Viste le numerose richieste di chiarimento pervenute, anche se la materia non rientra tra le materie oggetto di incarico del nostro studio forniamo di seguito una sintesi del nuovo regolamento in materia di protezione dei dati personali noto come GDPR (acronimo inglese di “General Data Protection Regulation”).
Dal 25 maggio 2018 in tutti i Paesi dell’Unione Europea trova applicazione il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, emanato il 27 aprile 2016, relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, comunemente noto come GDPR (acronimo inglese di “General Data Protection Regulation”).
Trattamento sanzionatorio in caso di violazione delle norme
Le sanzioni variano a seconda del trasgressore (persona fisica o impresa) e possono arrivare fino ad un massimo di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo.
Tra le attività che le aziende dovevano già porre in essere entro il 25 maggio 2018, si segnalano in particolare:
– Registro delle Attività di Trattamento: tutti i Titolari ed i Responsabili del trattamento dovranno predisporre e conservare un registro delle operazioni di trattamento sotto la propria responsabilità. Il registro dovrà avere forma scritta o elettronica e dovrà essere esibito su richiesta al Garante1.
– Valutazione d’impatto sulla protezione dei dati personali (“Data Protecion Impact Analysis” o “DPIA”): il Regolamento Europeo prevede che, quando un determinato trattamento possa presentare un rischio elevato per i diritti e libertà delle persone fisiche, il Titolare debba anche effettuare preliminarmente una valutazione d’impatto di quel trattamento sulla protezione dei dati. Peraltro, questo genere di valutazione è sempre richiesta quando si è in presenza di:
- trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
- trattamenti automatizzati, ivi compresa la profilazione;
- trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.
– Responsabile della Protezione dei Dati – Data Protection Officer (“DPO”): Tale figura dovrà essere obbligatoriamente presente in tutte le aziende dove i trattamenti presentino specifici rischi2. Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente della società titolare o può essere anche affidato a soggetti esterni attraverso un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Sono tenuti alla nomina del DPO (secondo le FAQ del Garante della Privacy), a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
– Diritto all’oblio: il Titolare ha l’obbligo di dar corso alla richiesta dell’interessato di cancellazione dei suoi dati personali e che questi non siano più sottoposti a trattamento quando non siano più necessari per le finalità per le quali sono stati raccolti, così come quando abbia ritirato il consenso o si sia opposto al trattamento o il trattamento dei dati personali non sia altrimenti conforme al Regolamento Europeo.
– Diritto alla portabilità dei dati: il Titolare ha l’obbligo di dar corso alla richiesta dell’interessato di trasferire i dati personali da un Titolare del trattamento ad un altro da lui indicato, senza alcun impedimento da parte del Titolare al quale sono stati forniti in precedenza i dati.
– Garanzie per il trasferimento dei dati personali al di fuori dell’UE: il trasferimento di dati personali è vietato verso Paesi situati al di fuori dell’UE o verso organizzazioni internazionali che non rispondano agli standard di adeguatezza in materia di tutela dei dati, rispetto ai quali il Regolamento introduce criteri di valutazione più stringenti. I Titolari che vogliono trasferire i dati personali in un Paese extra-UE, potranno utilizzare specifiche garanzie contrattuali secondo norme dettagliate e vincolanti.
Tuttavia data la rigidità del quadro normativo di riferimento vi comunichiamo che l’adeguamento secondo quanto previsto dal regolamento GDPR non rientra tra le attività previste dal nostro Studio.
Indice dei contenuti
