A partire dal 25 maggio 2018 diventerà direttamente applicabile in tutti gli Stati membri dell’UE il nuovo regolamento generale sulla protezione dei dati (Regolamento 2016/679), introducendo nuove norme standard per la protezione dei dati per tutte le imprese che operano nell’UE, indipendentemente dal fatto che le stesse abbiano la propria sede in uno Stato membro. Queste le principali novità per i cittadini e le imprese:
- Informazioni più chiare e complete sul trattamento dei dati: per facilitare la comprensione dei contenuti l’informativa dovrà essere scritta (orale solo se l’interessato è d’accordo), leggibile, concisa, chiara e semplice, con limitati riferimenti normativi. Potrà anche contenere icone, identiche in tutta la UE e dovrà sempre obbligatoriamente specificare: (i) dati del titolare del trattamento e, se presente, del responsabile della protezione dei dati. (ii) finalità del trattamento. (iii) destinatari del trattamento. (iv) possibilità che i dati vengano trasferiti a paesi terzi e modalità trasferimento. (v) periodo conservazione dati. (vi) modalità e logica adottate per procedimenti di trattamento automatizzati.
- Maggiori garanzie per il consenso: il consenso dell’interessato al trattamento dei dati personali dovrà sempre essere preventivo ed inequivocabile, anche se espresso tramite mezzi elettronici o non in forma scritta. Per i dati sensibili e i trattamenti automatizzati (es. profilazione marketing) il consenso dovrà anche essere esplicito e quindi scritto. È espressamente esclusa ogni forma di consenso tacito, per cui il silenzio non potrà valere come consenso. Il consenso potrà essere revocato in ogni momento, ma i trattamenti effettuati sino a quel momento rimarranno legittimi.
- Introduzione del diritto all’oblio: gli interessati potranno ottenere la cancellazione dei propri dati personali chiedendola al titolare del trattamento, il quale sarà obbligato a richiedere detta cancellazione a chiunque stia trattando quei dati, nei limiti di quanto tecnicamente possibile. Il diritto all’oblio sarà limitato solo ad alcuni casi specifici, quali, ad esempio, il diritto di difesa in sede giudiziario o per garantire l’esercizio della libertà di espressione.
- Maggiori libertà per il trasferimento dei dati (c.d. portabilità): grazie al Regolamento, sarà più semplice trasmette i propri dati ad un altro titolare del trattamento, senza che quello precedente possa opporsi (es. si potrà cambiare il provider di posta elettronica senza perdere i contatti ed i messaggi salvati).
- Obbligo di comunicare la violazione dei dati personali (c.d. “data breach”): il titolare del trattamento dei dati dovrà comunicare sia al Garante della Privacy sia ai soggetti interessati eventuali violazioni dei dati personali entro 72 ore dalla conoscenza (c.d. data breach).
- Maggiori responsabilità per le imprese: le imprese e le organizzazioni con più di 250 dipendenti dovranno tenere un registro delle attività di trattamento in forma scritta (anche elettronica). Se un determinato trattamento presenta un elevato rischio per i diritti e le libertà delle persone, il titolare ed il responsabile dovranno redigere una valutazione di impatto sulla protezione dei dati.
- Nuove figure per il trattamento dei dati: le autorità o organismi pubblici (eccetto autorità giurisdizionali) o i soggetti responsabili del trattamento di dati sensibili ovvero giudiziali dovranno designare un Responsabile della protezione dei dati o Data Protection Officer. Tale soggetto dovrà, inter alia, informare titolare e responsabile trattamento deli obblighi del Regolamento, garantirne l’applicazione e fornire, se richiesto un parere sulla valutazione d’impatto, cooperando con l’autorità di controllo.
- Sanzioni amministrative pecuniarie omogenee: in caso di violazione di specifiche norme del Regolamento le autorità di controllo potranno imporre sanzioni in base a determinati indici (natura gravità durata violazione, carattere doloso colposo, misure adottate dal titolare) sino all’importo massimo di 10 milioni ovvero, in caso di imprese, sino al 2% del fatturato totale annuo se superiore alla predetta cifra.
Alla luce delle numerose innovazioni introdotte, appare opportuno che tutte le imprese e che si occupano della raccolta e del trattamento dei dati personali verifichino la rispondenza delle informative e della propria organizzazione aziendale ai criteri dettati dal Regolamento, in modo da poter eventualmente valutare, con l’aiuto di professionisti, quali modifiche ed integrazioni apportare prima del 25 maggio 2018, onde evitare di incorrere in sanzioni economiche rilevanti.
