La nuova normativa europea sul trattamento dei dati personali

di lettura

Il nuovo Regolamento Privacy sarà applicabile su tutto il territorio dell’Unione europea a partire dal 25 maggio 2018 ed abrogherà la quasi totalità della legge italiana attualmente vigente (Codice Privacy). Le aziende dovranno iniziare quanto prima a esaminare ed implementare il Regolamento Privacy per arrivare pronte a questa importante scadenza. Le sanzioni amministrative, in caso di inosservanza, sono state considerevolmente aumentate, nei casi più gravi, sino a 20 milioni di euro.

La nuova normativa europea sul trattamento dei dati personali

Il nuovo regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento UE 2016/679, di seguito “Regolamento Privacy”) è entrato in vigore il 24 maggio 2016 e sarà pienamente efficace a partire dal 25 maggio 2018. 

Considerate le attività da svolgere, resta poco tempo alle aziende per adeguarsi alla nuova normativa. 

Il Regolamento Privacy, che finalmente introdurrà una normativa uniforme, direttamente applicabile in tutta l’Unione europea abrogherà il Codice Privacy (D.lgs n. 196/2003) salvo l’articolo 130 riguardante, tra l’altro, il marketing on line. I principi fondamentali in materia di privacy nella sostanza rimangono invariati ma, in pratica, molti istituti sono stati modificati e sono state introdotte importanti novità.

La nuova normativa privacy impatta su tutte le aziende che trattano dati personali di persone fisiche con sistemi automatizzati o meno, se i dati sono organizzati in archivi.  
I principi chiave:

  • l’ accountability
  • la privacy “by design” 
  • la privacy “by default”

Il Regolamento Privacy favorisce la responsabilizzazione (“accountability”) delle aziende e l’adozione di prassi che tengano conto costantemente del rischio che il trattamento di dati personali può comportare per i diritti e le libertà degli interessati. In compenso, scompaiono alcuni oneri amministrativi e tecnici: la notifica al Garante di particolari trattamenti e l’adozione delle misure minime di sicurezza, di cui all’Allegato B del Codice Privacy.

Il Regolamento Privacy prevede che il trattamento dei dati personali, nel momento della creazione e nel corso del trattamento, sia ridotto al minimo. Si parla appunto di protezione dei dati fin dalla progettazione “by design” e per impostazione predefinita “by default”(art. 25). 
Il Titolare/Responsabile del trattamento dovrà provare di essere conforme ai principi generali imposti dal Regolamento Privacy e, quindi, dovrà non solo adeguarsi, ma adottare un idoneo sistema di reportistica delle attività di compliance effettuate.
Dato che il Regolamento Privacy prevede norme di carattere generale è presumibile (ed auspicabile) che saranno disponibili sistemi di certificazione e codici di condotta, che specifichino le regole di dettaglio.

L’informativa e i diritti degli interessati 

In primo luogo, si renderà necessario l’adeguamento delle informative e dei moduli di consenso alla luce dei nuovi obblighi informativi previsti dal Regolamento Privacy come ad esempio la base giuridica del trattamento, gli eventuali legittimi interessi del titolare, l’esistenza di decisioni automatizzate e/o di attività di profilazione, ecc. (art. 13). Inoltre, il Regolamento Privacy aumenta i diritti a favore degli interessati, che devono essere specificamente riportati nell’informativa. Le principali novità del Regolamento Privacy in materia sono:

  • il diritto all’oblio: si tratta di una forma rafforzata ed estesa del diritto alla cancellazione dei propri dati poiché, nel caso in cui i titolari abbiano reso pubblici i dati personali dell’interessato, questi devono farsi carico di “informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali” (art. 17).
  • diritto di limitazione del trattamento (art. 18): è esercitabile non solo nel caso di violazione dei presupposti di liceità del trattamento, ma anche nel caso di richiesta di rettifica dei dati (art. 16) o di opposizione al trattamento (art. 21). 
  • diritto alla portabilità dei dati: “l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti” (art. 20). Sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con quest’ultimo. Non si applica a trattamenti non automatizzati. 

I soggetti

Il Regolamento Privacy indica con precisione i soggetti che prendono parte al trattamento ed i rapporti tra gli stessi: Titolare, Co-titolare, Responsabile e Data Protection Officer (di seguito, “DPO”). Le aziende dovranno rivedere tutte le nomine a responsabile del trattamento - per i soggetti esterni ed interni che “mettono mano” ai dati personali trattati in azienda - che dovranno rispecchiare i contenuti indicati nel Regolamento Privacy. 
Ed ancora, il DPO è una figura di nuova introduzione, obbligatoria nel caso in cui si effettuino determinate tipologie di trattamenti di dati personali, con il compito di sorveglianza e di cooperazione circa l’applicazione del Regolamento Privacy. 

Registro delle attività di trattamento

Un’altra importante novità prevista dal Regolamento Privacy è l’obbligo di tenere il registro delle attività di trattamento (art. 30), che ricorda il vecchio Documento Programmatico sulla Sicurezza (attualmente non più obbligatorio). Nel caso di realtà con meno di 250 dipendenti e determinati livelli di fatturato/bilancio questa disposizione non si applica, salvo il caso in cui il trattamento possa presentare un rischio per i diritti e le libertà dell'interessato.

Data breach

E’ stato inoltre generalizzato l’obbligo di notificare al Garante Privacy le violazioni dei dati personali (ad esempio a seguito di attacchi informatici, virus, incendi o altre calamità). Se la violazione rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice, anche gli interessati cui i dati si riferiscono (art. 32).

Le sanzioni

Infine, last but not least, le sanzioni amministrative in caso di violazioni sono state aumentate in maniera considerevole, il Garante Privacy potrà infliggere sanzioni di natura economica, in funzione del singolo caso, fino ad un massimo di 10 milioni o 20 milioni di euro (nei casi più gravi) oppure, per le imprese, fino al 2-4 % del fatturato mondiale totale annuo dell’esercizio precedente, lasciando poi ciascuno Stato membro libero di adottare norme relative ad altre sanzioni.

Conclusioni

Le aziende dovranno, quanto prima, individuare le funzioni competenti ed il budget per gestire il processo di adeguamento alla nuova normativa, avendo cura di tenere traccia delle attività effettuate in modo da poter dimostrare, al Garante e/o a terzi, in caso di necessità, l’osservanza dei principi previsti dal Regolamento Privacy. Inoltre, sarà necessario monitorare le attività del Garante Privacy, che ha predisposto una apposita sezione del proprio sito web, in continuo aggiornamento , nonché verificare l’esistenza, nel proprio settore, di meccanismi di certificazione o codici di condotta affidabili.

Avv. Andrea Antognini
Dott.ssa Gabriella Perotto

Altre tematiche
Franchising internazionale: quando scegliere l’area development
Franchising internazionale: quando scegliere l’area development
La formula franchising per l’estero presenta tre principali declinazioni: il master franchising, modello strategico in cui la casa-madre concede la licenza in esclusiva ad un partner per un Paese o macro-area con l’impegno di sviluppare ...
Coronavirus e trasporti internazionali: Marocco
Coronavirus e trasporti internazionali: Marocco
Di seguito la situazione nei vari Paesi di maggiore interesse per il commercio internazionale, secondo le notizie rese note dal Ministero Affari Esteri ed ANITA. Considerati i continui aggiornamenti e modifiche, le informazioni riportate potrebbero essere non aggiornate.
Coronavirus e trasporti internazionali: Austria, Danimarca, Francia, Germania, Portogallo, Regno Unito, Spagna, Svizzera
Coronavirus e trasporti internazionali: Austria, Danimarca, Francia, Germania, Portogallo, Regno Unito, Spagna, Svizzera
Di seguito la situazione nei vari Paesi di maggiore interesse per il commercio internazionale, secondo le notizie rese note dal Ministero Affari Esteri ed ANITA. Considerati i continui aggiornamenti e modifiche, le informazioni riportate potrebbero essere non aggiornate.
Coronavirus e trasporti internazionali: Russia, Ucraina, Slovacchia, Ungheria, Repubblica Ceca, Polonia
Coronavirus e trasporti internazionali: Russia, Ucraina, Slovacchia, Ungheria, Repubblica Ceca, Polonia
Di seguito la situazione nei vari Paesi di maggiore interesse per il commercio internazionale, secondo le notizie rese note dal Ministero Affari Esteri ed ANITA. Considerati i continui aggiornamenti e modifiche, le informazioni riportate potrebbero essere non aggiornate.
Coronavirus e trasporti internazionali: Albania, Bosnia, Romania, Macedonia, Serbia,  Slovenia
Coronavirus e trasporti internazionali: Albania, Bosnia, Romania, Macedonia, Serbia, Slovenia
Di seguito la situazione nei vari Paesi di maggiore interesse per il commercio internazionale, secondo le notizie rese note dal Ministero Affari Esteri ed ANITA. Considerati i continui aggiornamenti e modifiche, le informazioni riportate potrebbero essere non aggiornate.
Dal prodotto all’insegna quale leva per sostenere export e listini
Dal prodotto all’insegna quale leva per sostenere export e listini
Progettare un piano di export significa innanzitutto mappare lo “stato dell’arte” del singolo mercato di sbocco e valutarne le potenzialità, non soltanto sotto il profilo della domanda finale ma anche e, talora, soprattutto della domanda intermedia ovvero dei buyer e delle strutture distributive in essere.
Aggregarsi per l'export
Aggregarsi per l'export
Il panorama industriale italiano gode di un numero altissimo (circa 3 milioni) di piccole o addirittura micro aziende (rispettivamente con meno di 50 o 10 dipendenti). La media non raggiunge i 4 dipendenti per azienda, quando in Germania, ad esempio, è circa il triplo.
Il piano di business internazionale in 6 passi
Il piano di business internazionale in 6 passi
L’elaborazione di un piano marketing per l’estero serve a formalizzare un approccio pianificato che permetta di ridurre tempi, costi e rischi del processo di internazionalizzazione, evitando di procedere per tentativi o in base ad una valutazione superficiale dei mercati esteri e dei punti di forza e di debolezza dell’impresa.
L’importanza di tutelare la proprietà intellettuale
L’importanza di tutelare la proprietà intellettuale
Con il termine proprietà intellettuale (PI) si indica un sistema di tutela giuridica dei beni immateriali frutto dell’attività creativa e inventiva dell’uomo, come le opere artistiche e letterarie, le invenzioni industriali e i modelli di utilità, il design e i marchi.
Proprietà intellettuale e sorveglianza doganale
Proprietà intellettuale e sorveglianza doganale
La piaga economico-sociale della contraffazione preoccupa e occupa ogni giorno moltitudini di imprese in tutto il mondo.