News

NORMATIVA PRIVACY E IMPRESE: LE NOVITA' DEL REGOLAMENTO UE n. 679/2016 E L'ADEGUAMENTO DELLA POLICY AZIENDALE.

Il Regolamento UE n. 679/2016 (di seguito anche solo “RGDP”), relativo alla protezione dei dati personali delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, diventerà definitivamente applicabile all’interno del territorio UE a partire dal 25 maggio 2018.

Entro tale termine, pertanto, le aziende e/o chiunque effettui il trattamento dei dati personali dovrà adeguarsi alle principali novità introdotte ispirandosi in primo luogo al principio di accountability (o responsabilizzazione).

Esso prevede che il titolare del trattamento decida autonomamente le modalità, garanzie e limiti del trattamento, dimostrando di avere adottato le misure di sicurezza (giuridiche, organizzative, tecniche ed informatiche) adeguate ed efficaci per la protezione dei dati personali (art. 30 e 5 RGDP).

In tale ottica, pertanto, le aziende dovranno approcciarsi alla tematica privacy effettuando in primo luogo una revisione dei flussi aziendali, ivi compresa la mappatura delle misure di sicurezza organizzative ed informatiche in essere, per poi valutare come migliorare la sicurezza dei dati trattati, nell’ottica della privacy by design (tutela del dato fin dal momento della progettazione) e della privacy by default (tutela del dato per impostazione predefinita).

L’attività compiuta dall’azienda per adeguarsi alla nuova normativa verrà documentata dal titolare mediante la compilazione del “Registro delle Attività di Trattamento” (art. 30 RGDP).

Introdotto ex novo dalla disciplina UE, tale strumento risulta essere parte integrante di un sistema di corretta gestione dei dati personali, deve contenere in particolare tutti i dati di contatto del titolare, l’indicazione delle finalità di trattamento e dei dati personali trattati nonché consentire l’identificazione dei destinatari a cui sono consegnati, dei termini di cancellazione e delle misure di sicurezza.

Pur essendo previsto dal RGDP che il registro delle attività di trattamento sia tenuto obbligatoriamente, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, il garante consiglia caldamente la tenuta del registro, seppur facoltativo, in tutti gli altri casi.

Strumento importante in termini di responsabilizzazione è la “valutazione d’impatto sulla protezione dati” (art. 35 RGDP). Trattasi di una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità nonché facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali.

Coerentemente con l’approccio basato sul rischio che informa l’intero RGDP, lo svolgimento di una valutazione d’impatto sulla protezione dati non è obbligatoria per ogni singolo trattamento bensì necessaria solo se il trattamento “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”; circostanza che ricorre, a titolo esemplificativo, in ipotesi di utilizzo da parte dell’azienda di un sistema di videosorveglianza, di un controllo sistematico dell’attività dei dipendenti (ivi compreso l’utilizzo dei terminali informatici e la navigazione su internet etc…), della raccolta di dati pubblici tratti dai social media per la creazione di profili.

Numerose sono le modifiche introdotte dal RGDP.

Vengono ampliati, in primo luogo, i contenuti dell’informativa (cfr. art. 13 e 14 RGDP) ove il titolare deve sempre specificare i dati di contatto del RPD (Responsabile protezione dati/Data Protection Officier), la base giuridica del trattamento (norma di legge/adempimento di un contratto/soddisfazione di una richiesta dell’interessato), il periodo di conservazione dei dati e/o i criteri per stabilire tale periodo di conservazione, il diritto di presentare un reclamo all’autorità di controllo nonché l’eventualità che i dati personali vengano trasferiti in paesi terzi (in caso positivo indicandone gli strumenti).

Secondo le nuove prescrizioni, inoltre, l’informativa deve esser data per iscritto e preferibilmente in formato elettronico; oltre che a dover essere concisa, trasparente, intellegibile e facilmente accessibile dovrà essere fornita entro un termine ragionevole non superiore ad un mese dalla raccolta del dato oppure al momento della comunicazione dei dati a terzi o all’interessato.

Il RGDP interviene altresì precisando le modalità per l’esercizio dei diritti da parte dell’interessato che avrà il diritto di veder evadere le proprie richieste entro il termine di 1 mese (estendibile fino a 3 in caso di particolari complessità) anche in caso di diniego.

La normativa Europea introduce anche una maggiore formalizzazione dell’atto con il quale il titolare è chiamato a designare un responsabile del trattamento e/o un incaricato, in quanto si presume che l’incarico venga affidato mediante contratto e/o altro atto giuridico conforme al diritto nazionale (art. 28 RGDP). I titolari, pertanto, dovranno provvedere ad aggiornare le nomine dei soggetti di cui si avvalgono abitualmente nel trattamento dei dati personali (quali a titolo esemplificativo le società di elaborazione delle buste paga nonché i medici del lavoro etc..), disciplinando tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28.

Di nuova introduzione è la figura del responsabile protezione dati (art. 37 e ss. RGDP) che deve essere nominato obbligatoriamente da parte delle Autorità Pubbliche o dai soggetti pubblici che effettuino regolare attività di monitoraggio su larga scala delle persone fisiche o che trattino particolari categorie di dati personali.

Vero è che anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale nomina su base volontaria atteso che tra i suoi compiti vi è proprio quello di informare e consigliare il titolare, il responsabile del trattamento dati ed i dipendenti, nonché di verificare l’esatta applicazione delle norme, fornendo altresì pareri in merito alla valutazione d’impatto e all’ottimizzazione delle misure di sicurezza e fungendo da contatto per gli interessati in merito al trattamento dei loro dati.

In conclusione, non vi è dubbio alcuno che le novità introdotte dal regolamento UE siano numerose, ma l’intento del legislatore Europeo è stato quello di deburocratizzare la materia privacy, spingendo le aziende ad acquisire una maggiore consapevolezza delle procedure interne di trattamento dei dati e delle relative misure di sicurezza, così da sensibilizzare le imprese, guidate inizialmente da un esperto, ad una successiva gestione autonoma.


Avv. Andrea Noseda - Avv. Elena Donegana