A cura dell’Avv. Leonardo Arienti
Informativa: la Nuova Privacy 2018
Il Regolamento (Ue) 2016/679 (c.d. “Regolamento Privacy” o “General Data Protection Regulation” – “GDPR”) – automaticamente applicabile anche all’Italia – è entrato in vigore il 25 maggio 2016.
Quali sono gli obiettivi?
Gli obiettivi del Regolamento UE sono l’armonizzazione delle normative attualmente in vigore nei diversi Stati europei e la massimizzazione della tutela e della protezione dei dati personali trattati nell’ambito dello svolgimento di un’attività commerciale o professionale del titolare.
Da quando sarà in vigore?
Per consentire ad ogni Stato membro di adeguare il proprio ordinamento giuridico al nuovo assetto normativo imposto dal Regolamento Privacy, il legislatore europeo ha concesso una finestra di due anni per l’applicazione del Gdpr. Pertanto, il Regolamento Privacy si applicherà a decorrere dal 25 maggio 2018.
Il 25 ottobre 2017 il Parlamento italiano ha emanato la legge n. 163/2017, il cui articolo 13 prevede che il Governo adotti, entro sei mesi dall’entrata in vigore della Legge 163/2017, previo parere del Garante, uno o più decreti legislativi “al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento”.
Quali saranno le interazioni tra l’attuale Codice della Privacy ed il nuovo Regolamento Privacy?
Con l’adeguamento dell’ordinamento legislativo italiano al Regolamento Privacy, si assisterà a:
- l’abrogazione espressa delle disposizioni del D.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (il c.d. “Codice privacy”) incompatibili con le disposizioni del Regolamento Privacy (dunque il Codice Privacy resta in vigore sala la prevalenza delle disposizioni del Regolamento Privacy);
- la modifica del Codice Privacy limitatamente a quanto necessario per dare attuazione alle disposizioni contenute nel Regolamento Privacy;
- il coordinamento delle disposizioni vigenti in materia privacy con le disposizioni recate dal Regolamento Privacy;
- la previsione, ove opportuno, del ricorso a specifici provvedimenti attuativi ed integrativi del Garante nell’ambito e per le finalità previsti dal Regolamento Privacy;
- l’adeguamento, nell’ambito delle modifiche al Codice privacy, del sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento Privacy.
Cosa Cambia?
Le novità previste dalla nuova normativa sono molteplici.
Tra le più importanti possono essere menzionate le seguenti:
- viene notevolmente esteso l’ambito di applicazione del Regolamento Privacy che sarà appiccato anche alle imprese stabilite fuori dal territorio dell’Unione Europea che però trattano dati personali di soggetti stabiliti all’interno dell’Unione;
- viene ampliata la definizione di dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (cfr. art. 4, par. 1 n. 1 del Regolamento Privacy);
- vengono introdotte diverse categorie di dati personali (i.e. dati sanitari, dati generici, dati biometrici, etc…) per alcune delle quali verrà richiesto un consenso esplicito al trattamento;
- è stato introdotto il principio di responsabilizzazione del titolare e/o responsabili del trattamento con l’obbligo di implementare le misure di sicurezza necessarie per essere conformi al Regolamento;
- il Regolamento Privacy rafforza la tutela apprestata agli interessati. Da una parte conferisce loro un maggior numero di diritti e dall’altra maggiori strumenti per difendersi da eventuali trattamenti illeciti;
- cambiano alcuni requisiti del consenso al trattamento. Ad esempio, l’interessato deve ricevere una spiegazione su che cosa sia il trattamento ed in cosa consista;
- il Regolamento Privacy introduce (cfr. art. 12, par. 2) l’obbligo per il titolare di agevolare l’esercizio, da parte dell’interessato, dei diritti previsti dal Regolamento;
- è previsto un obbligo da parte del titolare a consentire all’interessato l’accesso ai propri dati personali, oggetto del trattamento effettuato dal titolare stesso;
- l’interessato può chiedere al titolare di rettificare o cancellare (rispettivamente ex artt. 16 “diritto di rettifica” e 17 “diritto all’oblio” del Regolamento Privacy) tutti i dati personali dell’interessato che non sono accurati o completi;
- Etc..
Cosa Fare?
Entro il 25 maggio 2018 si deve:
- Rivedere le informative privacy ed eventualmente integrarle;
- Rivedere la modulistica utilizzata per il consenso privacy;
- Predisporre i registri privacy anche in forma elettronica;
- Procedere alla valutazione di impatto se necessaria;
- Nominare il Responsabile della protezione dei dati – DPO se necessario (cfr. art. 37 Regolamento Privacy);
- Garantire interoperabilità dei dati se è applicabile il diritto alla portabilità (ex art. 20 Regolamento Privacy);
- Effettuare una Valutazione di Impatto Privacy – VIP ex art. 35 del Regolamento Privacy
- Adottare strumenti e modelli con misure di sicurezza adeguate.
Nuove Sanzioni
Il Regolamento Privacy prevede sanzioni pesanti (fino a 10 milioni oppure dal 2% al 4% del fatturato) in caso di specifiche violazioni.
La sanzione è graduata in base a circostanze del caso specifico, compresa l’adozione di codici di condotta e certificazioni
Riferimenti
E’ stata elaborata una “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” reperibile al link: http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali
Domande, commenti, approfondimenti?
SIFIR Tax&Legal è a completa disposizione.
A cura dell’Avv. Leonardo Arienti