Cosa cambia con il nuovo regolamento europeo sulla protezione dei dati personali
Il 25 maggio 2018, in tutti gli Stati dell’Unione Europea, sarà introdotto il nuovo Regolamento europeo sulla privacy che porterà un’innovazione significativa non solo a livello europeo ma globale. A partire da tale data qualsiasi organizzazione che gestisca informazioni personali dei cittadini residenti nell’UE dovrà adattarsi alla nuova normativa in materia di trattamento dei dati personali, sicurezza delle informazioni, processi di conformità e relazioni contrattuali.
La nuova norma, infatti, riguarda tutti coloro che conservano dati personali. Ciò include dipendenti, volontari, utenti di servizi, membri, sostenitori e donatori.
COSA CAMBIA
Consenso:
- per i dati “sensibili” (“origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici e biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” articolo 9 del Regolamento) il consenso deve essere “esplicito”
- lo stesso vale per i trattamenti automatizzati (compresa la profilazione – articolo 22).
Non deve essere necessariamente “documentato per iscritto”. Anche se la forma scritta certifica in maniera inequivocabile il consenso dell’interessato e per il titolare del trattamento dei dati personali che può in questo modo dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Informativa
- Contenuti dell’informativa: sono elencati negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento. Il titolare deve sempre specificare i dati di contatto del RPD-DPO – Responsabile della protezione dei dati (in inglese Data Protection Officer), se c’è, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti. Il regolamento prevede anche ulteriori informazioni “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
- Tempi dell’informativa: se i dati personali non sono raccolti direttamente dall’interessato (art. 14 del regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).
- Modalità dell’informativa: l’informativa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (si veda anche considerando 58). Deve essere somministrata per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online), anche se sono ammessi “altri mezzi” nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Il regolamento ammette, soprattutto, l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, paragrafo 7); queste icone dovranno essere identiche in tutta l’Ue e saranno definite prossimamente dalla Commissione europea.
Sono inoltre parzialmente diversi i requisiti che il regolamento fissa per l’esonero dall’informativa (si veda art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto dall’articolo 23, paragrafo 1, di quest’ultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato (si veda art. 14, paragrafo 5, lettera b). È opportuno, quindi, che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento.
Registro dei trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’ente indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.
Misure di sicurezza
Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1).
Il Garante della Privacy per facilitare il passaggio alla nuova normativa ha pubblicato la Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali
(Fonte: Garante della Privacy)