costante.
L’INFORMATIVA E LE MODALITÀ DEL TRATTAMENTO
Chi intende effettuare una qualsiasi operazione sui dati personali deve fornire all’interessato tutte le informazioni necessarie sulle modalità, sullo scopo del trattamento e sull’eventuale comunicazione o diffusione a terzi. L’interessato potrà in questo modo fornire il suo consenso libero e specifico al trattamento dei dati in maniera espressa e cosciente. Con il nuovo Regolamento UE si richiede un consenso esplicito da parte dell’interessato solo quando il trattamento riguardi particolari categorie di dati personali o quando venga utilizzato un trattamento di tipo automatizzato.
L’informativa alla privacy, che consente all’interessato di esprimere specifico consenso al trattamento dei dati, dev’essere chiara, concisa e facilmente accessibile e dev’essere redatta per iscritto o con altri mezzi elettronici, anche mediante l’uso di icone. Il legislatore europeo ha derogato dall’obbligo di fornire l’informativa nei casi particolari in cui la raccolta dei dati non è fatta presso l’interessato. In questa circostanza il titolare potrà essere esonerato dal fornire all’interessato l’informativa alla privacy quando la comunicazione sia impossibile o implichi per lui uno sforzo sproporzionato rispetto alla finalità del trattamento, oppure quando l’ottenimento dei dati sia già espressamente previsto da disposizioni normative italiane o europee, oppure quando sussiste obbligo al segreto professionale, disciplinato da norme italiane o europee, ed i dati raccolti devono rimanere riservati.
IL REGISTRO DEI TRATTAMENTI
Viene introdotto dal GDPR anche l’obbligo di tenere di un registro dei trattamenti, cioè di un documento che indichi il responsabile ed il titolare del trattamento, le caratteristiche e le finalità dello stesso.
Sono esenti dall’obbligo di tenere il registro dei trattamenti tutte le piccole-medie imprese con meno di 250 dipendenti, salvo quando il trattamento dei dati personali possa comportare un rischio per i diritti e le libertà dell’interessato oppure quando il trattamento dei dati non sia occasionale o riguardi particolari tipologie di dati.
Il nuovo Regolamento europeo dà molta importanza al principio di accountability, cioè alla responsabilizzazione del titolare e del responsabile del trattamento, che sono tenuti a mettere in atto misure tecniche ed organizzative adeguate a garantire e per dimostrare l’applicazione del regolamento. Questi due soggetti devono adottare misure tecniche ed organizzative adeguate al fine di garantire un livello di sicurezza adeguato al rischio.
IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI
All’interessano spettano diversi diritti a protezione dei suoi dati personali (diritto di accesso ai propri dati, diritto di opposizione al trattamento con finalità commerciali o di marketing, diritto di aggiornamento e rettificazione), esercitabili attraverso istanza o reclamo da presentare direttamente al Garante della privacy.
A seguito del GDPR, il consumatore é titolare anche del diritto all’oblio, cioè potrà richiedere la cancellazione dei propri dati, salvo i casi in cui i dati siano trattati per interessi generali e finalità storiche, statistiche o scientifiche. Infatti, il trattamento dei dati, sempre a seguito del GDPR, non può essere illimitato ma dovrà avere durata determinata e stabilità in base alla finalità stessa del trattamento.
Il GDPR prevede anche una procedura da seguire nel caso di data breach, cioé di violazione dei dati personali dovuti ad attacchi informatici o accessi abusivi al server di raccolta dati. In questi casi il titolare ed il responsabile del trattamento dei dati devono dare tempestiva comunicazione, entro 72 ore dalla violazione, al Garante. La comunicazione dell’avvenuto data breach dovrà essere data anche agli interessati solo quando la violazione dei dati personali sia grave, e cioè da tale violazione derivino rischi per i diritti e le libertà degli interessati.
SANZIONI
Le sanzioni previste dal GDPR sono particolarmente severe e possono arrivare a seconda delle violazioni fino a 20.000.000 di euro o, per le imprese, fino al 2% o fino al 4% del fatturato.
Il GDPR fissa le sanzioni solo nel massimo edittale demandando ai Garanti nazionali la determinazione delle sanzioni minime che dovranno comunque essere proporzionate e dissuasive e tenere conto del contesto di applicazione e dell’impatto delle violazioni contestate.