Con l’emanazione del Regolamento Generale Europeo sulla protezione dei dati personali, il cosiddetto GDPR, è stata portata a compimento una vera e propria riforma della disciplina riguardante le regole applicabili nel campo della privacy.
Infatti, a partire dal 25 maggio di quest’anno, sono stati introdotti nuovi adempimenti ed obblighi sia per la Pubblica Amministrazione, sia per i liberi professionisti e le imprese, la violazione dei quali porterà inevitabilmente all’irrogazione di pesanti sanzioni amministrative e penali che potrebbero arrivare anche a 20 milioni di euro o al 4% del fatturato annuo dell’esercizio precedente.
È stato in questo modo affermato un nuovo principio di ACCOUNTABILITY (traducibile come “responsabilizzazione”), secondo il quale colui che entra in possesso di dati personali deve mettere in atto misure organizzative e tecniche adeguate al fine di garantire che il trattamento sia stato effettuato in modo conforme al Regolamento.
LE CATEGORIE PARTICOLARI DI DATI PERSONALI
Il GDPR pone particolare attenzione sul trattamento di quella categoria di dati che prima venivano definiti come “sensibili”, ed ora ampliati ed individuati come “categorie particolari di dati personali”: le opinioni politiche, le origini etniche, i dati relativi ad eventuali condanne penali, i dati sulla salute, rientrano in una categoria protetta dallo stesso Regolamento che ne vieta il trattamento, fatte salve alcune eccezioni, tra cui la presenza del consenso espresso.
A tal proposito è stato sancito come l’informativa che deve essere fornita all’interessato debba essere trasparente, concisa e chiara e come il consenso dei dati personali debba essere obbligatoriamente espresso e non più tacito, come avveniva fino a poco tempo fa. Altra novità in materia è il diritto alla portabilità, ossia la possibilità, attraverso la volontà dell’interessato, di trasmissione dei dati da un titolare del trattamento ad un altro (ad esempio il cambiamento di provider di posta elettronica senza la perdita dei contatti o la portabilità del numero telefonico).
Rimane fermo il diritto all’oblio, cioè la possibilità di ottenere la cancellazione dei propri dati, qualora questi non fossero più necessari al compimento dell’attività per cui erano stati richiesti o quando siano stati trattati illecitamente.
COSA FARE E COME ADEGUARSI
Al fine di conformarsi alla normativa, i soggetti che si trovano a gestire dati personali di terzi devono adempiere ad alcuni obblighi, quali la nomina di un DPO (Data Protection Officer), il mettere in atto misure di sicurezza adeguate per evitare possibili Data Breach (la distruzione, l’accesso non autorizzato, la perdita, la modifica, la divulgazione dei dati), il tenere un Registro dei Trattamenti.
Nel primo caso, soltanto alcune categorie di persone fisiche o giuridiche dovranno necessariamente nominare un DPO come Responsabile della protezione dei dati, e cioè la P.A. nella sua interezza e tutti quei titolari del trattamento le cui attività, per loro natura, richiedono di un monitoraggio sistematico o quando questi gestiscano dati particolarmente sensibili.
Il DPO potrà essere nominato internamente o esternamente all’azienda e dovrà essere dotato di competenze giuridiche e di capacità di analisi e gestione del rischio.
Tale nomina dovrà poi essere comunicata al Garante della Privacy, in quanto tale soggetto è sia alleato del titolare, sia punto di contatto tra lo stesso e le Istituzioni.
La violazione di sicurezza, il cosiddetto Data Breach, deve essere scongiurato con l’adozione di misure di prevenzione adeguate, ma qualora dovesse comunque avvenire, il titolare del trattamento dovrà informare tempestivamente l’Autorità Garante e se tale violazione dovesse in qualche modo costituire una minaccia per le persone, provvedere ad una immediata e chiara informazione degli interessati.
Infine è obbligatorio per l’azienda tenere un Registro dei Trattamenti, in forma cartacea o elettronica, che contenga in modo trasparente: i dati del titolare, del rappresentante del titolare e del responsabile della protezione dati; le finalità del trattamento; una descrizione delle categorie degli interessati e delle categorie di dati personali; ove possibile una descrizione generale dei provvedimenti tecnici ed organizzativi per la sicurezza dei dati.
Questo registro sarà quindi la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.