Dal 25 maggio 2018 sarà applicata la nuova disciplina in materia di privacy

Approvata in esame preliminare dal Consiglio dei Ministri il 21 marzo la bozza del decreto legislativo che introduce disposizioni per l’adeguamento della normativa nazionale al Regolamento europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla circolazione di tali dati.

Dal 25 maggio 2018 sarà abrogato il vigente Codice in materia di protezione dei dati personali e sarà applicata la nuova disciplina al fine di armonizzare l’ordinamento interno al quadro normativo dell’Unione Europea in tema di privacy.

Cosa cambia?

Fondamenti di liceità del trattamento

Basandoci sul Regolamento europeo in materia di protezione dei dati personali, si afferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti dal codice della Privacy.

Per i dati sensibili (art. 9 del regolamento) il consenso deve essere esplicito, non deve essere necessariamente documentato per iscritto e non è richiesta la forma scritta, anche se questa è la modalità idonea a configurare l’inequivocabilità del consenso e il suo essere esplicito per i dati sensibili. Il titolare, inoltre, deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.

Occorre sottolineare che il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati, secondo quanto riporta il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

In particolare, è necessario verificare che il consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato. La formula per chiedere il consenso deve essere comprensibile, semplice, chiara. I soggetti pubblici non devono chiedere il consenso per il trattamento dei dati personali.

Interesse legittimo prevalente di un titolare o di un terzo

Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’autorità ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal nuovo pacchetto protezione dati.

Informativa

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13 e 14 del regolamento e in parte più ampia rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del Responsabile della Protezione Dati – Data Protection Officer, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti.

Il regolamento prevede anche ulteriori informazioni in quanto necessarie per garantire un trattamento corretto e trasparente, in particolare il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione e il diritto di presentare un reclamo all’autorità di controllo.

Se il trattamento comporta processi decisionali automatizzati, l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Diritto degli interessati

Le modalità per l’esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli articoli 11 e 12 del regolamento. Il termine per la risposta all’interessato è un mese, estendibile fino a tre mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro un mese dalla richiesta, anche in caso di diniego.

Spetta al titolare valutare la complessità del riscontro dell’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive ovvero se sono richieste più ‘copie’ dei dati personali nel caso del diritto di accesso; in quest’ultimo caso il titolare deve tener conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso.

La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche conscia, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

Titolare, responsabile, incaricato del trattamento

Il regolamento disciplina la contitolarità del trattamento e impone ai titolari di definire specificamente il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.

Il regolamento fissa, inoltre, più dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi di un contratto o altro atto giuridico conforme al diritto nazionale e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art 28 al fine di dimostrare che il responsabile fornisce garanzie sufficienti.

Si prevedono, inoltre, obblighi specifici in capo ai responsabili del trattamento, l’adozione di misure tecniche e organizzative per garantire la sicurezza dei trattamenti e la designazione di un RPD-DPO (Responsabile dati).

Approccio basato sul rischio e misure di accountability di titolari e responsabili

Il regolamento pone con forza l’accento sulla “responsabilizzazione” di titolari e responsabili ossia sull’adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Si tratta di una grande novità per la protezione dai dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative alla luce di alcuni criteri specifici indicati nel regolamento.

Trasferimenti di dati verso Paesi terzi e organismi internazionali

Viene meno in primo luogo il requisito dell’autorizzazione nazionale. Il regolamento, inoltre, consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le “garanzie adeguate” previste dall’art. 46. Ciò significa che i titolari o i responsabili del trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l’adesione al codice di condotta o allo schema di certificazione, ove questi disciplinano anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti. Tuttavia tali titolari dovranno assumere un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati.

Fonte:  Garante per la Protezione dei Dati Personali (Regolamento europeo in materia di protezione dei dati personali)

L’Agenzia di Sviluppo che ti aiuta a sviluppare il tuo business cogliendo tutte le migliori opportunità che si presentano nei mercati, nelle tecnologie, nelle agevolazioni? Adesso c’è e si chiama MENDELSOHN.