Regolamento Privacy (UE) 2016/679 – le prime FAQ

Beni culturali: in gazzetta il Regolamento sugli appalti pubblici
2 novembre 2017
“Split Payment” – Chiarimenti dell’Agenzia delle Entrate-C.M.27/E/2017
9 novembre 2017

Regolamento Privacy (UE) 2016/679 – le prime FAQ

Il 25 maggio 2018 diventerà applicabile in tutti gli Stati membri il Nuovo Regolamento Europeo in materia di protezione dei dati personali, entrato in vigore il 24 maggio 2016.

Il Nuovo Regolamento, che fa parte di un pacchetto protezione dati unitamente alla Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini, promuove una tutela dei dati personali basata sulla responsabilizzazione dei titolari del trattamento dati.

La logica propria del Regolamento è, infatti, quella di procedere ad una messa a punto di processi interni alle aziende (o a Enti o comunque a tutti coloro che trattano dati personali) che, partendo da una valutazione dei rischi sull’utilizzo dei dati stessi, possa mettere in piedi dei sistemi di tutela ad hoc.

Diventerà obbligatorio, quindi, effettuare una valutazione di impatto preventiva laddove il trattamento dei dati ponga rischi per i diritti delle persone e adoperarsi per evitare danni agli interessati.

Alcuni dei principi della precedente normativa rimarranno validi anche con l’entrata in vigore del nuovo Regolamento (l’obbligo di informativa, il consenso dell’interessato, la distinzione tra dati personali e dati sensibili); altri, invece, rappresentano delle novità o parzialmente tali (la denominazione degli attori – il titolare del trattamento, il responsabile del trattamento, i corresponsabili, il responsabile della protezione dati, il diritto all’oblio, il data breach, l’accountability).

Ciò che si evince da una prima analisi della nuova normativa è che tutti i soggetti che abbiano a che fare con il trattamento di dati personali dovranno comunque operare delle valutazioni al fine di adottare le misure più idonee per la tutela e la protezione dei dati stessi durante il loro utilizzo.

Per alcune aziende ed enti pubblici sarà necessario dotarsi anche di un Data Protection Officer (Dpo), ossia di una figura specializzata che assicuri la corretta gestione delle informazioni.

Scompariranno alcuni oneri amministrativi, quali ad esempio quelli di notificazione anticipata di particolari trattamenti al Garante; in tal senso, si parla di una maggiore responsabilizzazione a fronte di una semplificazione.

Stante la carenza di precisi riferimenti per molti degli istituti descritti nel Regolamento e l’indeterminatezza di alcune regole e della loro attuazione, si ritiene che le disposizione regolamentari dovranno essere oggetto di specifici interventi da parte delle c.d. Autorità di controllo dei singoli Stati membri (in Italia l’Autorità Garante), o singolarmente o attraverso iniziative congiunte, al livello europeo, da recepire poi nei singoli Stati membri (ad esempio linee guida ad hoc).

Per le imprese edili, e soprattutto per la maggior parte delle imprese edili che trattano come unici dati sensibili i dati relativi ai propri dipendenti, si ritiene che, fermo restando eventuali approfondimenti che il Garante potrà emanare, non cambierà molto. Le imprese dovranno sicuramente dotarsi di sistemi, anche informatici, per evitare che i dati dei propri dipendenti siano violati e pretendere da eventuali studi di consulenza o società esterne le adeguate garanzie per il trattamento dei dati di cui sono responsabili.

 Diverse le considerazioni per ciò che concerne gli Enti bilaterali che, al contrario, trattando dati personali anche “in larga scala” (basti pensare alle Casse Edili), potranno essere maggiormente coinvolti in termini di adeguamento alla nuova disciplina. In tal senso si fa riserva di fornire maggiori chiarimenti nel prosieguo dei dovuti approfondimenti.

A mero titolo esemplificativo, l’obbligo della tenuta del registro, non riguarderà le imprese sotto i 250 dipendenti, salvo il caso in cui il trattamento dei dati effettuato dalle stesse possa comportare un rischio specifico per i diritti e le libertà dell’interessato. Pertanto, su questo punto si stanno effettuando i necessari approfondimenti anche per quanto concerne gli Enti Bilaterali.

Allo stato, quindi, le medie e piccole imprese del settore non sembrano soggette alla tenuta del registro, sebbene sia, comunque, prudenziale attendere eventuali chiarimenti del Garante della Privacy.

L’assenza dell’obbligo di tenuta del registro non esime, comunque, il titolare ad adottare tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva del trattamento (informativa, consenso), secondo le modalità delineate dal nuovo Regolamenti.

Il Regolamento ridisegna, poi, il sistema sanzionatorio, prevendendo sanzioni che sono state particolarmente inasprite. Si passa da violazioni più leggere, con sanzioni fino a 10 milioni di euro, a quelle più gravi, che possono tradursi in multe fino al 4% del fatturato mondiale di gruppo.

Le sanzioni riguardano qualsiasi soggetto (azienda o ente) che tratta dati personali e che come tale rientra nella disciplina del Regolamento.

Il nuovo Regolamento tende a concepire la protezione dei dati quale riduzione al minimo dei rischi del trattamento, riducendo anche la mole delle informazioni trattate, garantendo cioè l’utilizzo dei soli dati personali necessari per ciascuna specifica finalità di trattamento.

Nelle realtà imprenditoriali, pertanto, il titolare dovrà effettuare le valutazioni del caso per ridurre al minimo il trattamento dei dati dei propri dipendenti e, in particolare, per utilizzare i dati necessari di ciascun dipendente unicamente per le specifiche finalità previste dal trattamento oggetto di informativa e consenso.

E’ bene evidenziare, poi, che il Regolamento opera anche all’art.88 un rimando preciso ai rapporti di lavoro, in quanto dove prevede che gli Stati membri, con legge o tramite contratti collettivi, possano prevedere norme più specifiche per assicurare la protezione dei diritti e delle libertà dei dipendenti, per tutte le finalità proprie del rapporto di lavoro.

In tal senso, eventuali proposte dovrebbero essere veicolate alla Commissione entro la data di operatività del Regolamento (25 maggio 2018).

In attesa di ulteriori approfondimenti e sulla base di eventuali informative da parte del Garante della privacy e nelle more del termine di entrata in vigore delle nuove disposizioni, si fornisce un documento contenente alcune FAQ (Clicca qui per scaricare) – soggette a modifiche e integrazioni alla luce delle evoluzioni che interverranno in materia – sui principi fondamentali contenuti nel Regolamento 2016/679, che possono fornire un primo quadro generale sulla nuova normativa sulla privacy.