La prima legge italiana in materia di privacy entrò in vigore diciannove anni fa. Ora, con scadenza fissata al 25 maggio 2018, arriva il Regolamento europeo 2016/679. Che interessa sia le imprese (pubbliche e private) che trattano dati personali e che hanno uno stabilimento all’interno del territorio europeo, che le persone fisiche interessate al trattamento dei propri dati. Trattamento che può riguardare l’offerta di beni o la prestazione di servizi ai soggetti interessati, oppure il monitoraggio del loro comportamento.
Le novità introdotte dal Regolamento non sono molte, ma adeguarsi è importante per tutelare non solo i propri clienti e fornitori ma anche sé stessi.
LE NOVITA’
- Data Protection Officer (DPO). E’ una figura che si affianca ad altre figure già presenti nel nostro Codice Privacy, ossia il “titolare”, il “responsabile” e l’”incaricato” del trattamento dei dati. Il responsabile della protezione dei dati deve essere presente in tutte le aziende pubbliche, in quelle con più di 250 dipendenti ma anche in tutte quelle realtà dove il trattamento dei dati presenta rischi specifici (e il monitoraggio deve essere sistematico) o dove si trattano dati sensibili. Le piccole e medie imprese, sono esonerate dall’obbligo di nominare un responsabile del trattamento dei dati personali nella misura in cui il trattamento dati non sia la loro principale attività.
- Registro e valutazione. Ogni azienda titolare del trattamento dei dati, ha l’obbligo di tenere un “registro delle attività di trattamento” svolte sotto la propria responsabilità” e di procedere a una “valutazione di impatto sulla protezione dei dati”. Tale obbligo non vale per le piccole e medie imprese, a meno che la loro attività non sia direttamente collegata ad un “rischio specifico” dettato dal volume di dati trattati relativi a soggetti terzi, soprattutto in modalità elettronica.
- Diritto all’oblio. Gli interessati potranno ottenere la cancellazione dei propri dati personali, anche on line, da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento: se i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento.
- Diritto alla portabilità. I propri dati personali possono essere trasferiti da un titolare del trattamento ad un altro (l’interessato deve riceverli in un formato strutturato, di uso comune e leggibile da dispositivo automatico) senza alcun impedimento e, soprattutto, senza correre il pericolo di perderli. Questo diritto non vale per i dati contenuti in archivi di interesse pubblico, come lo sono le anagrafi.
- Il principio di accountability. I titolari del trattamento dei dati devono essere responsabilizzati. Quindi devono dimostrare di adottare approcci e politiche privacy adeguati e in conformità con il Regolamento. E misure che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
- Privacy by design: è il principio basilare del Regolamento con il quale si garantisce la protezione dei dati fin dal momento dell’ideazione e progettazione di un trattamento o di un sistema. La protezione discende dall’adozione di comportamenti adatti alla prevenzione dei possibili rischi.
- Privacy by default: è il principio con il quale si stabilisce che i dati vengano trattati solamente per finalità previste e per il periodo strettamente necessario a tali fini.
I RISCHI
Il Regolamento lascia alcuni spazi di manovra alle imprese, ma ciò non significa che non lo si debba rispettare o che se ne debbano eludere alcuni principi base. In tal caso, si correrebbero rischi anche particolarmente spiacevoli:
- Le multe. Quelle amministrative possono arrivare ad un massimo di 20 milioni di euro o fino al 4% del fatturato totale mondiale dell’impresa. È bene ricordare che in questo caso, ciascun Stato membro dell’Unione Europea è libero di adottare norme che regolamentino altre sanzioni.
- I provvedimenti inibitori. Nel caso in cui le imprese ad alto impatto privacy (trattamento di dati sensibili e critici in particolari settori come quello sanitario) non si adeguino al Regolamento (nomina del DPO o tenuta del registro interno), il Garante per la privacy può procedere con provvedimenti inibitori per far cessare la situazione lesiva. Da parte dell’azienda, ci dovrà essere immediatamente la volontà di adottare le parti del Regolamento commisurate al suo rischio privacy.
- Penale. Per chi viola volutamente il Regolamento europeo per perseguire interessi personali, c’è la prigione. Esempio: l’imprenditore che spia i propri dipendenti per aumentarne la produttività o la vendita dei dati dei propri clienti/fornitori a scopo di lucro. Qui il rischio è legato ad una “politica aziendale” che punta espressamente ad un business che mina la tutela della privacy (1. continua)