Principali novità del GDPR (nuovo regolamento europeo per la privacy)

Principali novità del GDPR (nuovo regolamento europeo per la privacy)

La principale novità del Regolamento è certamente costituita dalla centralità del principio di responsabilizzazione (accountability), per questo principio, è rimesso al titolare del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali. Non vi è più una serie predefinita di adempimenti da rispettare, ma dev’essere ciascun titolare, nell’ambito della propria autonomia e previa accurata valutazione dei rischi, a dover individuare le più idonee (e adeguate) misure organizzative e tecniche, e a doverne dimostrare l’applicazione e l’efficacia.

È importante sottolineare la centralità dei profili di sicurezza dei dati. Infatti l’articolo 5 del GDPR, individua i principi generali in tema di trattamento e menziona espressamente l'”integrità e riservatezza” dei dati, stabilendo che il trattamento debba avvenire “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. Si tratta di un principio analogo all’obbligo di sicurezza.

Principali novità del GDPR (nuovo regolamento europeo per la privacy)

Altre novità riguardano l’informativa, in ordine alla quale saranno introdotte anche delle icone (uguali in tutta l’Unione Europea) per esemplificare i contenuti in forma sintetica e renderli di più immediata comprensione a un numero maggiore di persone. In altre parole, quando la Commissione provvederà ad approvarle, sarà possibile avere una prima generale e immediata cognizione circa l’utilizzo dei dati personali, semplicemente attraverso un chiaro sistema di icone.

L’informativa dovrà essere arricchita, in quanto dovranno essere inseriti: i dati di contatto del Data Protection Officer; la base giuridica del trattamento; l’indicazione se sia previsto il trasferimento di dati in Paesi terzi (vale a dire al di fuori dell’Unione europea), e, in caso affermativo attraverso quali strumenti; il periodo di conservazione dei dati o i criteri stabiliti per determinarne la durata; il diritto di presentare reclamo all’Autorità di controllo e, infine, se il trattamento comporti processi decisionali automatizzati e, nel caso, la logica applicata ai processi decisionali e le possibili conseguenze per Per quanto riguarda il consenso, analogamente a quanto previsto dall’articolo 18 del Codice della Privacy, esso non sarà richiesto se il trattamento (di dati non sensibili) sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

Il Regolamento introduce poi significative modifiche in tema di diritti dell’interessato, con una disciplina puntuale del diritto alla cancellazione (“diritto all’oblio”), e con un inedito “diritto alla portabilità del dato” (regolato dall’articolo 20). In base a tale diritto, l’interessato gode della facoltà di ricevere i dati personali forniti a un titolare, in formato strutturato, di uso comune e leggibile da un dispositivo automatico, e di trasmettere tali dati a un altro titolare, per le ipotesi di trattamenti effettuati con mezzi automatizzati, basati sul consenso o su un contratto. In pratica, il livello di “signoria” sui propri dati personali arriva al punto di poter migrare liberamente da un titolare all’altro.
Questo innovativo “diritto alla portabilità” non si applica ai trattamenti di dati necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, e quindi non potrà – con ogni probabilità – essere esercitato nei confronti delle pubbliche amministrazioni, quali il MIUR.

Oltre a questi punti principali del GDPR, esso deve includere anche i concetti di “privacy by design” e “privacy by default”, anche noti come: “protezione dei dati fin dalla progettazione” e “protezione per impostazione predefinita”. Si tratta di due importanti presidi, a tutela del corretto trattamento dei dati personali, che devono iniziare a fare parte del bagaglio di cognizioni di chiunque debba realizzare – e utilizzare – sistemi che trattino dati personali.

Un altro importante adempimento è costituito dall’introduzione del Registro delle attività di trattamento. Il Registro, che ricorda il “Documento Programmatico di sicurezza” previsto dall’allegato B del Codice della Privacy, non è sempre obbligatorio, ma solo per coloro che abbiano più di 250 dipendenti, ovvero (anche sotto questa soglia) laddove il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di categorie “particolari” di dati, individuati nell’articolo 9 paragrafo 1 (già individuato prima), o i dati personali relativi a condanne penali e a reati. Esso non è obbligatorio ma è sempre utile valutare la sua adozione, soprattutto nell’ottica della responsabilizzazione e della necessità di dover dimostrare il rispetto dei principi in tema di protezione di dati personali.

Il Garante infatti ha avuto modo di precisare che “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta Completiamo questa breve introduzione con altre tre importanti novità: l’obbligo di notificazione e comunicazione delle violazioni di dati personali (data breach), la valutazione d’impatto e la nomina del Responsabile della protezione dei dati personali, o Data Protection Officer.

Il GDPR introduce inoltre l’obbligo di notificazione al Garante dei data breach, entro settantadue ore dalla scoperta; obbligo a cui si aggiunge anche la comunicazione agli interessati, laddove ci sia un rischio elevato per i diritti e le libertà fondamentali. Questo impone di dotarsi di sistemi di adeguata segnalazione e reportistica delle intrusioni e delle diffusioni e perdite, anche accidentali, di dati, per essere in grado di adempiere correttamente all’obbligo. Non si tratta di una novità assoluta per le pubbliche amministrazioni, ma certamente la sua portata è molto estesa rispetto al passato, per cui tutti i dipendenti devono essere a conoscenza dell’obbligo di attivarsi in caso di violazioni di dati personali.
Per quanto riguarda la valutazione d’impatto sulla protezione dei dati personali, essa costituisce un processo strutturato di valutazione e gestione del rischio legato ai trattamenti di dati personali, da effettuarsi obbligatoriamente in specifiche situazioni, laddove il trattamento, anche per l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Vi sono delle ipotesi, espressamente individuate dal GDPR, nelle quali la valutazione d’impatto deve essere effettuata: il trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali e a reati; la valutazione sistematica e globale di aspetti personali, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici; infine il monitoraggio sistematico di aree pubbliche su vasta scala.

Per quanto riguarda invece il Data Protection Officer (DPO), esso è una figura sostanzialmente nuova, che deve essere nominata obbligatoriamente da enti od organismi pubblici (sia dal titolare che dal responsabile). Per i privati l’obbligo della nomina scatta solo se l’attività principale consiste in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure se l’attività principale consiste nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Il DPO (che può essere sia interno che esterno) è designato in funzione delle qualità professionali, e in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti espressamente individuati dal GDPR. Il DPO deve essere autonomo e non deve subire ingerenze, inoltre, tra i suoi compiti, vi è quello di fornire consulenza e pareri, sorvegliare sul rispetto delle disposizioni del GDPR, cooperare e fungere da punto di contatto con l’Autorità Garante. I dati di contatto del DPO devono essere, infine, pubblicati sul sito, inseriti nell’informativa e comunicati al Garante (anche nel caso di data breach).

Precedente Come scegliere una password sicura in informatica Successivo Differenza tra Proxy e VPN (Virtual Private Network) in informatica

Lascia un commento

*