Regolamento GDPR, nuova legge UE per la privacy

Regolamento UE 2016 679 Il Regolamento (UE) 2016/679 sulla privacy ruota attorno a tre principi cardine in materia di trattamento dei dati: liceità, pertinenza e non eccedenza. Perché un trattamento possa essere considerato lecito, dovrà ricorrere una qualsiasi delle seguenti condizioni di liceità previste all’art. 6.1: consenso dell’interessato; esecuzione di un contratto o di misure […]

regolamento-gdpr

Regolamento UE 2016 679

Il Regolamento (UE) 2016/679 sulla privacy ruota attorno a tre principi cardine in materia di trattamento dei dati: liceità, pertinenza e non eccedenza.

Perché un trattamento possa essere considerato lecito, dovrà ricorrere una qualsiasi delle seguenti condizioni di liceità previste all’art. 6.1:

  • consenso dell’interessato;
  • esecuzione di un contratto o di misure precontrattuali;
  • adempimento di un obbligo legale;
  • salvaguardia degli interessi vitali dell’interessato o di altra persona fisica;
  • esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri;
  • legittimo interesse del titolare o di terzi, se non prevalgono gli interessi o le libertà fondamentali dell’interessato.

Il consenso dell’interessato non è più l’unica base del trattamento, salvo eccezioni, ma è una dette tante basi ed ha lo stesso valore delle altre.

Il consenso, per essere validamente prestato e poter dunque legittimare un trattamento dei dati, deve essere informato, libero, specifico, inequivocabile e espresso.

Quanto invece alla valutazione dell’interesse legittimo del titolare o di un terzo, sarà necessario effettuare un bilanciamento di interessi con i diritti e le libertà fondamentali dell’interessato.

Qualora il trattamento abbia ad oggetto dati sensibili – ossia quei dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, biometrici, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale – il trattamento dovrà essere fondato su una delle condizioni di liceità previste all’art. 9.2, ossia:

  • consenso esplicito dell’interessato;
  • trattamento necessario per adempiere obblighi o esercitare diritti in materia di diritto del lavoro e della sicurezza sociale nella misura in cui è autorizzato dal diritto dell’Unione;
  • trattamento necessario per tutelare interessi vitali dell’interessato o di altra persona fisica;
  • trattamento effettuato nelle sue legittime attività e con adeguate garanzie da una fondazione, associazione o ente senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali se riguarda membri, ex membri o persone che hanno contatto con l’ente stesso.

Una volta individuata la corretta base legale del trattamento, e a prescindere dalla necessità o meno del consenso dell’interessato, il titolare dovrà fornire a quest’ultimo adeguata informativa ai sensi dell’art. 13, con la quale siano indicati l’identità del titolare, le finalità e la base giuridica del trattamento, gli eventuali destinatari dei dati personali, la durata del trattamento, l’eventuale processo decisionale bastato unicamente su un trattamento automatizzato ed i diritti dell’interessato di cui all’art. 7 del Regolamento.

In particolare, l’interessato ha il diritto di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento.

Il Regolamento introduce poi il diritto alla portabilità dei dati che obbligherà tutti coloro che trattano dati in formato digitale ad adottare sistemi di conservazione e di estrazione dei dati in formati che possano essere interoperabili con sistemi gestionali di altri titolari, in modo che la portabilità dei dati sia rapida, semplice e non necessiti di nuove costose e complesse elaborazioni da parte del nuovo titolare. Si pensi al passaggio da un home banking ad un altro ed alla possibilità di trasferire sul secondo tutti i dati presenti nel primo.

Tali diritti potranno essere esercitati mediante richiesta al titolare stesso, che avrà al massimo un mese di tempo per fornire una risposta all’interessato.

Il Titolare del trattamento, in virtù del principio di responsabilizzazione, dovrà mettere in atto misure tecniche ed organizzative adeguate a garantire e dimostrare la conformità del trattamento alle previsioni del regolamento.

Tali misure potrebbero consistere, a titolo esemplificativo, nel minimizzare il trattamento, pseudonimizzare i dati personali, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, e consentire all’interessato di controllare il trattamento dei propri dati.

La messa in atto di opportune misure per attenuare il rischio per i diritti e le libertà degli interessati può essere provata altresì mediante l’adesione a codici di condotta, a certificazioni approvate o a indicazioni fornite dal responsabile della protezione dei dati personali (DPO), se presente.

Poiché il titolare sarà responsabile di ogni trattamento di dati da lui effettuato direttamente o effettuato per suo conto, l’adozione di un buon modello di gestione fin dalla fase di progettazione (privacy by design) permetterà di delimitarne la responsabilità.

Ogni titolare del trattamento dovrà tenere un registro delle attività di trattamento (art. 30), che tenga traccia dei dati del titolare, delle finalità del trattamento, delle categorie di interessati e delle categorie di dati personali, delle categorie di destinatari, degli eventuali trasferimenti extra-UE, dei termini previsti per la cancellazione dei dati e delle misure di sicurezza adottate.

La tenuta di un buon registro dei trattamenti sarà prodromica e necessaria anche allo svolgimento della valutazione d’impatto sulla protezione dei dati (DPIA) che il titolare dovrà effettuare per tutti i trattamenti basati su trattamenti automatizzati su larga scala, compresa la profilazione, per tutti i trattamenti di dati sensibili o per la sorveglianza su larga scala di zone accessibili al pubblico.

La valutazione dovrà consistere in un’analisi del rischio che un determinato trattamento può avere sui diritti e libertà degli interessati e sulla valutazione delle misure tecniche e organizzative che possono essere adottate per arginare tale rischio.

In alcuni casi specifici è obbligatoria la nomina di un consulente che dia consigli e controlli che la gestione della privacy sia fatta a norma. Questo consulente è chiamato DPO (Data Privacy Officer). Il DPO può essere sia interno che esterno, non deve avere alcuna qualifica o certificazione particolare, ma deve essere una persona esperta che sappia applicare la normativa sulla privacy alla concreta realtà aziendale.

Quanto al trasferimento di dati extra-UE, questo è consentito anche in assenza di un’autorizzazione da parte del Garante qualora la Commissione abbia deciso che il Paese terzo in questione offra garanzie adeguate per la protezione dei dati, qualora il trasferimento sia effettuato sulla base di clausole contrattuali standard o, nel caso di trasferimenti tra società infragruppo, qualora il trasferimento si basi su norme vincolanti d’impresa (Binding Corporate Rules – BCR).

Se vuoi avere maggiori informazioni sull’argomento o avere una consulenza specifica per la tua azienda in merito al trattamento dei dati personali e al regolamento GDPR, allora chiama il numero 055.552.0647 o scrivi una mail all’indirizzo [email protected].