Il Regolamento Europeo 2016/679 sulla Privacy, noto anche come GDPR, relativo alla protezione dei dati personali e alla loro libera circolazione, entrerà in vigore dal 25 maggio 2018 e sarà direttamente applicabile in Italia.

Il nuovo Regolamento stabilisce nuovi diritti fondamentali per gli interessati, nuovi principi e obblighi per le aziende, una nuova figura professionale e un nuovo e pesantissimo trattamento sanzionatorio. Il cambiamento è vicino, anzi è ormai arrivato !!!

Diritti per gli interessati

- informativa (artt. 13 e 14);

- diritto di accesso (art. 15);

- diritto di rettifica (artt. 16 e 19);

- diritto di cancellazione - diritto all’oblio (artt. 17 e 19);

- diritto alla limitazione al trattamento (art. 18);

- diritto alla portabilità dei dati (art. 20);

- diritto di opposizione (art. 21);

- diritto a non essere sottoposto a processi decisionali automatizzati (art. 22).

Principi e obblighi per le aziende

Privacy by design e privacy by default.

Si tratta di una nuova modalità di approccio della protezione dei dati (art. 25) che deve avvenire fin dalla progettazione e per impostazione predefinita.

Registro delle Attività di Trattamento.

Ogni titolare del trattamento e, ove applicabile, ogni suo rappresentante, sotto la propria responsabilità (art. 30) devono tenere il registro delle attività di trattamento.

A tale obbligo non sono tenute le imprese o le organizzazioni con meno di 250 dipendenti, salvo che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale, includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati.

Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale controllo da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico.

Valutazione d’impatto sulla protezione dei dati personali (cd. DPIA).

Quando un determinato trattamento può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il Titolare deve effettuare preliminarmente una valutazione d’impatto di quel trattamento sulla protezione dei dati. Peraltro, tale valutazione è sempre obbligatoria in taluni specifici casi.

La DPIA è un procedimento atto a costruire e dimostrare la conformità dell’azienda al Regolamento, nonché uno strumento di fondamentale importanza messo a disposizione del Titolare del trattamento per rispettare il principio di accountability, ovvero di responsabilizzazione.

Obbligo di comunicazione in caso di violazione dei dati personali.

Il Titolare deve notificare la violazione (c.d. Data Breach) senza ingiustificato ritardo all’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, invece, è previsto anche l’obbligo di comunicazione nei confronti di tutti gli interessati coinvolti.

Responsabile della Protezione dei Dati - Data Protection Officer (“DPO”).

Tale figura dovrà essere obbligatoriamente presente: (i) nelle aziende pubbliche quando effettuano il trattamento di dati personali; (ii) in tutte le aziende dove i trattamenti presentino specifici rischi (aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati”, su larga scala, o aziende che trattano “dati sensibili, genetici e biometrici”).

Il DPO potrà essere un dipendente della società Titolare del trattamento o un soggetto esterno avente con la società un contratto di servizi: in ogni caso dovrà essere un professionista competente in tema di protezione dati, in possesso di specifici requisiti quali competenza, esperienza, indipendenza e autonomia di risorse.

Trattamento sanzionatorio in caso di violazione delle norme.

Per quanto riguarda il trattamento sanzionatorio, esso viene uniformato e inasprito. Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa, e possono arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo.

Riepilogando, c'è poco da scherzare. Mettiamo in conto un altro lavoro nel nostro lavoro.