Privacy Regolamento europeo
Con l’entrata in vigore del nuovo Regolamento Europeo n. 2016/679, relativo al trattamento dei dati personali, è iniziato il conto alla rovescia per professionisti e imprese, chiamati ora ad allinearsi alla nuova normativa per essere pronti ad applicarla entro il 25 maggio 2018.
La nuova Informativa Privacy
Tra le novità introdotte dal Regolamento sono previsti obblighi di informativa ancor più stringenti a carico di chi tratta i dati, essendo previste molte informazioni in più, rispetto ad oggi, da fornire agli interessati.
La nuova informativa dovrà essere fornita senza costi, in modo conciso, trasparente e comprensibile, e dovrà inoltre contenere le seguenti informazioni:
1.- identità e dati di contatto del Titolare (i.e. colui che tratta i dati) e, ove presente, del suo rappresentante;
2.- dati di contatto della nuova figura del DPO Data Protection Officer (i.e. Responsabile della Protezione dei dati, che, ove presente, dovrà essere obbligatoriamente designato dalle amministrazioni e dagli enti pubblici, nonché dalle società la cui attività principale consiste in trattamenti che richiedono il controllo regolare e sistematico degli interessati, o nel trattamento, su larga scala, di dati sensibili, o relativi alla salute o alla vita sessuale, oppure genetici, giudiziali e biometrici. Si tratta di un soggetto che sia dotato di specifici requisiti e competenze in materia di protezione dei dati personali, che gli consentano di verificare l’attuazione e l’applicazione della normativa, di consigliare il Titolare e i suoi dipendenti in merito agli obblighi derivanti dal Regolamento, di fornire pareri e di controllare il corretto adempimento degli obblighi previsti dalla legge)
3.- finalità e base giuridica del trattamento, intesa come fonte e giustificazione del trattamento;
4.- legittimi interessi perseguiti dal Titolare o da terzi per i quali è effettuato il trattamento;
5.- eventuali destinatari o categorie di destinatari dei dati personali;
6.- intenzione del Titolare di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di adeguate e opportune garanzie di sicurezza;
7.- periodo di conservazione o, se non è possibile definirlo, i criteri utilizzati per determinare tale periodo;
8.- diritti dell’interessato di:
– accedere ai propri dati
– chiederne la rettifica, la cancellazione, la limitazione del trattamento o opporsi allo stesso
– averne copia
– revocare il consenso prestato al trattamento in qualsiasi momento e
– proporre reclamo al Garante della Privacy;
9.- eventuale esistenza di un processo decisionale automatizzato scaturente dal trattamento dei dati, compresa la profilazione, sottolineandone l’importanza e le conseguenze per l’interessato.
Privacy Regolamento europeo: obblighi in caso di violazione
Tra le novità significative del Regolamento, merita di essere segnalato, in particolare, l’obbligo di notifica al Garante in caso di c.d. “data breach”, laddove cioè i dati personali siano stati oggetto di violazione o il loro trattamento non sia stato conforme alle prescrizioni regolamentari.
In tale ipotesi il Titolare ha 72 ore di tempo – dal momento in cui sia venuto a conoscenza della violazione – per notificare all’Autorità Garante per la Privacy l’avvenuta infrazione.
La notifica dovrà almeno:
a) descrivere la natura della violazione dei dati personali, comprese, ove possibile, le categorie e il numero approssimativo degli interessati, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del Responsabile della Protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali, in termini di lesione all’integrità, riservatezza e uso lecito;
d) descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali, anche per attenuarne i possibili effetti negativi.
Infine, se la violazione dei dati personali fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento ha l’obbligo di comunicare la violazione dei dati anche all’interessato, descrivendo con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contenendo almeno le informazioni e le misure di cui alle precedenti lettere b), c), d).
Privacy Regolamento europeo: le nuove sanzioni
Il nuovo Regolamento conferma il diritto dell’interessato a ottenere il risarcimento dei “danni da trattamento”, per il pregiudizio patrimoniale e non sofferto da trattamenti avvenuti in violazione della normativa, esponendo così simmetricamente i Titolari del trattamento al risarcimento di danni anche consistenti.
Tanto più in considerazione del fatto che, oltre a tali risarcimenti, il Regolamento prevede anche sanzioni pecuniarie di ammontare molto elevato, di volta in volta stabilito dalle Autorità di Controllo in base alla gravità dell’infrazione rilevata e comunque in misura tale da risultare efficaci, tenuto conto delle caratteristiche soprattutto dimensionali ed economiche del Titolare del trattamento.
Il tutto con l’evidente finalità di disincentivare trattamenti non conformi alla nuova disciplina.
Va precisato che il Titolare potrà essere esonerato dal pagamento delle sanzioni, dimostrando che l’evento dannoso non gli è in alcun modo imputabile.
In tale ottica diventa ancor più cruciale dotarsi di policies e strumenti in materia di Privacy tali da assicurare, anche sotto il profilo difensivo e probatorio, trattamenti in linea con il nuovo Regolamento.