Settimana scorsa abbiamo visto come la normativa sulla protezione dei dati sia stata finalmente aggiornata dopo quasi 20 anni di onorata carriera.
Ma per le aziende cosa cambierà realmente? Noi di Impa Solution vi veniamo incontro.
Abbiamo creato una piccola guida per capire concretamente quali saranno i punti principali che verranno modificati e come dovrà cambiare la struttura della propria azienda.
L’articolo si articolerà con i seguenti 6 punti:
Fondamenti di liceità del trattamento
Informativa
Diritti degli interessati
Titolare, responsabile, incaricato del trattamento
Approccio basato sul rischio (risk based) e misure di accountability di titolari e responsabili
Trasferimenti di dati verso paesi terzi e organismi internazionali
Fondamenti di liceità del trattamento dei dati
I fondamenti di liceità del trattamento sono indicati all'art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - d.lgs. 196/2003:
Consenso
adempimento obblighi contrattuali
interessi vitali della persona interessata o di terzi
obblighi di legge cui è soggetto il titolare
interesse pubblico o esercizio di pubblici poteri
interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
Con il GPDR il consenso deve risultare esplicito e di facile comprensione, stessa cosa per il consenso delle decisioni basate sui trattamenti automatizzati (compresa la profilazione – art. 22).
Non è necessario documentare il tutto per iscritto e non è richiesta la “forma scritta”. Il titolare deve essere in grado di documentare il consenso specifico di un trattamento.
Il consenso dei minori è valido a partire dai 16 anni, mentre per i minori più piccoli sarà necessario il consenso di un genitore o tutore legale. In ultima analisi l’utente dovrà essere libero di effettuare la propria scelta, senza nessun parametro pre-compilato.
Ogni consenso raccolto entro il 25 maggio 2018 resterà valido se rispetterà le caratteristiche sopra citate.
Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’autorità, ma è compito dello stesso titolare; si stratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto nel GPDR.
Informativa
Nel contenuto devono essere sempre specificati i dati di contatto del DPO (Data Protection Officer) e indicare lo scopo del trattamento dei dati raccolti. Occorrerà specificare, anche il periodo di conservazione dei dati raccolti, per garantire un trattamento corretto e trasparente.
Nel caso in cui i dati sensibili non saranno raccolti direttamente presso il DPO, si avrà un mese di tempo per informare gli utenti interessati o potrà anche avvenire nel momento in cui l’utente offre il proprio consenso.
Questa nuova normativa indica anche la forma che l’informativa dovrà avere: concisa, trasparente, facilmente accessibile e comprensibile per l’utente; sarà necessario utilizzare un linguaggio chiaro e semplice e per i minori occorreranno informative specifiche.
L’informativa prevede l’utilizzo di icone, ma solo se questa verrà associata alla versione estesa. Quando si provvederà a compilare l’informativa per gli interessati, bisognerà tenere ben presente che questo documento dovrà essere di facile comprensione.
Diritti degli interessati
L’interessato ha diritto di risposta, anche negativa, entro un mese da quando ha inoltrato la richiesta. Spetterà al titolare stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, se la richiesta inoltrata è palesemente infondata o eccessiva.
La risposta all’interessato dovrà avvenire in forma scritta, anche attraverso l’uso di strumenti elettronici; si potrà rispondere all’interessato anche in forma orale, solo se quest’ultimo lo richiede. In ogni caso le risposte dovranno essere chiare e accessibili.
Titolare, responsabile, incaricato del trattamento
I titolari saranno obbligati a designare un responsabile per il trattamento dei dati, dove gli verranno attribuiti specifici compiti: attraverso la scrittura di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell'art. 28 al fine di dimostrare che il responsabile fornisce "garanzie sufficienti" – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati.
Il DPO, cioè il responsabile del trattamento dei dati, sarà obbligato a tenere un registro dei trattamenti svolti e adottare misure tecniche idonee e organizzative per garantire la sicurezza dei dati raccolti.
Approccio basato sul rischio (risk based) e misure di accountability di titolari e responsabili
Il regolamento vuole responsabilizzare maggiormente sia i titolari che i responsabili (DPO) dell’azienda in modo da fargli applicare l’adozione di comportamenti sani e in grado di dimostrare in qualsiasi momento l’efficacia delle misure di sicurezza adottate, attraverso tutta la loro documentazione.
Questo vuol dire che tutte le attività svolte per la sicurezza dei dati sensibili deve essere documentata e dimostrabile.
L'intervento delle autorità di controllo sarà principalmente "ex post", ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l'abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all'autorità di controllo.
Trasferimenti di dati verso paesi terzi e organismi internazionali
L'autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc oppure accordi amministrativi stipulati tra autorità pubbliche.
I responsabili del trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l'adesione al codice di condotta o allo schema di certificazione.
Il regolamento fissa i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbligatori di tali norme.
Vi invito a contattare gli uffici di Impa Solution per avere una visione d’insieme più concreta e personalizzata per la vostra azienda.