Privacy, regole Ue in vigore tra due anni ma le aziende si muovano subito

A maggio 2018 diverrà pienamente applicabile il nuovo regolamento sulla protezione dei dati. Ma le imprese devono immediatamente mettere a punto piani di adeguamento. L’analisi di Gabriele Faggioli

Pubblicato il 12 Lug 2016

privacy02-160121111048

Come noto, lo scorso 24 maggio 2016, il Regolamento Europeo per la protezione dei dati personali (Regolamento UE 2016/679) è entrato formalmente in vigore e diverrà pienamente applicabile a decorrere dal 25 maggio 2018, secondo quanto previsto dall’art. 99 delle disposizioni finali del medesimo.

In particolare, il Regolamento approvato va ad abrogare integralmente la Direttiva 95/46/CE, rimasta in vigore per oltre venti anni, e dunque anche tutte le leggi nazionali di recepimento, tra cui il d.lgs. 196/2003 (Codice Privacy). Ciò d’altro canto non vale per gli accordi internazionali relativi al trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali, conclusi prima dell’entrata in vigore del Regolamento, in quanto essi resteranno in vigore fino alla loro sostituzione, revoca o modifica. Inoltre, rispetto ai trattamenti ancora in corso, non è necessario che l’interessato presti nuovamente il proprio consenso.

Nonostante le organizzazioni abbiano a disposizione circa due anni prima della piena applicabilità del Regolamento, è opportuno sottolineare che alcune delle novità introdotte, di seguito brevemente delineate, impongono una attenta e preventiva pianificazione, potendo comportare modifiche organizzative significative e, in alcuni casi, investimenti di natura tecnologica. Tali interventi presuppongono quindi attività di valutazione ed analisi per le quali è più che opportuno sfruttare il tempo a disposizione per non farsi trovare impreparati.

Senza pretese di esaustività all’interno di questo contributo, numerosi sono gli elementi di novità introdotti dal Regolamento.

In primis, per quanto attiene ai diritti dell’interessato, sono previste espressamente una serie di ipotesi nelle quali è possibile esercitare il “diritto all’oblio”, ovvero il diritto ad ottenere la cancellazione dei propri dati personali. Ciò potrà avvenire, ad esempio, qualora venga ritirato il consenso prestato in precedenza, o ancora nel caso in cui i dati non siano più necessari in relazione alle finalità per le quali la raccolta o il trattamento sono stati effettuati. Di nuova introduzione risulta altresì il diritto alla portabilità dei dati, che consente all’interessato di ricevere i dati precedentemente forniti ad un titolare del trattamento, oltre che di richiedere che gli stessi vengano trasmessi ad un altro titolare.

Vengono istituiti i registri delle attività di trattamento: essi contengono una serie di informazioni, tra cui le finalità per le quali il trattamento è stato effettuato, le categorie di dati personali e di soggetti interessati, le misure di sicurezza tecniche ed organizzative che sono state adottate. Tali registri sono tenuti dal Titolare e dal Responsabile, in relazione alle operazioni di trattamento effettuate sotto la propria responsabilità.

Con le nuove norme si passerà poi da un’attività di valutazione dei rischi ex post ad una ex ante. Infatti, fin dalla progettazione delle attività di trattamento dovranno essere valutate le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, anche adottando specifiche misure, quali la minimizzazione e la pseudonimizzazione, che garantiscano la protezione dei dati personali (c.d. “Privacy by design”). Le impostazioni predefinite dovranno poi garantire il più possibile il rispetto della privacy, ad esempio prevedendo la non accessibilità ad un numero indefinito di utenti (c.d. “Privacy by default”).

L’obbligo di comunicare al Garante Privacy eventuali violazioni di dati personali (c.d. data breach), già previsto per alcuni soggetti quali società telefoniche, Internet service providers, amministrazioni pubbliche, oltre che nell’ambito delle Linee Guida in materia di dossier sanitario, diviene un obbligo di carattere generale. In particolare, il titolare del trattamento deve fornire una serie di informazioni quali, ad esempio, la natura della violazione, i soggetti coinvolti, le misure adottate per porvi rimedio. Nel caso in cui vi sia un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento è altresì tenuto a comunicare la suddetta violazione all’interessato.

Un ulteriore obbligo viene introdotto dal Regolamento in capo al Titolare: quest’ultimo, infatti, a fronte di trattamenti che presentino rischi elevati, deve effettuare una valutazione dell’impatto del trattamento sulla protezione dei dati. È necessario, in sostanza, verificare in via preliminare a quali conseguenze un processo andrebbe incontro nel caso in cui venissero violate le misure di protezione dei dati. Qualora all’esito di tale valutazione il titolare ritenga che sussiste un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, dovrà consultare il Garante Privacy.

Viene meno, inoltre, il concetto di misure minime di sicurezza, attualmente previsto dalla nostra legislazione. Infatti, nel Regolamento si fa riferimento esclusivamente a qualunque tipo di misura che possa garantire un adeguato livello di sicurezza, tenendo conto dei costi di attuazione, della natura, del campo di applicazione, del contesto, delle finalità del trattamento, oltre che dei rischi esistenti nel caso concreto.

Da ultimo, occorre ricordare che la nuova disciplina prevede l’obbligatorietà della figura del Data Protection Officer con riferimento agli enti pubblici e alle aziende che trattino particolari categorie di dati (quali, ad esempio, quelli relativi all’origine razziale o etnica, oltre che i dati genetici o biometrici), o ancora nel caso in cui le attività principali del Titolare o del Responsabile consistano in trattamenti che richiedono il controllo regolare e sistematico dei dati degli interessati.

Come accennato sopra, le novità introdotte dal legislatore europeo impongono una seria valutazione da parte delle organizzazioni dell’impatto delle medesime rispetto alla gestione della data protection, che dovrà necessariamente aggiornarsi per conformarsi alle nuove disposizioni. Tale attività, sicuramente non semplice, richiede un’attenta pianificazione volta ad arrivare pronti momento della piena applicabilità del Regolamento, che vedrà necessariamente il coinvolgimento di diverse funzioni aziendali a vario titolo interessate dai trattamenti e che richiederà sforzi di coordinamento per portare avanti i progetti avviati e da avviare. Diviene dunque fondamentale sfruttare a pieno il periodo transitorio a disposizione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati