35440117101_cbfe2c9d2b_b
15 Maggio 2018

Protezione dei dati, privacy, diritto all’oblio: ecco cos’è la GDPR

Il regolamento delinea nuovi principi e ruoli aziendali nonché nuove metodologie organizzative.

 

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento 2016/679 del Parlamento Europeo e del Consiglio “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”. Stiamo parlando del regolamento generale sulla protezione dei dati, noto con l’acronimo GDPR.

Tante altre sono le novità introdotte dal nuovo Regolamento, dalla nuova disciplina del consenso, alla regolamentazione del diritto all’oblio e alla portabilità dei dati. Il Regolamento rappresenta, dunque, una vera e propria rivoluzione della materia, resasi necessaria anche in ragione dell’uso sempre più frenetico di Internet.

La diffusione dei dati personali è diventata nel corso degli anni sempre più fitta. Per questa ragione si è avvertita l’esigenza di tutelare i titolari dei dati sensibili in maniera più vigorosa rispetto al passato; ciò al fine di proteggere gli interessati rispetto da un uso improprio e inconsapevole dei propri dati.

Il regolamento ha così previsto che i dati personali debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Ai principi di liceità, correttezza e trasparenza si accosta, poi, quello di minimizzazione dell’uso dei dati: essi devono essere adeguati, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.

GDPR: cosa cambia rispetto al passato

Tra le principali novità vi è l’introduzione del principio di responsabilizzazione o accontability: i titolari e i responsabili del trattamento devono non soltanto garantire che il trattamento sia effettuato in conformità al regolamento, ma devono essere anche in grado di provare il rispetto del suddetto regolamento.

Per questo è necessario che il titolare del trattamento, sin dalla fase iniziale del progetto, debba “mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati” (data protection by default and by design). Tale attività deve essere svolta prima del trattamento dei dati vero e proprio e presuppone un’analisi preventiva del contesto da parte dei titolari del trattamento nonché dei rischi che potenzialmente possono incidere negativamente sulle libertà e i diritti degli interessati.

All’esito della valutazione d’impatto il titolare potrà autonomamente individuare le misure idonee a ridurre il rischio. Diversamente, in presenza di rischio elevato, il titolare potrà consultare l’autorità di controllo per l’acquisizione di un parere.

 

Cos’è il registro delle attività di trattamento

Altra novità del regolamento è rappresentata dall’istituzione del registro delle attività di trattamento: ogni titolare del trattamento deve conservare un registro delle operazioni di trattamento, il quale dovrà rispettare i contenuti minimi definiti con l’art. 30 del regolamento.

L’obbligo non sussiste per le imprese e organizzazioni con meno di 250 dipendenti. Il registro costituisce un valido strumento per la valutazione e l’analisi del rischio dell’azienda o del soggetto pubblico, poiché fornisce una panoramica dei trattamenti attuati nell’ambito dell’organizzazione.

 

Rischi e violazioni dei dati personali

Per quanto concerne la notifica delle violazioni di dati personali (data breach), a decorrere dal 25 maggio 2018, tutti i titolari dovranno notificare all’Autorità di controllo entro 72 ore le violazioni di dati personali di cui vengano a conoscenza.

La comunicazione potrà essere omessa qualora il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

 

Istituito il ruolo di responsabile della protezione dei dati

Il titolare del trattamento, oppure il responsabile del trattamento, ha il compito inoltre di nominare il responsabile della protezione dei dati, nei casi specifici indicati dal regolamento. Nelle altre ipotesi, in cui non sussiste l’obbligo di nomina, il responsabile della protezione dati potrà essere nominato su base volontaria.

Il responsabile, fra gli altri, dovrà:

  • sorvegliare l’osservanza del regolamento;
  • prestare, qualora richiesta, la propria consulenza in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • informare e fornire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi rivenienti dal regolamento;
  • cooperare con il Garante.

 

Termini e sanzioni

Sebbene siano passati già due anni dalla pubblicazione del regolamento e nonostante l’approssimarsi della data in cui esso diventerà operativo, molti soggetti – sia pubblici che privati – non hanno ancora adeguato la propria organizzazione alle nuove regole.

Il regolamento, immediatamente applicabile agli stati membri, deve trovare piena attuazione già dal 25 maggio 2018. I soggetti obbligati all’applicazione del regolamento, dunque, devono conformarsi alla nuova disciplina per non incorrere nelle sanzioni previste.

Occorre, però, rammentare che il regolamento, prima ancora che sul diritto dell’interessato, è incentrato proprio sui doveri e sulle responsabilità del titolare del trattamento dei dati. Ragione per cui, per non incorrere nelle sanzioni previste dal regolamento, le aziende dovranno essere in grado di definire, gestire e documentare, in tempi celeri, i processi necessari all’attuazione delle nuova disciplina.

Siamo a disposizione di tutti coloro che sono interessati a conformare le proprie organizzazioni alle nuove disposizioni sulla privacy.