News Letter Privacy
Privacy, pubblicato in Gazzetta il nuovo Regolamento UE 679/2016 sulla protezione dei dati personali Il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell'unione Europea il nuovo Regolamento sulla Protezione dei dati personali 679/2016 (di seguito anche "Regolamento"). Il Regolamento ha come obiettivo quello di: garantire una disciplina uniforme ed armonizzata tra tutti gli Stati membri; sensibilizzare e responsabilizzare maggiormente le imprese; semplificare gli adempimenti in materia di privacy. Le novità del Regolamento UE Il Regolamento presenta numerose novità rispetto all'attuale Codice della Privacy tra le quali si evidenziano di seguito: a) il "Diritto alla portabilità dei dati", secondo cui si prevede che l'interessato abbia il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano e che ha fornito a un titolare del trattamento avendo il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti; b)il "Data Breach" secondo cui si prevede in caso di violazione o perdita dei dati personali che il titolare del trattamento debba notificare il fatto al più presto, e comunque non oltre 72 ore, all'autorità di controllo competente e in taluni casi all'interessato. c) Il "Privacy impact assessment", strumento tramite il quale il titolare con il Data Privacy Officer effettua, prima di procedere al trattamento, una valutazione d'impatto sulla protezione dei dati, quando la gestione degli stessi possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche "Regolamento Privacy: una disciplina uniforme per tutti gli stati membri 2
Il Privacy Impact Assessment è richiesto in particolare nei seguenti casi: una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e da cui discendono decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche; il trattamento, su larga scala, di categorie particolari di dati quali quelli sensibili o giudiziari la sorveglianza sistematica di una zona accessibile al pubblico su larga scala Il Privacy Impact Assessment deve contenere: una descrizione sistematica dei trattamenti previsti e delle finalità degli stessi una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità una valutazione dei rischi per i diritti e le libertà degli interessati le misure previste per affrontare i rischi d) il "Principio di trasparenza": che consiste nell adozione di misure appropriate a fornire all interessato tutte le informazioni necessarie e le comunicazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro; 3
e) "Diritto all oblio", consiste nella possibilità per l interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento; f) "Principio di accountability": il titolare dove dimostrare l adozione di politiche e procedure e misure adeguate privacy in conformità al Regolamento; g) Principi della "privacy by design" e della "privacy by default", dal primo si tratta del principio della incorporazione della Privacy a partire dalla progettazione di un processo aziendale. Per quanto riguarda il secondo si tratta di porre in essere misure tecniche ed organizzative adeguate per garantire che siano trattati solo i dati personali per ogni specifica finalità del trattamento; h) la tenuta dei Registri delle attività di Trattamento svolte sotto la propria responsabilità da parte del Titolare e del responsabile dei trattamenti "un nuovo concetto di privacy: la Privacy by design e la privacy by default" 4
Il Responsabile della protezione dei dati, il Data Protection Officer Il Regolamento prevede un ulteriore novità di rilevo, la previsione della figura del Data Protection Officer (anche detto "DPO"). Tale figura deve essere obbligatoriamente istituita quando: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, campo di applicazione e/o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala, oppure: c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati come quelli sensibili o giudiziari. "il DPO: una figura con competenze giuridiche, di risk managment e analisi dei processi aziendali" 5
Caratteristiche e requisiti del DPO Il DPO è designato dal titolare del trattamento e dal responsabile del trattamento, in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti previsti dal Regolamento. Il Data protection officer può essere un dipendente del titolare del trattamento o del responsabile oppure svolgere i suoi compiti in base ad un contratto di servizi. Può inoltre svolgere tale compito a tempo pieno o part time, deve essere in grado esercitare le proprie funzioni e compiti in modo indipendente. Il DPO deve, in particolare, essere consultato anteriormente alla progettazione, approvvigionamento, sviluppo e messa a punto di sistemi per il trattamento automatizzato dei dati personali, al fine di garantire i principi della tutela della privacy by design e della tutela della privacy by default. Quindi il responsabile della protezione dei dati è una nuova figura professionale con compiti e responsabilità non particolarmente chiari, specialmente in riferimento ai rapporti con il responsabile del trattamento. E indubbio però che il responsabile della protezione dei dati sia una figura chiave nell ambito del trattamento automatizzato dei dati personali. 6
Sanzioni Le sanzioni previste dal regolamento UE in caso di violazione di norme, sono particolarmente pesanti. In particolare l art. 83 del Regolamento sancisce che la violazione di determinate disposizioni è soggetta a sanzioni pecuniarie fino a 20.000.000, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. "l'l Regolamento Europeo: introduce pesanti sanzioni amministrative e penali in caso di violazione delle prescizioni di legge " 7