Gdpr, cosa cambia? Guida alla nuova normativa privacy

L’approssimarsi della data di definitiva implementazione del GDPR pone l’esigenza di interrogarsi su quali siano le principali differenze con l’attuale normativa in vigore in Italia contenuta nel Codice privacy. Saranno infatti numerosi i cambiamenti che le aziende dovranno affrontare nella gestione della privacy interna. Come già è stato anticipato nei precedenti articoli, il principale cambiamento […]

GDPR-COSA-CAMBIA

L’approssimarsi della data di definitiva implementazione del GDPR pone l’esigenza di interrogarsi su quali siano le principali differenze con l’attuale normativa in vigore in Italia contenuta nel Codice privacy.

Saranno infatti numerosi i cambiamenti che le aziende dovranno affrontare nella gestione della privacy interna.

Come già è stato anticipato nei precedenti articoli, il principale cambiamento propugnato dal GDPR riguarda l’approccio nella gestione della privacy da parte del titolare e del responsabile del trattamento.

Il Regolamento ha infatti introdotto il principio di “responsabilizzazione”, prescrivendo che vengano adottate una serie di misure di accountability comprovanti che il trattamento dei dati degli interessati avviene nel rispetto dei principi del Regolamento.

Da un punto di vista contenutistico, in virtù di questo nuovo approccio privacy sono stati aboliti alcuni istituti previsti sotto la vigenza della direttiva europea del ’95 e del Codice privacy italiano, quali la notificazione preventiva al Garante privacy per certi tipi di trattamenti o la verifica preliminare.

Spetterà invece al titolare in via autonoma il dovere di effettuare una valutazione d’impatto sulla protezione dei dati personali (anche nota come DPIA) prima di iniziare il trattamento, con eventuale consultazione successiva dell’Autorità garante nel caso in cui da detta valutazione emerga un elevato rischio residuo che non si sappia come gestire.

Inoltre, qualora il titolare decida di fondare il trattamento su un proprio interesse legittimo – che costituisce, al pari del consenso, una delle basi legali del trattamento – sarà egli stesso a dover effettuare il bilanciamento di interessi tra il suo legittimo interesse e i diritti e le libertà dell’interessato.

Il titolare dovrà adottare un sistema di gestione costantemente aggiornato che permetta di tracciare i trattamenti effettuati mediante la tenuta di un registro delle attività di trattamento e che sia idoneo a comprovare l’adozione di misure di sicurezza che offrano garanzie sufficienti per la protezione dei dati degli interessati.

Tra tali misure, è espressamente previsto che rientrino anche l’adesione a codici di condotta o a meccanismi di certificazione.

Un’altra novità introdotta dal GDPR consiste poi, nel caso di violazione dei dati personali, nell’obbligo di notifica all’Autorità di controllo entro 72 ore nel caso in cui da tale violazione derivi un rischio per i diritti e le libertà delle persone fisiche (data breach).

Il titolare dovrà inoltre comunicare la violazione anche all’interessato senza ingiustificato ritardo.

Sempre in funzione della responsabilizzazione, il Regolamento ha introdotto, a fianco della figura del Titolare e del Responsabile del trattamento, anche quella del Responsabile della protezione dei dati personali (DPO), che dovrebbe essere di ausilio al titolare e al responsabile per garantire il rispetto dei principi posti alla base del trattamento. Il DPO, che dovrebbe presentare i requisiti di indipendenza e autorevolezza, oltre ad avere conoscenze specialistiche in materia di privacy, dovrà svolgere dei compiti di consulenza e sorveglianza in ordine alla corretta attuazione delle prescrizioni del Regolamento.

Novità rilevanti sono state introdotte anche nell’ambito dei diritti degli interessati.

In primo luogo, con la previsione del diritto alla portabilità dei dati trattati con mezzi automatizzati, che si concreta nel diritto dell’interessato di ricevere dal titolare i dati che lo riguardano e che ha fornito direttamente in un formato interoperabile e di uso comune. Inoltre, il diritto alla portabilità implica che, se richiesto e ove tecnicamente fattibile, il titolare dovrà trasmettere i dati dell’interessato ad un altro titolare del trattamento.

Inoltre, il Regolamento prevede espressamente il diritto all’oblio, ossia il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti, quando abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati che lo riguardano o ad ogni modo quando il trattamento dei suoi dati personali non sia conforme alle prescrizioni del regolamento.

Il concetto di “dato personale” è rimasto nella sostanza lo stesso, ma è stato meglio specificato.

Dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile con un riferimento o identificativo come, oltre a nome, «un numero di identificazione, dati relativi all’ubicazione, un identificativo online» «elementi della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». Adesso quindi è ancora più chiaro che il dato personale è anche un indirizzo IP o una ripresa video anche di schiena che possa però consentire in qualche modo di risalire alla persona fisica a cui appartiene.

Dal punto di vista documentale è inoltre previsto che il titolare del trattamento debba stipulare contratti scritti con tutti coloro che trattano i dati, siano essi semplici autorizzati al trattamento (che nella disciplina previgente si chiamavano “incaricati”) o responsabili del trattamento di particolari tipi di dati.

Viene introdotto il Registro dei Trattamenti, non previsto dalla normativa precedente, ed in vista dell’obbligo di dovere dare prova di come sono trattati i dati e delle misure di sicurezza adottate, è consigliata l’adozione di un documento riepilogativo a cui allegare tutta la documentazione redatta per la corretta gestione della privacy che assomiglia molto al vecchio DPS (Documento Programmatico della Sicurezza), tanto utile ma che ormai solo poche imprese continuavano a redigere.

Ora che conosci tutte le novità apportate dal nuovo Regolamento e vuoi una consulenza sul caso specifico della tua azienda, allora chiama al numero  055 552. 0647 oppure scrivi una mail all’indirizzo [email protected].