GDPR – Nuovo regolamento europeo sulla protezione dei dati personali

Dal 25 maggio 2018 entra in vigore il nuovo regolamento europeo sulla protezione dei dati personali, il cosiddetto GDPR – General Data Protection Regulation, che sarà direttamente applicabile in tutti gli Stati dell’Unione Europea così come previsto dal Regolamento UE 2016/679.

 

Ambito di applicazione

Il regolamento disciplina solo il trattamento di dati personali delle persone fisiche (compresi quelli di persone fisiche trattati in ambito professionale ovvero nei rapporti tra imprese, enti e associazioni) e pertanto le informazioni anagrafiche e simili di soggetti aventi personalità giuridica (società di capitali, aziende ed enti pubblici, associazioni e fondazioni) sono esclusi dall’applicazione del codice (questo non vale per le ditte individuali perché identità personale e professionale coincidono).

 

Dati

Vengono ampliate e caratterizzate le definizioni sui dati presenti nella corrente direttiva e aggiunte di nuove. Quindi, oltre al dato personale, troviamo dati genetici, biometrici e relativi alla salute, comunque tutte informazioni che consentono l’identificazione univoca o l’autenticazione di una persona fisica.

 

Insieme unico di regole e sportello unico

In tutti gli stati membri UE si applicherà un insieme unico di regole. Ciascuno stato membro istituirà un’autorità sovrintendente indipendente per dare udienza ai reclami, effettuare indagini, sanzionare le infrazioni amministrative, ecc. Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre, fornendo assistenza reciproca e organizzando operazioni congiunte. Qualora una ditta abbia più stabilimenti nell’UE, avrà un’unica autorità sovrintendente come propria “autorità principale”, sulla base dell’ubicazione del proprio “stabilimento principale”. Il Comitato europeo della protezione dati (EDPB, European Data Protection Board) coordinerà le autorità sovrintendenti. L’EDPB andrà a sostituire il gruppo di lavoro dell’Articolo 29.

 

Principio di responsabilità (accountability)

Il principio di responsabilità legato al trattamento dei dati personali resta ancorato (come nel Codice per la protezione dei dati personali) ad un concetto di responsabilità per esercizio di attività pericolosa con una valutazione ex ante in concreto ed una sostanziale inversione dell’onere della prova. Per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre sostanzialmente provare di aver fatto tutto il possibile per evitarlo.

 

Consenso

Un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per i propositi per i quali sono usati (Articolo 7; definito in Articolo 4). Pertanto, se la richiesta viene inserita nell’ambito di altre dichiarazioni, essa va distinta e formulata con linguaggio semplice e chiaro (Articolo 7). Condizione di validità del consenso è che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti (Articolo 5). Nel caso in cui il consenso al trattamento dei propri dati personali per una o più specifiche finalità sia stato espresso da minori, esso è valido solo se il minore ha almeno 16 anni. L’età viene ridotta a 13 anni solo se lo stato membro ha previsto con legge una diversa età purché non inferiore a questa. Qualora il minore abbia un’età inferiore ai 16 o 13 anni, il consenso al trattamento deve essere dato da un genitore o da chi eserciti la potestà, e deve essere verificabile (Articolo 8). I controllori dei dati devono essere in grado di provare il consenso (“opt-in”) e il consenso può essere ritirato o modificato con l’introduzione di limitazioni nel trattamento (art. 18).

 

Sicurezza dei dati

La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento, chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine, il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito.

 

Responsabile per la protezione dei dati (Data Protection Officer)

Se l’elaborazione dati è effettuata da un’autorità pubblica, fatto salvo per le corti o le autorità giudiziarie indipendenti agenti nella loro competenza giudiziaria, o se, nel settore privato, l’elaborazione è effettuata da un controllore le cui attività principali consistono in operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico dei soggetti dei dati, una persona esperta di legislazione e pratiche relative alla protezione dei dati deve assistere colui che li controlla o li gestisce al fine di verificare l’osservanza interna al regolamento.

 

Misure tecniche di sicurezza suggerita

Le misure per garantire la sicurezza dei dati personali sono presentate nell’art. 32:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il responsabile e il titolare del trattamento hanno l’obbligo di dimostrare la conformità dei sistemi al regolamento europeo.

 

Sanzioni

Le sanzioni inflitte in ogni caso saranno effettive, proporzionate e dissuasive. Possono essere imposte le seguenti sanzioni:

  • un avvertimento scritto in caso di prima e non-intenzionale non-conformità;
  • regolari controlli periodici di protezione dei dati;
  • sanzioni amministrative pecuniarie fino a 10 000 000 di euro, o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente in caso di violazione dei seguenti punti:
    • gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
    • gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
    • gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4;
  •  sanzioni amministrative pecuniarie fino a 20 000 000 di euro, o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente in caso di violazione dei seguenti punti:
    • i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
    • i diritti degli interessati a norma degli articoli da 12 a 22;
    • i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
    • qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
    • l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

 

Violazione dei dati (Data Breach)

Il titolare del trattamento dei dati avrà l’obbligo legale di rendere note le fughe di dati all’autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza.

 

Diritto alla cancellazione, limitazione e rettifica

Il cosiddetto diritto all’oblio è stato sostituito da un più limitato diritto alla cancellazione. L’Articolo 17 stabilisce che il soggetto dei dati ha il diritto di richiedere la cancellazione di dati personali relativi a sé sulla base di una qualsiasi di una serie di giurisdizioni che comprendono la mancata osservanza dell’articolo 6.1 (legalità), il quale include il caso in cui gli interessi o i diritti fondamentali del soggetto dei dati richiedente la loro protezione prevalgono sui legittimi interessi del controllore. L’interessato deve poter esercitare questo suo diritto con la stessa facilità con cui ha espresso il consenso al trattamento dei suoi dati. Il responsabile del trattamento, dietro richiesta dell’interessato, dovrà comunicare all’interessato i destinatari a cui ha trasmesso la sua richiesta di cancellazione (Articolo 19).

 

Portabilità dei dati

Una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro senza che il controllore dei dati possa impedirlo. Inoltre, i dati devono essere forniti dal controllore in un formato strutturato e di uso comune.