Global menu

Our global pages

Close

Le principali novità e adempimenti introdotti dal nuovo regolamento europeo in materia di protezione dei dati personali

  • Italy
  • Privacy, data protection and cybersecurity - GDPR

18-07-2017

 

Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito brevemente “Regolamento”), che abroga la direttiva 95/46/CE, è già in vigore e diventerà direttamente applicabile in tutti i Paesi dell’Unione Europea dal 25 maggio 2018, data in cui le aziende dovranno aver predisposto ogni necessario adempimento per garantire la conformità dei propri processi aziendali alle nuove disposizioni.

Quali sono le principali novità?

Estensione dell’ambito territoriale

Il Regolamento oltre ad essere applicabile a tutti i titolari e responsabili stabiliti nel territorio dell’Unione Europea, prevede l’estensione della sua applicabilità anche a coloro i quali non siano stabiliti in detto territorio, nel caso in cui il trattamento riguardi: a) l’offerta di beni o la prestazione di servizi ad interessati nell’Unione Europea, oppure b) il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’Unione Europea.

Principio di “Accountability”

Principale e fondamentale novità del Regolamento è l’introduzione del c.d. principio di responsabilizzazione (Accountability), in virtù del quale il titolare del trattamento è tenuto ad mettere in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al Regolamento.
In buona sostanza, in forza di detto principio il titolare è tenuto a predisporre e implementare meccanismi e procedure di responsabilizzazione interna, mediante ricorso a idonei sistemi di gestione dei dati, anche attraverso l’elaborazione e adozione di specifici modelli organizzativi, analoghi a quelli utilizzati nella disciplina dettata dal D.lgs 231/2001.
Sarà dunque obbligo e onere di ciascun titolare - sulla base di specifiche analisi dei processi e valutazione dei rischi ad essi connessi - individuare le procedure e misure idonee da implementare affinché sia garantita la tutela e sicurezza dei dati e la compliance dei processi aziendali alle disposizioni dettate dal Regolamento.

Il “Responsabile della protezione dei dati” (“Data Protection Officer”)

Il Regolamento prevede che il titolare del trattamento e il responsabile del trattamento siano tenuti a designare un “Responsabile della protezione dei dati” (Data Protection Officer) - figura ulteriore e distinta dal “responsabile del trattamento” - ogniqualvolta: a) il trattamento sia effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Tale soggetto - al quale dovrà essere garantito di poter operare in piena autonomia e indipendenza e con budget di spesa adeguato – avrà sostanzialmente il compito di:

  • verificare la corretta applicazione della normativa sulla privacy e promuovere la cultura della protezione dei dati all’interno dell’azienda;
  • contribuire a dare attuazione a elementi essenziali del regolamento;
  • prestare consulenza al titolare in relazione alla conduzione della valutazione d’impatto sulla protezione dei dati (c.d. Privacy Impact Assessment);
  • verificare il corretto trattamento dei dati in conformità alla normativa sulla privacy sin dalla fase di progettazione dei processi ed applicativi (c.d. privacy by design);
  • controllare che detti processi e applicativi abbiano impostazioni privacy predefinite (c.d. privacy by default);
  • effettuare verifiche e controlli anche eventualmente attraverso attività di audit;
  • fungere da punto di contatto e collaborare con le Autorità, inclusa l’Autorità Garante per la Protezione dei Dati Personali;
  • fungere da punto di contatto per gli interessati, per tutte le questioni relative al trattamento dei loro dati personali, compreso l’esercizio dei loro diritti e la comunicazione in caso di violazione dei dati personali.


La “Valutazione d’impatto sulla protezione dei dati” (Privacy Impact Assessment)

Ogni qualvolta un trattamento, allorché preveda in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento sarà tenuto ad effettuare, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.
Tale valutazione d’impatto, oltre ad essere obbligatoria in caso di trattamento di dati sensibili o giudiziari, sarà dovuta anche nei casi di trattamenti automatizzati e nei casi di profilazione. Tale attività costituisce altresì adempimento propedeutico alla progettazione dei processi aziendali di trattamento dati personali e soprattutto alla progettazione di sistemi di gestione privacy conformi ai principi della privacy by design e by default.

La preventiva consultazione dell’Autorità per la Protezione dei Dati.

Il Regolamento prevede che nel caso in cui l’esito del Privacy Impact Assessment indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, il medesimo è tenuto a consultare l’Autorità competente.

La Privacy by design e by default

Il Regolamento introduce il principio secondo il quale la necessità di garantire il corretto e sicuro trattamento dei dati personali deve essere tenuta in considerazione sin dalla fase di progettazione dei processi e degli applicativi (privacy by design). Inoltre qualsiasi processo e applicativo deve essere progettato ed implementato in modo tale da avere impostazioni di default che rispettino la disciplina in tema di protezione di dati personali (privacy by default).

Nuovi diritti per gli interessati

Il Regolamento riconosce espressamente nuovi diritti degli interessati, quali il diritto all’oblio, il diritto alla portabilità, il diritto all’opposizione a processi decisionali automatizzati, il diritto alla limitazione del trattamento e ciò comporta la necessità per le aziende di predisporre ed implementare specifiche procedure per consentirne e garantirne l’effettivo esercizio.

Specifici requisiti per le nomine dei responsabili del trattamento

I trattamenti di dati effettuati per conto dei titolari da responsabili dovranno essere disciplinati da appositi contratti.
Inoltre a carico dei responsabili il Regolamento prevede specifici oneri e responsabilità dirette.

Rapporti tra contitolari del trattamento

Il Regolamento prevede che, allorché due o più titolari del trattamento determinino congiuntamente le finalità e i mezzi di trattamenti, essi siano tenuti a determinare in modo trasparente, mediante accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare riferimento all’esercizio dei diritti degli interessati e i rispettivi ruoli nel rendere agli interessati le informazioni dovute ai sensi del regolamento.

Registro delle attività di trattamento

Ogni titolare del trattamento e, ove applicabile, il suo rappresentante, saranno tenuti a predisporre e tenere aggiornato un registro delle attività svolte, contenente specifiche informazioni.

Nuove informative

Il Regolamento prevede che le informative da rendersi agli interessati contengano ulteriori informazioni quali, ad esempio, l’indicazione della base giuridica del trattamento, gli eventuali legittimi interessi perseguiti dal titolare o da terzi, l’eventuale intenzione del titolare di trasferire i dati personali verso un paese terzo e il riferimento alle garanzie attuate per effettuare detto trasferimento e i mezzi per ottenerne, l’indicazione del periodo di conservazione dei dati, il diritto di proporre reclamo all’autorità di controllo, l’esistenza di un eventuale processo decisionale automatizzato, compresa la profilazione ecc.  

Data breach reporting

Il Regolamento introduce l’obbligo di segnalazione di eventuali violazioni / perdite / accessi non autorizzati dei dati (c.d. “data breach”) e la necessità di adozione di maggiori misure di sicurezza sia per le imprese titolari del trattamento che per i soggetti che trattano detti dati quali loro Responsabili (Data Processor). Le imprese saranno dunque tenute a implementare procedure interne che consentano di comunicare all’Autorità per la protezione dei dati personali competente eventuali data breach entro il termine di 72 ore dalla loro scoperta, nonché procedure per avvisare senza ritardo anche gli interessati, qualora vi sia un elevato rischio di violazione dei loro diritti e libertà.

Inasprimento delle sanzioni

Il Regolamento prevede l’introduzione di sanzioni amministrative pecuniari fino a € 20.000.000,00 o per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Trasferimento di dati fuori dello Spazio Economico Europeo.

Il Regolamento mantiene il divieto generale di trasferimento dei dati verso paesi terzi che non siano stati ufficialmente riconosciuti come “adeguati” dall’Unione Europea e stabilisce le condizioni per legittimare detti trasferimenti.
Come avviene già oggi, in mancanza di un riconoscimento di adeguatezza da parte della Commissione Europea, i titolari potranno utilizzare per il trasferimento specifiche garanzie contrattuali, per le quali il Regolamento prevede norme dettagliate e vincolanti.
In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato, oppure qualora ricorrano particolari condizioni (ad esempio, quando il trasferimento è indispensabile per rispettare specifici obblighi contrattuali, per importanti motivi d’interesse pubblico, per esercitare o difendere un diritto in sede giudiziaria, ecc.).
Il trasferimento o la comunicazione di dati personali di un cittadino dell’UE ad autorità giudiziarie o amministrative di Paesi terzi potranno avvenire solo sulla base di accordi internazionali di mutua assistenza giudiziaria o attraverso strumenti analoghi.

“One-stop shop”

Fra le novità del Regolamento c’è il c.d. «sportello unico» (one-stop shop), che dovrebbe semplificare la gestione dei trattamenti e garantire un approccio uniforme.
Salvo casi specifici, le imprese stabilite in più Stati membri o che offrono prodotti e servizi in vari Paesi dell’Unione Europea, per risolvere possibili problematiche sull’applicazione e il rispetto del Regolamento potranno rivolgersi ad un solo interlocutore: cioè all’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.

Codici di condotta e certificazioni

Il Regolamento promuove il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea (nel caso dell’approvazione da parte della Commissione il codice di condotta avrà applicazione nell’intera Ue).
Il titolare potrà far certificare i propri trattamenti, in misura parziale o totale, anche ai fini di trasferimenti di dati in Paesi terzi. La certificazione potrà essere rilasciata da un soggetto abilitato oppure dall’Autorità di protezione dei dati. L’adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l’Autorità dovrà tenere conto, per esempio, nell’applicare eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare.

Cosa sono chiamate a fare le aziende?

In considerazione delle suddette rilevanti novità, al fine di poter essere pronte alla data del 25 maggio 2018, le aziende dovrebbero avviare, sin da ora, una verifica dei propri processi aziendali al fine di evidenziare, prendere coscienza e valutare quali siano esattamente le misure organizzative, tecniche e di sicurezza, necessarie per garantire il corretto trattamento dei dati in conformità alle nuove prescrizioni del Regolamento ed avere il tempo di progettarle, valutarne l’impatto economico, predisporle ed implementarle.






 

For more information contact

Massimo Maioletti, Senior Associate
Andrea Zincone, Partner

< Go back

Print FriendlyTwitterLinkedInEmailShare
Subscribe to e-briefings