Dal 25 maggio 2018 è entrato in vigore il regolamento europeo 2016/679 in materia di privacy, conosciuto con l’acronimo GDPR (General data protection regulation), relativo alla protezione dei dati personali.
Regolamento GDPR
Il regolamento GDPR 2018 è volto a tutelare sia la protezione dei dati sia la loro circolazione. Per “dato personale” si intende ogni “informazione riguardante una persona fisica identificata o identificabile (“interessato”)”.
È “identificabile” la persona fisica che può essere identificata, direttamente o indirettamente attraverso un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online oppure uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Soggetti interessati
Sono tenuti ad osservare la normativa sulla privacy le aziende, gli enti pubblici, e gli individui che devono accedere, trattare, conservare, gestire, o trasferire dati personali di cittadini UE e che pertanto devono applicare le norme contenute nel regolamento GDPR.
Informativa e consenso
I dati non possono essere raccolti per ogni iniziativa, ma possono essere raccolti e utilizzati solo per degli scopi specifici ed esplicitati nel consenso, il quale necessita di un’informativa (scritta o orale), resa dal titolare del trattamento dei dati personali, semplice e facilmente comprensibile. Ciò al fine di consentire all’interessato di avere un quadro complessivo delle finalità e modalità di utilizzo degli stessi, di prestare il consenso avendo a disposizione tutte le informazioni necessarie, di poter esercitare i propri diritti in relazione al titolare di riferimento.
Gli adempimenti del GDPR
Le figure chiave, relativamente ai dati personali e al regolamento GDPR, sono:
- il titolare;
- il responsabile dei dati personali (figura facoltativa), da designare attraverso un contratto (o altro atto giuridico conforme al diritto nazionale), il quale regoli la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati e gli obblighi e i diritti del titolare del trattamento;
- il sub-responsabile, che può essere nominato dal responsabile previa autorizzazione scritta del titolare;
- l’incaricato che è la persona autorizzata al trattamento dei dati personali;
- il Dpo (Data Protection Officer o Rpd), che è responsabile della protezione dei dati per i soggetti privati da parte del titolare del trattamento.
Principio di accountability
Il titolare e il responsabile (inclusa la filiera di appaltatori e subappaltatori che utilizza i dati personali per suo conto) sono vincolati al principio di “Accountability”, vale a dire la responsabilizzazione (dinanzi al Garante e al giudice ordinario) all’adozione di comportamenti proattivi volti a:
- valutare l’impatto del rischio di perdite di dati, di accesso abusivo;
- predisporre un registro dei trattamenti;
- prevenire le violazioni dei dati personali;
- nominare il responsabile del trattamento (RDP);
- dimostrare l’idoneità delle misure di sicurezza adottate.
Diritto all’oblio
Il regolamento introduce nuovi diritti quali il diritto all’oblio, alla limitazione e alla portabilità del trattamento.
Il diritto all’oblio consiste nel diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano (e il titolare del trattamento ha l’obbligo di cancellare, senza ingiustificato ritardo, detti dati), laddove sussistano specifici motivi
Sanzioni
Per le violazioni sono previste sanzioni pecuniarie, oltre all’obbligo di risarcimento:
- per le violazioni più lievi: l’importo più alto tra 10 milioni di euro e il 2% del fatturato mondiale di gruppo dell’esercizio precedente;
- per le violazioni più gravi: l’importo più alto tra 20 milioni di euro e il 4% del fatturato mondiale di gruppo dell’esercizio precedente.