Dalla mezzanotte di oggi 25 maggio 2018 è entrato in vigore il Regolamento (UE) 2016/679 General Data Protection Regulation (“Regolamento generale per la protezione dei dati” ovvero Gdpr), che andrà a sostituire la normativa a tutela della privacy in tutti gli Stati membri della Unione Europea, inclusa l’Italia.
Tra le numerose novità previste dalla nuova normativa comunitaria, innanzitutto vi è l’aspetto della uniformità di disciplina.
In altre parole, in tutti i 28 Paesi UE vi sarà la stessa regolamentazione in materia di protezione dei dati personali, al cui rispetto saranno tenute tutte le aziende, anche quelle non europee che operano negli Stati membri.
Il Regolamento Gdrp rimette al centro della normativa la persona, motivo per cui andrà sempre richiesto in maniera comprensibile il consenso per la raccolta ed il trattamento dei dati, ma soprattutto non potranno essere più richieste informazioni non strettamente necessarie alle finalità per le quali i dati vengono conferiti.
Sia le aziende che le pubbliche amministrazioni, poi, sono tenute a fornire immediatamente agli interessati i dati a questi riferiti in loro possesso, in quanto vengono assicurati la portabilità dei dati, il diritto all’oblio (ovvero, ad esempio, il diritto a cancellare ogni nostra traccia dai motori di ricerca, n.d.r.), il diritto di chiedere revoche, correzioni e risarcimenti.
Altra novità molto importante è il limite di età per i minori nell’utilizzo di WhatsApp (16 anni) o limitazioni all’utilizzo di Facebook per coloro che hanno dai 13 ai 15 anni, laddove dai 16 ai 18 anni sarà comunque vietato il riconoscimento facciale automatico per il caricamento di foto sul Social Network di Mark Zuckerberg.
Inoltre, i Garanti della privacy acquisiscono un ruolo centrale di controllo e sanzionamento: in caso di furto dei dati, le imprese hanno l’obbligo di avvertire i Garanti che dovranno prendere provvedimenti.
Anche i cittadini potranno inoltre rivolgersi ai Garanti in caso di violazioni, e questi imporre multe sino al 4% del fatturato annuo a chi non ha rispettato le norme UE.
Last but not least, Aziende e Pubblica Amministrazione dovranno inoltre dotarsi di un esperto che gestisca i dati, ovvero del cosiddetto Responsabile della Protezione dei Dati (RPD).
Tale figura si rende assolutamente obbligatoria per determinate aziende e attività che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679.
Si tratta di aziende le cui principali attività (in primis, le attività c.d. di “core businessc”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala“, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243).
Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo:
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- caf e patronati;
- società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
Il ruolo di responsabile della protezione dei dati personali (RPD) può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura.
Il responsabile della protezione dei dati scelto all’esterno dovrà operare in base a un contratto di servizi.
Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale.
Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).
Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo, ovvero in Italia dal Garante per la protezione dei dati personali.
Se sei titolare di un’azienda o di un ente tra quelli sopra menzionati e hai bisogno di affidarti ad un Responsabile della Protezione dei Dati Personali (RPD) contatta l’Avv. Alessandro Amato per richiedere senza alcun impegno una consulenza approfondita.
Avv. Alessandro Amato