GDPR

In data 25 maggio 2016 é entrato in vigore il Regolamento europeo sulla protezione dei dati personali n. 2016/679, che contiene numerose novità. Tra le più interessanti ricordiamo l’introduzione dell’Accountability (e cioè il principio di responsabilizzazione ed autodeterminazione del Titolare, con ricaduta sullo stesso dell’onere probatorio del rispetto degli adempimenti in ambito privacy), l’Analisi dei Rischi e le relative misure adeguate tecniche ed organizzative, il Data Breach (notificazione di una violazione di dati), il DPIA (Data Protection Impact Assesment o valutazione d’impatto), la Privacy by Design (privacy fin dalla progettazione) e la Privacy by Default (privacy per impostazione predefinita), l’istituzione dei Registri del trattamento, il Data Protection Officer (DPO o responsabile della protezione dei dati) e il Responsabile del trattamento dei dati.

Alla base di tutto vi é il diritto di ogni individuo alla protezione dei dati di carattere personale che lo
riguardano ed al trattamento degli stessi secondo lealtà, liceità, pertinenza, per finalità determinate e in base ad un consenso espresso o a un altro fondamento legittimo previsto dalla Legge.

Il Regolamento diventerà attuativo il 25 maggio 2018, e per l’effetto le imprese che non si adegueranno o non ne rispetteranno appieno le disposizioni, rischieranno sanzioni molto elevate che potranno arrivare fino al 2% del fatturato annuo mondiale o 10 milioni di euro o fino al 4% del volume d’affari annuale o 20 milioni di euro.

In aggiunta a ciò, é da ultimo entrata in vigore la Legge di delegazione europea per l’anno 2016-2017 n. 196/2017, per effetto della quale il Governo sarà tenuto ad abrogare le disposizioni del Codice della Privacy (ossia l’attuale normativa italiana di riferimento in materia di trattamento dei dati personali) in aperto contrasto con quanto previsto dal Regolamento Europeo.

Ad oggi, pertanto, in attesa di interventi concreti in attuazione della Legge delega n. 196/2017, le norme contenute nel Codice di Protezione dei Dati Personali (Dlgs. N. 196 del 30 giugno 2003) continuano a coesistere con quelle del Regolamento 679/2016, con la conseguenza che la redazione di documenti che attestino la conformità dell’azienda alle misure previste dalla Legge assume un rilievo centrale, per non dire vitale. Più attuale che mai, quindi, è l’obbligo di effettuare un censimento dei flussi di dati trattati nei processi aziendali, di predisporre i documenti in funzione dei ruoli in concreto ricoperti, di produrre informative e policy adeguate e di verificare sistematicamente l’effettiva sicurezza del trattamento dei dati, delle procedure di disaster recovery e di business continuity e la correttezza e il funzionamento dell’azienda nel suo complesso.

Ma tutto questo, in concreto, cosa significa? Chiariamoci qualche dubbio.
1. A chi si applica?
A chiunque tratti dati personali di persone fisiche (“interessati”). Società, professionisti, Enti, Pubbliche
Amministrazioni
2. Cosa si intende per trattamento di dati?
Qualunque operazione eseguita su dati personali. Ad esempio: registrazione, organizzazione, archiviazione,
recupero, consulenza, trasmissione, adattamento, uso, divulgazione, cancellazione.
3. Cos’è un dato?
Qualunque informazione correlata ad una persona fisica identificata o identificabile. Ad esempio:
4. Quali sono i dati sensibili?
Quelli idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
5. Cosa si intende per consenso?
Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile, che sia una dichiarazione o un’azione positiva.
6. Chi risponde del trattamento dei dati?
Il Titolare e in certi casi il Responsabile.
7. Chi é il Titolare?
Colui che determina le finalità e i mezzi del trattamento di dati personali.
8. Chi é il Responsabile?
Colui che tratta dati personali per conto del titolare del trattamento.
9. Quali sono i diritti degli interessati?
Diritto d’accesso ai dati, di rettifica, di cancellazione (o diritto all’oblio), alla limitazione del trattamento, alla
portabilità dei dati, d’opposizione e di reclamo.
10. Che sanzioni si rischiano?
Fino al 2% del fatturato annuo mondiale o 10 milioni di euro o fino al 4% del volume d’affari annuale o 20 milioni di euro.

Anna Capoluongo

Avvocato › Vi5ionair

Lascia un commento