Le principali novità del GDPR

Condividi su facebook
Condividi su linkedin
Condividi su telegram
Condividi su whatsapp
Condividi su email

L'articolo in esame affronta le principali novità afferenti il nuovo Regolamento Europeo 679/16 comunemente denominato "GDPR" in materia di prvacy.

GDPR 696x364

A partire dal 25 maggio 2018 – come noto – è in vigore in tutta l’Unione Europea il GDPR, che letteralmente sta per “General Data Protection Regulation”.
Il nuovo Regolamento Europeo Privacy ha sostituito completamente il codice del 1995 e il successivo codice in materia di protezione dei dati personali del 2003 comportando rilevanti novità a cui imprese, aziende e amministrazioni pubbliche hanno dovuto necessariamente adeguarsi al fine di evitare sanzioni.
Sicurezza dati personali
Nello specifico, il Regolamento Europeo Privacy ha introdotto sostanziali novità e nuovi ruoli di responsabilità, fornendo molteplici disposizioni riguardanti la raccolta, gestione e archiviazione in sicurezza dei dati personali.
In generale, tra le principali novità contenute nel Regolamento Europeo Privacy appare opportuno, in primo luogo, approfondire il cosiddetto “diritto all’oblio”, ovvero il diritto di ogni singolo individuo di richiedere e ottenere la cancellazione dei propri dati, che è regolamentato dall’articolo 17 del GDPR, il quale recita: “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione ai minori”.
In secondo luogo, è stata introdotta la cosiddetta “Accountability” o responsabilità verificabile. Tale rilevante innovazione in tema di privacy riguarda il titolare del trattamento, che è – a partire dall’entrata in vigore del nuovo Regolamento Europeo – nello specifico, chiamato a decidere in autonomia e preventivamente in relazione alle misure da adottare per il trattamento dei dati personali.
In particolare, egli deve essere in grado di dimostrare l’efficacia tecnica/organizzativa e la conformità alla normativa vigente delle sopra citate misure da adottare per il trattamento dei dati personali, qualora quest’ultime siano oggetto di controllo da parte dell’autorità competente in materia.
Regolamento EU 679/16
In altri termini, il titolare ha l’onere di analizzare i dati personali, individuare i rischi e le misure più efficaci per garantirne la sicurezza; il tutto in maniera dimostrabile effettivamente e concretamente.
Al fine di poter adempiere e rispettare la sopraesposta novità in tema di privacy, dunque, le amministrazioni e le aziende, così come suggerito dal Garante per la protezione dei dati personali, dovranno dotarsi di un Responsabile della protezione dei dati (DPO – Data Protection Officer). A mente del Regolamento (art. 37), la nomina del DPO è obbligatoria:
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria.

Chiara espressione del principio dell’ “Accountability” risulta essere il nuovo art. 35 del GDPR, il quale introduce l’istituto della c.d. valutazione d’impatto: la DPIA (Data Protection Impact Assessment), in precedenza non previsto dalla Direttiva 95/46/CE e dal D.lgs.196/2003.
In sintesi la DPIA sostituisce l’obbligo di verifica preliminare davanti all’Autorità Garante, ex art. 17 del D.lgs.196 del 2003, e consiste in una valutazione preliminare, fatta dallo stesso titolare del trattamento, degli impatti a cui andrebbe incontro il trattamento dei dati personali laddove dovessero essere violate le misure di protezione dei dati. L’art. 35 GDPR al par. 1 afferma che “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. Il par. 3 del medesimo articolo specifica che “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1 – secondo cui: È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona –, o di dati relativi a condanne penali e a reati di cui all’articolo 10; c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.
In terzo luogo, risulta essere innovativa la previsione del registro delle attività di trattamento. Nello specifico, secondo il nuovo GDPR, il titolare del trattamento dati è tenuto a documentare tutti i trattamenti effettuati, a prescindere dalla finalità, in un registro dettagliato contenente obbligatoriamente: nome e dati del contatto titolare del trattamento; finalità del trattamento; descrizione delle categorie dei dati personali e dei destinatari a cui i dati sono stati o saranno comunicati. Basta essere sprovvisti della necessaria documentazione per essere perseguibili.
Tuttavia, l’obbligo di redazione e adozione del registro non è generale: infatti, il par. 5 dell’art. 30 GDPR specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
In quarto luogo, a seguito dell’introduzione della nuova normativa, il titolare del trattamento è tenuto a notificare l’eventuale violazione dei dati personali all’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza.

Condividi su facebook
Condividi su linkedin
Condividi su telegram
Condividi su whatsapp
Condividi su email

Scrivi commento

Hai bisogno di aiuto?

Contattami Adesso

Chiudi il menu