Come molti sapranno, il 25/05/2018 è prevista la piena applicazione del nuovo Regolamento dell’Unione Europea n. 2016/679 (entrato in vigore il 24 maggio scorso).
Quali novità introduce?
A chi si rivolge?
Queste sono domande importanti che ogni azienda dovrebbe porsi al fine di arrivare preparata e con le idee più chiare all’appuntamento del 25 maggio 2018.
LE NOVITÀ
L’elenco delle novità introdotte dal Regolamento è ricco e variopinto, tra queste figurano:
- D.P.O: Il “Data Protection Officer” (o Responsabile per la protezione dei dati) è una nuova figura di riferimento che funge da interfaccia per le autorità garanti. È un soggetto che può essere sia esterno che interno (a patto che non sia in conflitto d’interessi) e che aiuta il titolare a porre in essere tutti gli adempimenti previsti dalla legge, controlla che questi siano aggiornati e svolge attività di formazione e sensibilizzazione nei confronti del personale. È una figura obbligatoria per la P.A. e per i privati che si effettuino su larga scala un monitoraggio regolare e sistematico (p.e. telecomunicazioni, profilazione, localizzazione)
- Portabilità dei dati: L’interessato ha diritto di ricevere un formato strutturato (di uso comune e leggibile da un dispositivo automatico) contenente i suoi dati personali forniti ad un titolare del trattamento, ed ha altresì diritto a trasmettere tali dati ad un altro titolare senza che vi sia alcun impedimento da parte del precedente (p.e. telefonia, web provider)
- Registro delle attività di trattamento (art. 30): È un documento che deve contenere tutte le informazioni sul dato trattato (caratteristiche, modalità e finalità dei trattamenti). L’obbligo di redigerlo spetta al titolare, ai rappresentanti del titolare estero ed ai responsabili con più di 250 dipendenti (o con un numero inferiore ma che presentano trattamenti con rischi particolari per la libertà e i diritti degli interessati).
- Privacy by design e Privacy by default (art. 25): Il nuovo Regolamento impone di tenere conto di standard tecnologici di “Data Protection” coerenti con lo stato dell’arte e dell’innovazione, nella maniera più funzionale possibile a garantire i diritti e le libertà fondamentali delle persone fisiche, senza tuttavia precludere al titolare la libertà di svolgere i trattamenti più diversi.
FIGURE AZIENDALI DI RIFERIMENTO
Le figure aziendali su cui porre attenzione sono le seguenti:
- Titolare: Vale la stessa posizione prevista dalla normativa precedente.
- Contitolare: In caso di contitolarità dev’esserci un contratto scritto che indichi precisamente quali attività vengano svolte dall’uno e quali dall’altro.
- Responsabile del trattamento: Anche in questo caso il Regolamento prevede la presenza di un contratto scritto che deve comprendere: materia disciplinata, durata del trattamento, natura del trattamento, finalità del trattamento, tipo di dati personali, categorie degli interessati e, per finire, obblighi e diritti del titolare del trattamento.
- D.P.O: La sua nomina, come sopra accennato, è obbligatoria solo per gli enti pubblici e per i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure che trattano dati sensibili su larga scala; negli altri casi il titolare può decidere se affidarcisi o meno.
SANZIONI AMMINISTRATIVE PECUNIARIE
Vi sono novità di rilievo anche nell’apparato sanzionatorio (art. 83), che prevede 2 diverse possibilità:
- la misura fissa, che prevede sanzioni pecuniarie fino a € 20.000.000;
- la misura percentuale, che si applica nel caso in cui sia superiore alla misura fissa: può valere fino al 4% del fatturato aziendale.
Le sanzioni saranno graduate in funzione della gravità della violazione commessa.
Nell’ambito dei poteri correttivi assegnati all’autorità di controllo, l’articolo 58 del Regolamento prevede, inoltre, che il Garante possa rivolgere ammonimenti al titolare o al responsabile del trattamento.
COSA OCCORRE FARE
A fronte di sanzioni così afflittive e potenzialmente lesive del patrimonio aziendale, è opportuno che le cooperative eseguano, tramite professionisti qualificati, un’analisi dei propri rischi e dei trattamenti in essere, al fine di rilevare gli scostamenti rispetto alla nuova normativa e progettare eventuali interventi di adeguamento.
