(a cura dell’Avv. Giovanni De Donno e della Dott.ssa Benedetta Paladini)
Con l’acronimo “GDPR”, letteralmente “General Data Protection Regulation”, si indica il nuovo Codice della privacy (Regolamento UE n. 679/16), in vigore dal 25 maggio 2018. Un testo aggiornato, in materia di diffusione dei dati personali, voluto fortemente da tutti gli Stati Membri dell’Unione Europea, e che sostituirà il Codice del 1995 e, il successivo del 2003.
Il nuovo regolamento contiene svariate e rilevanti novità in particolar modo per le aziende. L’articolo 5 del GDPR prevede una serie di principi validi per il trattamento dei dati, incluso quello della “responsabilizzazione”, che conferisce ai Titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, tutti i principi restanti.
In questo senso, inoltre, le amministrazioni dovranno dotarsi di un Responsabile della protezione dei dati, di un Registro delle attività di trattamento e prepararsi alla notifica delle violazioni dei dati personali.
Il Regolamento sopra citato investe, altresì, anche le imprese con sede estera, operanti nell’Unione Europea.
Fondamentale, poi, l’introduzione del “diritto all’oblio”, regolamentato dall’articolo 17, secondo cui l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano. Sullo stesso titolare vige l’obbligo di cancellazione nel caso in cui i dati personali non siano più necessari rispetto alle finalità per cui sono stati raccolti o altrimenti trattati; l’interessato revochi il consenso al trattamento o vi si opponga; i dati personali siano stati trattati illecitamente o debbano essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento.
Ma entrando nel merito, ripercorriamo brevemente i principali passaggi che un’azienda deve rispettare per allinearsi con il nuovo GDPR:
1) Mappatura dei dati (come i dati vengono trasferiti da un sistema informativo ad un altro).
2) Audit dei dati (valutazione delle policy e procedure adottate dalle aziende in merito alla protezione dei dati, verificando se si rendano necessari eventuali migliorie).
3) Vagliare i fornitori prima dell’assegnazione dell’incarico (es. i responsabili del trattamento, come i fornitori di servizi paghe) e verificare che gli accordi con questi conclusi soddisfino i requisiti previsti.
4) Catalogate i Vostri flussi di dati transnazionali.
5) E’ consigliabile nominare un DPO (Responsabile della protezione dei dati) esperto in materia di trattamento dati, al fine di permettere monitoraggio regolare e sistematico di soggetti su larga scala.
6) Il consenso al trattamento deve essere attivamente e liberamente prestato e, distinguibile da ogni altro tema presente in un eventuale accordo, nonché reso in una forma intellegibile e accessibile. Revocare il consenso deve essere facile quanto prestarlo.
7) Adattare le rispettive informative privacy, che dovranno specificare la finalità e il titolo per trattare ogni categoria di dato personale e, le privacy policies.
8) Rispondere alle richieste di accesso degli interessati (DSARs) entro un mese. Se le richieste sono complesse o vi è una serie di richieste relative alla stessa fonte, il limite può essere esteso per altri due mesi e, potrà essere addebitato un importo ragionevole al richiedente.
9) Porre in essere policy, procedure e sistemi al principio di ogni prodotto o processo di sviluppo per assicurare la conformità alla protezione dei dati (“privacy by design”).
10) Le organizzazioni dovranno notificare le violazioni dei dati personali rilevanti all’autorità di controllo entro 72 ore.
11) L’intero personale dovrebbe essere formato in merito alla consapevolezza dei dati, sicurezza e accesso degli interessati.
12) Identificare l’autorità di supervisione nel paese in cui il titolare/responsabile ha lo stabilimento principale.
Nonostante manchi ancora del tempo al 25 maggio 2018, la mole di lavoro di certo non è scarsa e, è fondamentale non farsi trovare impreparati.