Il 25 maggio prossimo diventerà pienamente operativo il Regolamento Privacy (UE) 2016/679 (di seguito anche GDPR), in materia di trattamento dei dati personali. In considerazione di ciò, imprese e soggetti pubblici dovranno necessariamente attivarsi al fine di delineare un piano compliance consapevole e conforme alle nuove disposizioni normative. Il processo di adeguamento al nuovo impianto normativo europeo, prevede infatti misure organizzative e tecniche tali da consentire un continuo controllo dell’adeguatezza degli strumenti posti in essere dai soggetti destinatari degli obblighi. Di seguito, si riporta una sintetica scaletta dei principali adempimenti:
- i dati raccolti devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, per finalità determinate, esplicite e legittime; adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”); esatti e se necessario aggiornati mediante l’adozione di misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti; conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- il titolare del trattamento deve, preliminarmente, discendere i casi in cui per eseguire un trattamento sia obbligatorio o meno il consenso dell’interessato. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Pertanto, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro;
- Le informazioni da fornire all’interessato, richieste dal nuovo regolamento europeo, si diversificano in parte a seconda che la raccolta dei dati sia effettuata presso l’interessato ovvero presso un soggetto diverso. L’informativa delineata dal GDPR prevede, diversamente da quanto sinora individuato dal vigente Codice della privacy (D.Lgs. n. 196/2003 e successive modificazioni), contenuti più ricchi, descritti attraverso l’utilizzo di un linguaggio semplice e chiaro;
- Il titolare del trattamento deve garantire all’interessato: il diritto di accesso, il diritto di rettifica, il c.d. diritto all’oblio (ossia diritto alla cancellazione), il diritto di limitazione del trattamento, il diritto alla portabilità dei dati, il diritto all’opposizione al trattamento;
- Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve attuare misure adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento, tenendo conto dello stato dell’arte e dei costi di attuazione, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso;
- In caso di nomina del Responsabile del trattamento, il Titolare del trattamento può ricorrere unicamente a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del previsti dal regolamento e garantisca la tutela dei diritti dell’interessato;
- per le imprese o organizzazioni con meno di 250 dipendenti, il Titolare del trattamento deve tenere un registro delle attività di trattamento;
- il titolare del trattamento è obbligato, su richiesta a cooperare con le autorità di controllo;
- il titolare del trattamento, in caso di violazione dei dati personali, è obbligato a notificare la violazione all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.;
- il titolare del trattamento, in caso di violazione di dati personali suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, deve comunicare la violazione all’interessato senza giustificato ritardo;
- quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è obbligato a effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali;
- quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; ovvero le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali, sensibili, genetici, biometrici e giudiziari, il titolare del trattamento è obbligato a nominare un Responsabile della Protezione dei Dati (Data Protection Officer – DPO).
Per l’inadempimento degli obblighi previsti, il nuovo regolamento europeo prevede, infine, sanzioni fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.