E’ stato approvato in Aprile ed entrerà in vigore dal 24 maggio 2016 il Regolamento europeo n. 679 del 27 aprile 2016 in materia di protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea del 4 maggio 2016 (L 119) insieme alla Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini, cd “pacchetto protezione dati”.
Regolamento UE n. 679/2016 in materia di protezione dei dati personali
Il regolamento è immediatamente esecutivo e quindi non richiederà la necessità di recepimento da parte degli Stati membri.
L’entrata in vigore di questo Regolamento permetterà che le stesse direttive siano contemporaneamente in vigore in tutti gli stati membri UE uniformandoli sotto un unico codice.
Il Regolamento introduce nuove tutele a favore degli interessati, e nuovi obblighi a carico dei Titolari.
In Italia sostituirà il Codice Privacy (Decreto legislativo 30 giugno 2003, n. 196 e s.m.i.) e le aziende avranno due anni di tempo per adeguarsi.
Il Regolamento Europeo avrà anzitutto gli obiettivi di garantire:
- una maggiore protezione dei dati, anche alla luce delle sempre nuove tecnologie digitali utilizzate per il loro trattamento e conservazione, allo stesso tempo semplificando alcune procedure, evitando una eccessiva burocratizzazione;
- una maggiore armonizzazione normativa a livello dell’intera UE, evitando palesi discrepanze nella gestione dei dati, le quali comportano attualmente un evidente danno e disorientamento per gli utenti.
Le aziende e le organizzazioni in genere, pubbliche e private, saranno chiamate a:
- formare e nominare il “Data Protection Officer – DPO” (ossia il “responsabile della protezione dati”): obbligatorio per le aziende private con trattamenti di dati particolari, nonché in tutte le pubbliche amministrazioni. Ulteriori informazioni sono disponibili sul sito del garante privacy (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4791784);
- eseguire il “data protection impact assessment“, ossia effettuare una valutazione complessiva dell’impatto-privacy all’interno dell’azienda o della pubblica amministrazione, che permetta di applicare idonee misure di sicurezza tecniche e organizzative, secondo le definizioni del nuovo Regolamento;
- tenere il registro delle attività di trattamento; riguarda le aziende con più di 250 dipendenti o quelle che trattano dati particolari, comprese quelle piccole che svolgono servizi in outsourcing quali responsabili del trattamento (ad es.: gli installatori di sistemi di videosorveglianza);
- notificare all’Autorità competente ed agli stessi utenti le violazioni dei dati personali (così detti “data breach”), avvenute al proprio interno (es. accessi abusivi, usi non consentiti, perdita di una “chiavetta”), entro un termine rapidissimo (72 ore dalla scoperta della violazione).
- applicare il principio generale denominato “privacy by design“, cioè la necessità di tenere in debito conto la privacy durante tutto il ciclo di vita dei dati, già dal momento della progettazione di un prodotto o servizio;
- consentire agli interessati il “diritto all’oblio“, ossia la possibilità di decidere quali informazioni possano continuare a circolare (in particolare nel mondo on-line) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge);
- consentire agli interessati il diritto alla “portabilità del dato” (ad es. nel caso in cui si intendesse trasferire i propri dati da un soggetto giuridico ad un altro, come nel cloud computing).
Inoltre:
- viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
- è notevolmente aumentato l’importo delle sanzioni, che potranno arrivare fino al 4% del fatturato annuale dell’impresa.
E’ importante ricordare, che in attesa della definitiva entrata in vigore del Regolamento Europeo (transizione di due anni dalla pubblicazione), rimangono in vigore i principali obblighi già vigenti e previsti dalla normativa italiana (D. Lgs. 196/03) per la corretta gestione dei dati personali all’interno dell’azienda che a titolo puramente esemplificativo e non esaustivo sono:
- redigere e rilasciare idonee Informative ai sensi dell’art. 13 del D. Lgs. 196/2003: informative ai dipendenti e collaboratori, anche in materia di controllo a distanza introdotto dal Jobs Act, informative ai clienti, fornitori, potenziali clienti, terzi in genere, candidati all’assunzione, nonché la privacy policy per utenti del sito web aziendale;
- raccogliere i consensi degli interessati, quando necessario;
- effettuare la formazione del personale;
- applicare le misure di sicurezza informatica agli apparati hardware e software;
- assolvere a quanto previsto dal Provvedimento sugli Amministratori di Sistema;
- designare gli incaricati autorizzati del trattamento dei dati personali;
- redigere il disciplinare interno per il corretto utilizzo di internet e posta elettronica da parte dei dipendenti/collaboratori (Provvedimento del Garante del 1° Marzo 2007, richiamato dal Jobs Act);
- gestire in base alle corrette procedure i documenti cartacei evidenzianti dati “particolari” (cioè “sensibili” secondo la normativa italiana, quali i certificati medici o le ritenute sindacali);
- assolvere alle prescrizioni in materia di videosorveglianza (Provvedimento del Garante dell’8 Aprile 2010);
- gestire la “Privacy Policy” del sito web per l’uso dei cookies, per l’invio delle newsletter e per i servizi interattivi;
- gestire i trattamenti affidati in outsourcing all’esterno dell’azienda, ecc.
