A decorrere dal 25 maggio 2018, troverà applicazione il nuovo Regolamento Europeo, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ della libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
I titolari del trattamento dei dati sono chiamati quindi ad arrivare preparati all’ appuntamento, adottando per tempo le misure prescritte nel Regolamento.
Molte, infatti, sono le novità e le modiche che sono state introdotte rispetto all’attuale codice privacy, che troverà applicazione solo in merito alle disposizione che fanno riferimento alla Direttive 2002/58/CE, attinente al trattamento dei dati nel quadro della fornitura dei servizi di comunicazione elettronica.
Va rilevato che il citato Regolamento UE introduce una visione “privacy-centrica” nel modello aziendale, dove diventa essenziale per i titolari del trattamento dei dati, non solo l’implementazione di misure di sicurezza, ma anche quelle sulla privacy, stante l’incremento delle prescrizioni sanzionatorie.
Il nuovo Regolamento UE mira quindi ad indurre il Titolare del trattamento dei dati personali a rivedere i modelli di informativa privacy per ottenere il consenso al trattamento dei dati, tenuto altresì conto anche del rafforzamento del diritto di controllo e di accesso ai dati da parte dell’interessato.
Il Regolamento rafforza la responsabilità del Titolare del Trattamento, che e’ chiamato a mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento e’ effettuato a norma di legge. In particolare, viene disciplinato in dettaglio l’obbligo di tenuto del Registro dei Trattamenti.
Molte novità riguardano il Responsabile “esterno” del Trattamento dei dati, che dovra’ essere incaricato con uno specifico contratto o altro atto giuridico a norma del diritto UE, e dovra’ svolgere i compiti elencati nel Regolamento.
Non solo, i titolari del trattamento dei dati, quali gli organismi pubblici, societa’ le cui attività principali richiedono il “monitoraggio regolare e sistematico degli interessati su larga scala” (come possono essere le societa’ di servizi di comunicazione elettroniche), e le societa’ che trattano dati particolari (quali dati sensibili, dati genetici e biometrici, e dati ) e dati penali, saranno obbligati ad avere un Data Processor Officer (DPO) che dovra’ svolgere una funzione di garanzia per tutto cio’ che concerne le questione riguardanti la protezione dei dati personali. IL DPO puo’ essere un dipendente del Titolare del Trattamento o del Responsabile del Trattamento oppure assolvere i suoi compiti in base a un contratto di servizio.
Il Titolare del Trattamento dei dati dovra’ inoltre predisporre e/o rivedere le misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che comprendano la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità’ e l’accesso dei dati personali, in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento. Il livello di sicurezza va valutato anche tenendo conto dei rischi del trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso in modo accidentale, o illegale, a dati personali trasmessi, conservati o comunque trattati. L’uso di nuove tecnologie per il trattamento dei dati implica, inoltre, un obbligo del Titolare ad eseguire una valutazione di impatto dei trattamenti previsti, soprattutto se il trattamento concerne una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basati su trattamenti automatizzati, compresa la profilazione; il trattamento su larga scala di dati particolari e dati penali; e la sorveglianza su larga scala di una zona accessibile al pubblico.
Il Regolamento prevede inoltre un’estensione a tutti i titolari del trattamento dei dati - e non solo quindi agli operatori di servizi di comunicazione elettronica - l’obbligo di notifica al Garante in caso di violazione dei dati personali (data breach), e di documentazione di qualsiasi violazione dei dati, e l’obbligo di notifica all’interessato, se la violazione e’ suscettibile di presentare un rischio elevato per i diritti e le libera’ della persona fisica. Tale obbligo di comunicazione alla persona fisica viene a cadere se ad esempio il titolare ha predisposto le misure tecniche ed organizzative adeguate e tali misure sono state applicate ai dati personali oggetto della violazione.
In ogni modo, moltissime sono le novità introdotte dal Regolamento, e i titolari del trattamento devono quanto prima programmare interventi adeguati in termini di privacy aziendale.
Avv. Silvia Giampaolo
Archivio news