Il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali è divenuto applicabile il 25 maggio 2018.
Il Regolamento UE è diretto a fornire un quadro giuridico più solido e coerente, garantendo così certezza giuridica sia per gli interessati i cui dati personali sono trattati sia per le imprese e la pubblica amministrazione che trattano dati personali.
Il nuovo Regolamento, è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea (Guue) L 119 del 4 maggio 2016 e, ai sensi dell’articolo 99 del GDPR, ed è entrato in vigore il 25 maggio 2016.
Perché un Regolamento Europeo?
La domanda che da più parti è stata avanzata è perché l’Unione Europea ha voluto emanare un simile Regolamento, su una tematica così ampia, “scontrandosi” con le diverse normative privacy proprie di ciascun Stato Membro.
Sicuramente l’obiettivo intrapreso dall’Unione è molto ardito: la volontà di omogeneizzare le legislazioni interne degli Stati Membri, nell’ambito di una disciplina complicata ma allo stesso tempo necessaria e, oggi più che mai, di fondamentale importanza, si pone come traguardo di ampio respiro.
Ed invero, il legislatore europeo ha deciso di adottare un regolamento per assicurare omogeneità ed evitare la frammentazione della normativa privacy nei vari Stati membri, come è, invece, accaduto con la Direttiva madre (direttiva 95/46/CE del 24 ottobre 1995).
In altre parole, l’intento è quello di garantire maggiore sicurezza ai cittadini europei per quanto riguarda la tutela e la protezione dei loro dati.
Cosa cambia con il nuovo Regolamento Europeo?
Le principali novità GDPR riguardano molti aspetti: dall’ambito territoriale, alle modalità di ottenere il consenso (con l’introduzione, in particolare, del cd. consenso digitale); dalla previsione della figura del DPO (Responsabile della protezione dei dati – Data Protection Officer), alla prescrizione di sanzioni amministrative dall’entità particolarmente ingente; dalla formalizzazione dei ruoli (dal Responsabile esterno del trattamento all’ipotesi della contitolarità), alla tenuta del registro del trattamento; dalla valutazione di impatto (cd. Dpia), all’adozione di codici di condotta…queste solo alcune delle innovazioni che il GDPR ha imposto a tutti gli Stati membri.
Di fondamentale importanza è il rispetto del principio della cd. “accountability” ossia la responsabilizzazione che il Titolare deve dimostrare nell’ambito della tutela e protezione dei dati personali e che ne deve permeare il comportamento a partire dalla scelta di intraprendere il processo di assessement e di adattare la propria struttura; a partire dall’adozione delle misure di sicurezza definite ex art 32 GDPR “adeguate” fino ad arrivare a predisporre un generale e corretto processo organizzativo avente l’obiettivo di garantire il rispetto della nuova normativa europea.
Da sottolineare, inoltre, come a seguito dell’entrata in vigore del Regolamento UE, a mutare sia stato proprio l’approccio da parte del Titolare nei confronti degli obblighi in tema di protezione dei dati personali.
Approccio che da meramente formale (come suggeriva l’All. B), oggi abrogato, del D.Lgs n. 196/2003 – Codice privacy) si trasforma in un atteggiamento di natura sostanziale, con il conseguente onere per il Titolare di rendere conto delle azioni poste rispetto ai risultati ottenuti dall’impresa di cui è a capo.
Ed invero, aspetto centrale del principio in esame è che il concetto di accountability si pone sulla dimostrazione di come viene esercitata la responsabilità e sulla sua verificabilità; spetta infatti al Titolare del Trattamento garantire un livello adeguato di sicurezza, giustificando e rendendo conto delle scelte fatte.
L’adeguamento di tutte le società che operano in Europa è un compito che incombe su ogni Titolare (persona fisica o giuridica) del trattamento, la cui inottemperanza può costare caro all’impresa inadempiente.
Ed invero, le sanzioni amministrative pecuniarie possono raggiungere importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, fino ad arrivare a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Quali nuove clausole inserire nell’informativa?
Innanzitutto l’informativa, deve essere: concisa, trasparente, intelligibile per l’interessato; facilmente accessibile e scritta con un linguaggio chiaro e semplice.
Nell’informativa, inoltre si “devono sempre specificare i dati di contatto del DPO ove esistente, la base giuridica del trattamento, l’eventuale trasferimento in Paesi terzi all’estero dei dati personali e, in caso affermativo, attraverso quali strumenti.
E’ necessario, ancora, specificare i tempi di conservazione dei dati personali trattati, inserendo o un lasso di tempo preciso, anche richiamando specifici riferimenti legislativi propri del settore dell’attività di riferimento, oppure, in assenza, inserendo criteri temporali in base ai quali l’azienda/organizzazione deve trattare i dati, fermi gli obblighi legali per la conservazione dei dati stabiliti in via generale dalle diverse legislazioni degli Stati Membri.
Da non dimenticare, naturalmente, l’indicazione inserire dei nuovi diritti sanciti dal GDPR; dal diritto alla portabilità alla possibilità di proporre reclamo/ricorso riconosciuta direttamente al cittadino.
Da dove iniziare per essere GDPR compliant?
Il punto d’inizio dovrebbe essere l’analisi dello stato dell’azienda in tema di tutela dei dati personali trattati, in modo tale da individuare le azioni da compiere per risultare conformi alle nuove prescrizioni GDPR.
Importante è anche rivedere la modulistica in uso dall’impresa, che, se non in linea con le modifiche previste dalla nuova normativa, potrebbe causare sanzioni.
Il documento cardine su cui rivolgere l’attenzione è sicuramente l’informativa, la quale dovrà essere rivolta sia ai clienti e ai fornitori, nonché al personale interno (dipendenti e collaboratori).
Il Titolare dovrà adottare anche precise procedure per gestire correttamente i diritti degli utenti, che potranno, ad es., ottenere la cancellazione dei dati, ovvero revocare il consenso, esercitare il diritto di accesso, richiedere, e ricevere, i dati forniti al Titolare del trattamento, per poi trasferirli a un altro (diritto alla portabilità dei dati, art 20 GDPR).
Inoltre, sarà necessario risultare trasparenti riguardo la raccolta e l’utilizzo dei dati, sulla scorta di quanto sancito dall’art. 12 GDPR.
La norma in commento, infatti, detta precisi termini entro cui dare riscontro alla richiesta degli interessati e nello specifico “al più tardi entro un mese dal ricevimento della richiesta stessa”; precisando inoltre che “… tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta”.
E in Italia?
In Italia, il 17 ottobre 2017 il Parlamento italiano ha approvato il disegno di legge di delegazione europea 20162017 che, allo stato, consta di 15 articoli, prevede il recepimento di numerose direttive europee e contiene le deleghe legislative per l’adeguamento della normativa nazionale a 8 regolamenti europei, tra cui anche il GDPR.
Il 25 ottobre 2017 il Parlamento ha emanato la legge 25 ottobre 2017, n. 163, pubblicata in Guri 6 novembre 2017, n. 259 (la “Legge 163/2017”), il cui articolo 13 prevedeva che il Governo adottasse, entro sei mesi dall’entrata in vigore della Legge 163/2017, previo parere del Garante Privacy, uno o più decreti legislativi “al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento”.
Dopo il regolamento europeo sulla protezione dei dati personali n. 2016/679 (GDPR), è stato infine necessario emanare un decreto legislativo, e per la precisione il d.lgs. n. 101 del 10 agosto 2018, di adeguamento della normativa nazionale in materia di protezione dei dati personali.
Il Decreto Legislativo, entrato in vigore in data 19 settembre, si pone come strumento di modifica e coordinamento del codice privacy al GDPR abrogando le disposizioni del D.Lgs. n. 196/2003 non più compatibili con il GDPR, introducendone nuove, nonché integrando e modificando le disposizioni che rimangono in vita.
Con l’adozione del menzionato Decreto, il legislatore italiano ha esercitato quella specifica delega che il testo del Regolamento ha conferito mediante il rinvio alla legislazione interna degli Stati Membri.
Il decreto, in particolare, ha introdotto adeguamenti della normativa nazionale, soprattutto in settori dove il trattamento dei dati personali è più complesso e delicato (come ad esempio il trattamento dei dati personali cd. particolari ex art 9.4 GDPR), rispetto al quale il Regolamento prevede un margine di manovra affidato agli Stati Membri.
Perché un decreto di adeguamento se vi è già un Regolamento Europeo?
Il Regolamento prevede diverse ipotesi di rinvio espresso al legislatore nazionale. A titolo esemplificativo, tali aperture sono contenute negli artt. 85-89 GDPR in tema di attività di giornalismo o di espressione accademica, artistica e letteraria (cfr. art. 85); diritto di accesso ai documenti amministrativi e degli obblighi di trasparenza delle PP.AA (cfr. art. 86); attribuzione e utilizzo di un numero di identificazione nazionale (cfr. art. 87); gestione dei rapporti di lavoro (cfr. art. 88); obblighi di archiviazione nel pubblico interesse e delle attività di ricerca scientifica, statistica e storica (cfr. art. 88)
Senza dimenticare che la disciplina delle sanzioni penali è riservata alla sola competenza nazionale propria di ciascun Stato Membro, disponendo in tal senso l’art. 84 che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento”.