Il Nuovo Regolamento Europeo sulla Protezione dei Dati Personali è un complesso meccanismo composto da un elevato numero di ingranaggi.
Questo articolo pone in evidenza dieci argomenti che tutte le aziende, le società, i liberi professionisti, le ditte individuali, le PMI, le StartUp, devono sapere per adeguarsi alla nuova normativa.
1. Cos’è il GDPR
Il Regolamento Europeo in materia di Protezione dei Dati Personali n. 679/2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea n. 119/2016 il 4 maggio 2016 ed è entrato in vigore il 5 maggio 2016. Il 25 maggio 2018 è divenuto applicabile immediatamente in tutti i Paesi dell’Unione Europea.
Materialmente il Regolamento si applica solo al trattamento dei dati personali di persone fisiche per i trattamenti automatizzati o non, effettuati dai Titolari o Responsabili per attività che rientrano nell’ambito di applicazione del diritto dell’U.E.
2. I soggetti del Trattamento
La Normativa si rivolge a diversi soggetti coinvolti in vari modi. Tali soggetti coinvolti nel trattamento dei dati sono sicuramente: gli Interessati (persone fisiche di cui vengono trattati i dati), il Titolare del trattamento (persona fisica o giuridica che determina le finalità e i mezzi del trattamento) e il Responsabile del trattamento (persona fisica o giuridica che tratta i dati personali per conto del titolare).
Ma vi sono anche altre due figure che hanno una notevole rilevanza all’interno del trattamento del dato personale: il DPO-RPD (Data Protection Officer – Responsabile Protezione Dati) nuovo soggetto con compiti ben individuati e col fine di rendere maggiormente sicuro il trattamento; Incaricato (persona che opera con il dato personale) soggetto che il Regolamento non individua più espressamente, ma che caratterizza genericamente, nonostante la sua nomina sia fondamentale.
3. La Base Giuridica del Trattamento
Il Regolamento conferma che ogni trattamento deve basarsi su una base giuridica idonea. Le basi giuridiche sono indicate all’art. 6 del Regolamento Europeo. Su tale argomento bisogna prestare attenzione alla legge di bilancio 2018, che ha apportato una modifica in contrasto con quanto disposto dalla normativa Europea.
4. L’informativa
L’informativa all’interessato si può affermare che sia rafforzata, infatti sono previste numerose informazioni aggiuntive da fornire in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. È il punto chiave della Privacy.
5. Il Principio dell’Accountability
La nuova normativa si basa sull’Accountability (Responsabilizzazione) dei Titolari e dei Responsabili. È a questi soggetti che viene affidato il compito di decidere autonomamente le modalità, i limiti e le garanzie del trattamento dei dati personali alla luce di criteri specifici indicati dal regolamento. Fondamentale è la preventiva valutazione dei rischi per individuare e applicare idonee misure di sicurezza.
6. Il Registro del Trattamento
Indispensabile per ogni valutazione e analisi del rischio. È parte integrante di un sistema di corretta gestione dei dati personali. Non è obbligatorio per tutte le aziende.
7. Le Misure di Sicurezza
Sono una forma di garanzia per un livello adeguato di sicurezza in base al rischio valutato. L’art. 32 par 1 riporta una lista che non è esaustiva ed è aperta, poiché non esistono più misure di sicurezza minime.
8. La Notifica delle Violazioni
Per violazione si intende qualsiasi evento negativo legato ai dati (distruzione, perdita, manomissione, ecc). La notifica all’Autorità Garante non è più obbligatoria, in quanto sarà il Titolare a decidere se provvedervi. In ogni caso tutte le violazioni dovranno essere annotate in un registro apposito, di cui si dovranno dotare tutte le aziende.
9. I Diritti degli Interessati
I diritti degli interessati sono stati ampliati. È richiesto a tutti i Titolari l’adozione di misure tecniche ed organizzative per favorire l’esercizio dei diritti da parte degli interessati. Il riscontro alle richieste dovrà avere forma scritta. Tra i diritti “nuovi” si annovera il diritto alla portabilità per i trattamenti automatizzati.
10. Le Sanzioni
Da parte del legislatore Europeo l’inasprimento delle sanzioni ha la funzione deterrente e non punitiva. Le sanzioni saranno applicate dall’Autorità Garante. I gruppi di sanzioni sono due, la prima prevede una sanzione fino a 10 milioni di euro, la seconda fino a 20 milioni di euro.