PRIVACY 4.0: INFORMATIVA, CONSENSO, RESPONSABILITÀ, SANZIONI

Con il General Data Protection Regulation debutta la privacy 4.0, studiata per rispondere alle insidie della digital transformation.

Il Reg 679/2016 è composto da 99 articoli e numerosi adempimenti, che necessitano di interventi programmati nel tempo e calibrati in funzione della struttura organizzativa aziendale e degli studi professionali.

Il sistema delle misure di sicurezza è stato rivoluzionato sull’idea di “accountability”: una strategia operativa che pone l’accento sulla “sostanza” dell’adempimento e sulla sua verificabilità esterna.

E le sanzioni? Tra le più alte mai stabilite in una normativa pensata per la protezione dei dati: non solo fisse, ma anche stabilite in percentuale, con riferimento al fatturato dell’azienda.

COSA CAMBIA PER PROFESSIONISTI E IMPRESE?
Con particolare riferimento alle imprese, chiara è l’impronta verso un maggior rigore generale, la previsione di sanzioni più gravi e la programmazione di adempimenti più articolati, oltre a un maggior livello di protezione del soggetto cui i dati si riferiscono.
In primis, la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale deve essere visto, anche da professionisti e imprese che trattano quei dati, come un vero e proprio diritto fondamentale radicato nella tradizione europea.
Ciò comporta che ogni persona abbia diritto alla protezione dei dati di carattere personale che la riguardano, indipendentemente dalla sua nazionalità o residenza. In tal modo, si consente una prima opera di armonizzazione che realizza in Europa uno spazio di libertà, sicurezza e giustizia e un’unione economica, che consente il progresso sociale e che porta al benessere delle persone fisiche.

AMBITO DI APPLICAZIONE
La norma si applica solo alle persone fisiche, non disciplina il trattamento dei dati relativi a persone giuridiche e riguarda sia il trattamento manuale sia il trattamento automatizzato.
È esclusa significativamente l’applicazione al trattamento dei dati personali effettuati da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e, quindi, senza una connessione con un’attività commerciale o professionale. Si pensi alla corrispondenza privata, agli indirizzari, all’uso di social network.
Tutti i dati che possono identificare una persona, usando tutti i mezzi, tenendo conto anche dei costi e del tempo necessari per identificare quella persona e degli sviluppi tecnologici, sono considerati dati personali protetti dal regolamento. La norma non si applica a informazioni anonime né ai dati delle persone decedute (aspetto, quest’ultimo, che può essere regolato però da ogni singolo Stato). Oltre a ciò, viene esplicitamente sollecitato l’uso di pseudonimi.
Con riferimento, in particolare, agli adempimenti e obblighi da parte di soggetti che trattano i dati, assumono particolare importanza i principi di liceità e correttezza di ogni azione, con trasparenza di tutte le modalità di trattamento e la centralità della raccolta del consenso e della sua libertà.

DATI SENSIBILI E DIRITTO DI CANCELLAZIONE ONLINE
Grande attenzione dovrà essere prestata in sede di trattamento di dati particolarmente sensibili, come quelli che rivelano origine razziale etnica, o connessi alla salute o al sesso, e grande cautela si dovrò riservare alle richieste specifiche di rettifica dei dati personali e di diritto all’oblio. Ci si riferisce, in particolare, alla richiesta che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, oppure in caso di ritiro del consenso.
Infine, molto spinoso sarà il punto che stabilirà una sorta di diritto di cancellazione online: il titolare del trattamento che ha pubblicato i dati dovrà informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali, adottando misure ragionevoli per raggiungere tale fine.
Dal punto di vista professionale e imprenditoriale, quindi, particolare attenzione andrà prestata non solo alle modalità di trattamento, alle informative e alla raccolta del consenso, ma anche e soprattutto a un’esaustiva risposta alle richieste dei soggetti cui i dati si riferiscono, soprattutto se connesse alla loro presenza su siti web o banche dati online.

Se sei interessato a saperne di più ed a essere compliance GDPR contattataci

Responsabile della protezione dei dati (RPD o DPO)

Una nuova figura introdotta dal Regolamento n. 2016/679 è quella del responsabile della protezione dei dati (RPD – noto anche come DPO “Data Protection Officer”). Si tratta di un soggetto:
• designato dal titolare o dal responsabile del trattamento;
• con funzioni di supporto e controllo, funzioni consultive, formative e informative relativamente all’applicazione del Regolamento Europeo;
• che coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante
• che costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

L’obbligo di nominare il RPD è previsto per:
• le amministrazioni e gli enti pubblici, comprese in Italia le Autorità giurisdizionali nell’esercizio delle loro funzioni
• tutti i soggetti le cui attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• tutti i soggetti le cui attività consistono nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Anche nei casi in cui il GDPR non impone la nomina di un RPD è comunque possibile una nomina su base volontaria.

Caratteristiche del RPD:
• è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati (non sono necessarie specifiche attestazioni formali o iscrizione in appositi albi);
• può essere un dipendente del titolare del trattamento o del responsabile del trattamento (nominato mediante specifico atto di designazione) oppure può essere un soggetto esterno e assolvere i suoi compiti in base a un contratto di servizi;
• adempie le sue funzioni in piena autonomia ed indipendenza e in assenza di conflitti di interessi;
• è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.
Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale.

Ipsodea
invia tramite WhatsApp