ultimo aggiornamento:
Login

Privacy: Nuovo Regolamento europeo 679/2016

Pubblicato il: 20 Novembre 2017

Circolare n. 50/2017 – CO 12/2017

L’applicazione piena del Regolamento Privacy è prevista per il 25 maggio 2018.

Image

Il Regolamento UE n. 679/2016, pubblicato sulla Gazzetta Ufficiale Europea L 119, il 4 maggio 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abroga la direttiva 95/46/CE e, nei prossimi mesi, sostituirà il Codice sulla Privacy (D.lgs. 196 del  2003).

Il Regolamento europeo è entrato in vigore il 25 maggio 2016 ma si applicherà in tutti gli Stati Membri a partire dal  25 maggio 2018, termine ultimo in cui dovrà essere garantito il perfetto allineamento con le nuove disposizioni comunitarie.

Si evidenzia, pertanto, che fino a quella data resta in vigore il  Codice sulla Privacy (D.lgs 196/2003) e che le violazioni agli obblighi sul trattamento dei dati ivi previsti continueranno ad essere sanzionati dal Garante secondo gli articoli del Codice.

Già da tempo sono in corso approfondimenti, sia a livello nazionale che europeo, per fornire documenti interpretativi e linee guida d’ausilio per consentire un graduale processo di adeguamento alle nuove norme, non prive di punti critici.

Una delle novità del Regolamento 679/2016 risiede, infatti, nella circostanza che le Autorità di controllo nazionali (il nostro Garante) devono cooperare tra loro e con la Commissione (art. 51).

Questo principio ha come naturale conseguenza che su molte nuove disposizioni gli indirizzi, dovendo essere uniformi nell’Unione, non verranno elaborati dalle Autorità nazionali ma da altri soggetti e poi da queste recepiti. Uno di questi soggetti, previsto dall’art. 29 della direttiva 95/46/CE, è il cd Gruppo di lavoro art. 29 (in inglese Article 29 Data Protection Working PartyWP29), il quale ha carattere consultivo ed è costituito da un rappresentante di ogni Autorità nazionale di controllo oltre che da un rappresentante della Commissione.

Per seguire l’evoluzione delle indicazioni applicative del Regolamento, sul sito del Garante per la protezione dei dati  personali è stata realizzata una pagina specifica (http://www.garanteprivacy.it/regolamentoue) dove sono disponibili i documenti emessi dal Garante, nonché linee guida predisposte dal Gruppo di lavoro  ART. 29 (WP 29) su alcuni aspetti del Regolamento, alcune ancora in fase di consultazione.

In particolare, si segnala la Guida interattiva (potrebbe essere oggetto di successive modifiche e integrazioni) che illustra le principali novità del nuovo Regolamento europeo e, attraverso delle raccomandazioni, suggerisce alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del Regolamento che non lasciano spazi a interventi del legislatore nazionale, come invece avviene per altre norme del Regolamento stesso.

Premesso quanto sopra, si illustrano sinteticamente alcune delle principali novità introdotte dal Regolamento 679/2016 (rispetto alla normativa vigente).

  • Valutazione di impatto (Data Protection Impact Assessment o DPIA)

L’art.35 del Regolamento introduce la valutazione d’impatto sulla protezione dei dati (DPIA) che deve essere effettuata dal titolare prima del trattamento per valutare la particolare gravità e la probabilità del rischio. Questa va condotta solo se il comportamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche. Sul punto si precisa  che anche se non ricorrono le condizioni che obbligano il titolare ad effettuare la DPIA, l’approccio basato sul rischio previsto dal regolamento, obbliga i titolari del trattamento a mettere in atto misure volte a gestire i rischi per i diritti e le libertà dell’interessato. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del Regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza. L’articolo 35, par. 3, enumera tre casi in cui è richiesta la DPIA:

  1. valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. trattamento, su larga scala, di categorie particolari di dati (ex dati sensibili);
  3. sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Questo elenco non è esaustivo.

Le linee-guida del WP29 (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7015994) offrono alcuni chiarimenti sulla DPIA, enumerando ad esempio  i criteri per individuare i trattamenti che richiedono una valutazione d’impatto.

  • Responsabilizzazione

Il Regolamento prevede il principio di accountability che promuove una maggiore responsabilizzazione dei titolari e responsabili del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Il titolare mette in atto misure tecniche ed organizzative adeguate per essere in grado di dimostrare che il trattamento dei dati è conforme al Regolamento. A tal proposito il Regolamento prevede il principio di  «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.

  • Registro dei trattamenti

Per una corretta gestione dei dati personali, i titolari ed i responsabili devono tenere un Registro per le attività di trattamento i cui contenuti sono indicati all’art. 30 del Regolamento. Sono esclusi dall’adempimento le imprese o le organizzazioni con meno di 250 dipendenti, salvo i casi in cui i trattamenti che essi effettuano possano presentare un rischio per i diritti e le libertà dell’interessato, ovvero il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili) o, ancora, i dati personali siano relativi a condanne penali.
L’Autorità, che ha indicato il Registro come strumento preferito e consigliato a tutti i titolari, sta valutando di mettere a disposizione un modello di Registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni.

  • Misure di sicurezza adeguate

Il titolare del trattamento ed il responsabile del trattamento devono mettere in atto misure tecniche e organizzative  adeguate  per garantire un adeguato livello di sicurezza (art. 32). È bene notare che il Regolamento non prevede un elenco di misure minime di sicurezza bensì contiene un’esemplificazione delle misure adeguate da adottare a seconda dei risultati dell’analisi dei rischi, attività che dovranno essere integrate in funzione della valutazione d’impatto. Per tale motivo il Garante ritiene che dopo il 25 maggio 2018 non potranno sussistere obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati, come previsto dall’art. 32 del Regolamento. 

  • Notifica delle violazioni di dati personali (Data Breach Notification)

In caso di violazione dei dati personali il Regolamento (artt. 33-34) prescrive l’obbligo, per tutti i titolari, di notificare all’Autorità di controllo, entro 72 ore e comunque “senza ingiustificato ritardo”, le violazioni di dati personali di cui vengano a conoscenza. Le linee guida del Garante precisano che l’obbligo scatta solo nel caso in cui il titolare ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all’Autorità è subordinata alla preventiva valutazione del rischio che spetta al titolare. Il Comitato europeo della protezione dati è chiamato a formulare linee-guida specifiche, alle quali il Gruppo WP29 sta già lavorando.

  • Responsabile della protezione dei dati (Data Protection Officer o DPO)

Viene inoltre introdotta, con l’art. 37 del Regolamento, la figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO), incaricato, tra le altre competenze, di assicurare una gestione corretta dei dati personali nelle imprese, fornire, se richiesto, un parere in merito alla DPIA e sorvegliare l’osservanza del Regolamento stesso. La sua nomina incombe tanto sul titolare che sul responsabile, ed è obbligatoria qualora le attività principali di tali soggetti consistano in trattamenti che,  per loro natura, ambito di applicazione/o finalità richiedono il monitoraggio regolare e sistematico degli interessi su larga scala o nel trattamento, sempre su larga scala, di categorie particolari di dati personali, quali dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

La normativa prevede che il ruolo potrà essere affidato tanto a dipendenti del titolare che a soggetti terzi, ma in entrambi i casi tale figura deve possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, disporre di risorse umane e finanziarie e godere di indipendenza non potendo ricevere istruzioni per l’adempimento delle proprie funzioni dal soggetto che deve controllare.

Si evidenzia che la nomina del DPO rappresenta un impegno gravoso per le imprese ed è potenzialmente rivolto a tutte, poiché non agganciato alla dimensione dell’impresa. L’eventuale nomina non è un compito facile a causa dei molteplici profili che devono essere considerati nella scelta.

Il WP29 ha fornito alcune indicazioni, reperibili alla pagina http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5930287, per cercare di individuare con maggior sicurezza i soggetti potenzialmente incisi dall’obbligo di nomina del DPO. Il particolare, il WP29 raccomanda, nel caso in cui il titolare e/o il responsabile non siano sicuri di ricadere nell’obbligo di nomina del DPO, di documentare l’analisi interna condotta per determinare se il DPO debba essere nominato o meno al fine di poter dimostrare, in caso di contestazione, che i fattori rilevanti sono stati correttamente considerati. Inoltre, il WP29 non esclude che, nel tempo, si possa sviluppare una pratica standard che possa specificare in termini quantitativi oggettivi cosa costituisce larga scala con riferimento alle attività di trattamento più comuni e preannuncia il suo contributo allo sviluppo di queste pratiche condividendo e pubblicizzando esempi di soglie rilevanti per la designazione del DPO. A tal proposito si ritiene utile precisare che  il Garante, nel suo comunicato congiunto  con ACCREDIA del 18 luglio scorso, ha  precisato che: “al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi conformi agli artt. 42 e 43 del regolamento 2016/679″, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione”.

  • Sistema sanzionatorio

Il nuovo Regolamento prevede un inasprimento del sistema sanzionatorio, con multe che possono arrivare nel massimo all’importo maggiore tra il 4% del fatturato mondiale di gruppo e 20 milioni di euro. Il Regolamento individua pertanto solo i limiti massimi delle sanzioni, per conoscere il sistema sanzionatorio nazionale dovremmo attendere l’emanazione di decreti volti a disciplinare il sistema sanzionatorio penale e amministrativo per la violazione del regolamento comunitario (art. 13 della legge di delegazione europea 2016-2017).

In considerazione dell’evoluzione e della complessità del quadro normativo, si fa riserva di fornire ulteriori e più dettagliati elementi di analisi della nuova normativa in materia di privacy.

Share:
Image
Bilancio di previsione dello Stato per l'anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020 (Disegno di legge n. A.S. 2960) – Disposizioni fiscali
Image
Documento unico di circolazione e di proprietà del veicolo: disciplinate le modalità di annotazione dei dati
Top
Federauto
Panoramica privacy

Questo sito Web utilizza i cookie per consentirci di offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito web e aiutando il nostro team a capire quali sezioni del sito web trovi più interessanti e utili.

È possibile regolare tutte le impostazioni dei cookie navigando nelle schede sul lato sinistro.