mercoled√¨, 17 ottobre 2018

Articoli

Regolamento UE 2016/679: cosa sapere e cosa fare

23/01/2018

di Roberta Rapicavoli, Avvocato esperto in Information Technology e privacy e Docente Ethos Academy www.robertarapicavoli.it

Il 25 maggio 2018 è la data in cui diventerà applicabile in tutti gli Stati dell’Unione Europea il Regolamento UE 2016/679 sulla protezione dei dati personali. Di cosa si tratta? Entrato in vigore il 24 maggio 2016, questo Regolamento troverà applicazione dal 25 maggio 2018, sostituendo le legislazioni nazionali derivanti dalla Direttiva 95/46/CE che va ad abrogare. Il Regolamento è una norma di applicazione diretta, quindi non necessita di alcun recepimento, ma occorrono norme primarie nazionali per armonizzarlo con la disciplina previgente che va ad abrogare. Proprio per tale ragione, con Legge 163/2017 – Legge di delegazione europea – è stata attribuita al Governo delega specifica per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679. Il Governo, entro sei mesi dall’approvazione della Legge di delegazione, dovrà adottare gli atti necessari all’adeguamento della nuova normativa, con cui potrà dirsi completo il quadro normativo legato al Regolamento europeo sulla protezione dei dati.

A CHI INTERESSA

Le regole imposte dalla normativa privacy devono essere osservate da tutte le imprese che, nello svolgimento delle loro attività, trattano dati personali, ossia compiono operazioni – come ad esempio la raccolta, la registrazione, l’organizzazione, la conservazione, l’estrazione, la consultazione – aventi ad oggetto informazioni relative a persone fisiche, identificate o identificabili. Tale precisazione è importante perché occorre essere consapevoli del fatto che attività comuni a tutte le realtà imprenditoriali – come ad esempio la gestione del rapporto di lavoro con dipendenti e collaboratori o l’elaborazione delle richieste di informazioni provenienti da utenti che navigano sul sito web aziendale – comportano un trattamento di dati e devono dunque essere effettuate nel rispetto della disciplina privacy.

LE PRINCIPALI NOVITÀ

Il Regolamento UE 2016/679 richiama alcuni principi e adempimenti già previsti dalla normativa nazionale ma introduce importanti novità, che impongono un ripensamento dei processi e dei sistemi informativi alla base della gestione della privacy e richiedono degli interventi specifici.

Più specificamente il Regolamento:

• Introduce il principio di responsabilizzazione o accountability in base al quale spetta al titolare mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il regolamento, compresa l’efficacia delle misure adottate.

• Individua i principi della privacy by design e by default, che impongono di considerare i profili privacy fin dalla fase di progettazione e pianificazione e di mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

• Introduce la figura del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD)– obbligatoria nei casi previsti dal Regolamento. Prevede l’obbligo di tenuta dei registri del trattamento previsti all’art. 30 del nuovo testo normativo.

• Introduce nuovi diritti per l’interessato (si pensi ad esempio al diritto all’oblio e al diritto alla portabilità dei dati trattati con mezzi automatizzati).

• Individua l’obbligo di effettuare una preliminare valutazione d’impatto sulla protezione dei dati personali (privacy impact assessment) nei casi in cui il trattamento possa comportare dei rischi e prescrive l’obbligo di consultazione preventiva dell’autorità di controllo se dalla valutazione d’impatto risultasse che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

• Prevede che il titolare e il responsabile devono adottare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio non richiamando più le misure minime oggi previste nel nostro Codice privacy e nell’Allegato B.

• Individua come obbligo generalizzato la comunicazione all’Autorità di eventuali violazioni dei dati personali (data breach).

• Introduce maggiori responsabilità e prevede e un impianto sanzionatorio più rigido.

COSA FARE

Occorre prendere consapevolezza dei trattamenti effettuati all’interno della struttura aziendale e dell’organizzazione privacy interna ed avviare le procedure per l’adeguamento. Ciò in concreto si traduce nella necessità di effettuare un’attenta analisi (audit) tesa ad individuare le varie tipologie di dati trattati, delle finalità per cui sono acquisiti e gestiti e delle modalità del trattamento, comprese le misure di sicurezza adottate. Occorre poi rivedere il sistema di gestione privacy, sia da un punto di vista documentale (si pensi, ad esempio, a informative e nomine), sia da un punto di vista organizzativo (come ad esempio le procedure per fornire riscontro alle richieste degli interessati). Infine occorre valutare le misure tecnico- organizzative da adottare e pianificare le modifiche e le integrazioni necessarie a fronte delle novità introdotte con la disciplina europea di prossima applicazione.   



pagina precedente