Progresso e tutela dei dati personali: come cambia la privacy dopo il 25 Maggio?

Progresso vuol dire avanzamento, con la finalità del perfezionamento, dell’evoluzione. Proprio l’evoluzione, come insegna la storia, esprime una delle primigenie esigenze umane: si pensi a quelle scoperte che hanno rivoluzionato il nostro modo di vivere, dalla lampadina di Edison al telefono di Meucci, sino ad arrivare ad internet, ai pc, agli smartphone ed ai tablet – tutte scoperte destinate a mutare e a semplificare la nostra quotidianità.

Lo stesso processo evolutivo sta investendo oggi il mondo del web e della digitalizzazione: con uno smartphone o un pc si possono completare in pochi click, operazioni, ieri, impossibili, come ad esempio prenotare una struttura alberghiera, acquistare ticket online (anche di voli o treni), eseguire operazioni bancarie, ricevere ricette mediche digitali, etc.

Sommario veloce
Elementi Fondamentali
Gli adempimenti principali del titolare
Nomina del DPO
DPO in Aziende private
DPO in Enti Pubblici
Conclusione

Sebbene da una parte la digitalizzazione abbia semplificato il modo di attuare molte operazioni, come contraltare si è scontrata con la necessità di mettere ‘in sicurezza’ i dati personali che (spesso inconsapevolmente) autorizziamo a trattare in web. Proprio per questa esigenza di protezione, l’UE ha redatto il regolamento  679/2016 (GDPR) entrato in vigore in Italia il 25 Maggio 2018.

ELEMENTI FONDAMENTALI

La nuova visione del Consenso

Nella normativa, il consenso è  base giuridica del trattamento dei dati personali. 

Il GDPR distingue i tipi di dati trattati in:

  • dati particolari (art. 9 GDPR), si tratta di dati molto sensibili (ad esempio i dati che identifichino univocamente la persona fisica, i dati relativi alla salute, alla vita sessuale, etc.), per i quali l’interessato dovrà  prestare il proprio consenso al trattamento in modo esplicito  ed inequivocabile, sebbene non necessariamente documentato per iscritto;
  • dati comuni, quei dati meno sensibili dei particolari (ad esempio i dati anagrafici), per il cui trattamento il  consenso dell’interessato non risulta essere obbligatorio.

L’interessato ha diritto a richiedere la cancellazione dei dati (diritto all’oblio) e il titolare dovrà adempiere alla richiesta, qualora ne sussistano i presupposti, ex art. 17 GDPR.

Il vero cambio di prospettiva rispetto al passato

Centrale nella normativa risulta quanto disposto dagli artt. 24 e 25 del GDPR (Privacy by design e by default), al fine di responsabilizzare il titolare ad applicare le misure di sicurezza appropriate. Il regolamento lascia libertà di scelta al titolare nella predisposizione delle misure di sicurezza  che l’azienda  deve porre in essere per proteggere i dati di cui è in possesso, pena le pesanti sanzioni che vanno dal 4% del fatturato dell’azienda ai 25 milioni di euro.

Onde evitare tali sanzioni, risulta di primaria importanza porre in essere la cd. valutazione dei rischi: una verifica sulla natura del dato trattato e sul modus che risulti più congeniale, d’accordo con un soggetto competente (Responsabile Privacy o DPO, qualora necessario), per porre in essere gli adempimenti necessari a rendere i dati sicuri da eventuali diffusioni. Va precisato che tale verifica deve essere predisposta da ogni realtà aziendale (piccola, media o grande), sia privata che pubblica, al fine di conoscere con esattezza gli accorgimenti da attuare (che possono comportare da un semplice aggiornamento della normativa sulla privacy del sito aziendale, sino alla nomina del DPO), in modo tale da rendere l’impresa conforme con quanto stabilito dalla normativa, evitando le conseguenti sanzioni.

GLI ADEMPIMENTI PRINCIPALI DEL TITOLARE:

– l’aggiornamento delle normative sulla privacy dei siti internet: sino ad ora aggiornate al D.lgs. 196/2003, devono, ad oggi, essere aggiornate al GDPR.

  • mantenimento del registro dei Trattamenti (art. 30 GDPR), tenuto dal titolare del trattamento o dal suo rappresentante, in cui si elencano tutte le attività di trattamento svolte sotto la propria responsabilità (per dipendenti, consulenti, clienti e fornitori);
  • valutazione del rischio: adempimento sostanzialmente più importante al fine di rendere l’impresa conforme;
  • valutazione d’impatto (art. 35 GDPR), cd. DPIA, necessaria solo in determinati casi, qualora un determinato trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate. Tale adempimento diventa obbligatorio quando suscitano almeno due dei criteri espressamente individuati dal  gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati.

NOMINA DEL DPO (Data Protection Officer /Responsabile della Protezione dei Dati Personali), art. 37 GDPR

Si tratta di un soggetto designato dal titolare per assolvere a funzioni di supporto e controllo, consultive, formative e informative, relativamente all’applicazione del Regolamento medesimo, nonché punto di contatto con l’autorità garante.

CHI È OBBLIGATO ALLA DESIGNAZIONE DEL DPO?

LE AZIENDE PRIVATE

qualora rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), ovvero tutte le imprese che, in base all’esito dell’analisi dei rischi relativa alla qualità e/o alla quantità dei dati trattati, rientrino nella  ‘larga scala’ (condizione, questa, da analizzarsi caso per caso). A titolo meramente esemplificativo e non esaustivo si può proporre il seguente elenco (da prendere con la dovuta serenità e senza creare allarmismi, in quanto si ribadisce, ogni situazione aziendale va considerata caso per caso):

  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • strutture alberghiere;
  • associazioni;
  • sindacati;
  • caf e patronati;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società tra professionisti;
  • istituti di credito;
  • imprese assicurative;
  • sistemi di informazione creditizia;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile;
  • società di recupero crediti;
  • istituti di vigilanza; partiti e movimenti politici;
  • imprese di somministrazione di lavoro e ricerca del personale; 
  • società di call center;
  • società che forniscono servizi informatici;
  • società che erogano servizi televisivi a pagamento

GLI ENTI PUBBLICI:

Sono tenuti obbligatoriamente alla designazione di un DPO tutte le autorità pubbliche o organismi pubblici che effettuino trattamenti di dati personali, con l’unica eccezione delle autorità giurisdizionali quando esercitano le loro funzioni), come, a titolo esemplificativo e non esaustivo:

  • le amministrazioni dello Stato, anche con ordinamento autonomo, gli enti pubblici non economici, nazionali, regionali e locali;
  • le Regioni e gli enti locali,;
  • le università;
  • le camere di commercio, industria, artigianato e agricoltura;
  • le aziende del servizio sanitario nazionale;
  • le autorità indipendenti.

CHI NON È OBBLIGATO ALLA NOMINA DEL DPO?

Le aziende private (e solo le private, per le pubbliche la nomina rimane obbligatoria), che all’esito di un’analisi, sulla qualità e/o quantità dei dati non rientrano nei casi previsti dall’art. 37, par. 1, lett. b) e c) del GDPR (ovvero nella ‘larga scala’), a titolo meramente esemplificativo:

  • trattamenti effettuati da liberi professionisti operanti in forma individuale;
  • agenti, rappresentanti e mediatori operanti non su larga scala;
  • imprese individuali o familiari;
  • piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

In ogni caso, il Garante della Privacy consiglia, visto il principio di responsabilizzazione (Accountability) che permea tutta la normativa comunitaria, la designazione di un DPO anche quando, all’esito delle dovute analisi, la sua nomina, per le imprese di cui sopra, non risulti obbligatoria.

Per concludere,

si consiglia di rivolgersi a soggetti qualificati e competenti in materia (Data Protection Officer, Data Protection Specialist, consulenti privacy, etc). Al fine di conoscere l’attuale stato di conformità della propria azienda nei confronti della normativa in esame e gli eventuali futuri adempimenti (qualora ve ne sia l’esigenza) da porre in essere per rendere l’impresa compliance alla normativa.

Luca Barreca,

Dottore in Giurisprudenza,

Data Protection Specialist.

Per informazioni o dubbi inerenti all’argomento vi consigliamo di inviare una mail al seguente indirizzo: lucabarreca.dps@gmail.com

Cambia impostazioni privacy
Torna in alto