GDPR: nuovo Regolamento Europeo in materia di privacy e dati personali.

Quando si parla di GDPR (General Data Protection Regulation)  ci si riferisce al Regolamento UE 2016/679 in materia di dati personali, entrato in vigore il 24 maggio 2016 e operativo a partire dal 25 maggio 2018. A partire da questa data, 28 paesi (Italia inclusa) dovranno adeguarsi ad una serie di regole univoche, rivolte a tutti coloro che tratteranno i dati personali dei cittadini europei.

E’ importante, in primis, notare che trattandosi diRegolamento” e non di Direttiva”non potrà essere comunque modificato dagli stati membri.

“Legge Privacy” Dlgs 196/2003

L’attuale Legge Italiana Dlgs 196 del 2003, meglio nota come “Legge Privacy”, non andrà definitivamente in pensione, ed è già stata oggetto di una prima revisione

(Legge 163/2017 e legge 167/2017 in vigore dal 21 Dicembre 2017)

per “raccordarsi” al nuovo Regolamento Europeo.

I SOGGETTI DEL TRATTAMENTO NEL NUOVO GDPR

INTERESSATO al Trattamento: la persona fisica oggetto del trattamento dati.

TITOLARE del Trattamento: la persona fisica o giuridica (azienda/ente) titolare del trattamento.

RESPONSABILE del Trattamento: la persona fisica o giuridica  responsabile di un determinato trattamento. Può essere anche esterno mediante nomina (es. dati in Hosting, provider di posta, servizio paghe..) o interno (es. resp. reparto/processo interno o lo stesso Titolare del Trattamento)

DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati) o Privacy Officer: è la nuova figura introdotta nel 2016 dal GDPR. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

IL PRINCIPIO DI RESPONSABILITÀ NEL GDPR

Il GDPR enfatizza i concetti di “Responsabilizzazione”  e di “Misure Adeguate” sottolinenado come il Titolare del Trattamento debba garantire, ed essere sempre in grado di dimostrare, di rispettare i princìpi del Regolamento, nonché di aver messo in atto tutte le misure ritenute idonee dal Titolare stesso.

Anche se nel GDPR non si fa riferimento al concetto di “Misure Minime”, presente nel D.lgs 196/2003, si può comunque prevedere un insieme minimo di azioni per soddisfare le esigenze di “Responsabilizzazione”:

  • Assessment: analisi e valutazione iniziale, sia dal punto di vista legale che informatico
  • Registro dei Trattamenti: non obbligatorio fino a 250 dipendenti ma comunque consigliato
  • Funzionigramma privacy: atto a definire Ruoli e Compiti
  • Risk Assessment: valutazione del rischio inerente i dati da trattare
  • Privacy Impact Assessment: distinte valutazioni sull’impatto privacy relative a particolari processi, servizi, prodotti, sistemi che il Titolare può adottare, installare o fornire (ad es: installazione di impianti di videosorveglianza o di gps; organizzazione di campagne marketing; ecc.)
  • Gestione: mediante audit periodici di controllo

LE SANZIONI PREVISTE

Le sanzioni previste dal Regolamento Europeo 2016/679 sono particolarmente gravose:

  • Fino a 20 Milioni di €uro
  • Fino al 4% del fatturato annuo

A queste si devono poi aggiungere le possibili implicazioni penali previste dalla legislazione del paese in caso di violazione grave, a cui sarebbero soggetti sia il Titolare (legale rappresentate) che il Responsabile del Trattamento se separati.