CONCETTI DI BASE GDPR

gdpr

Il nuovo Regolamento UE Privacy GDPR (General Data Protection Regulation) si applica ad ogni soggetto giuridico tranne le persone fisiche che trattino dati per scopi esclusivamente personali ed alcune autorità pubbliche specificamente indicate. 

gdpr

Il nuovo GDPR, in vigore dal 25 maggio 2018, introduce importanti novità per tutti tra le quali:

  1. il principio di accountability ovvero la responsabilizzazione del titolare e dei responsabili del trattamento (culpa in vigilando);
  2. connessa ad essa la formazione continua, che non dovrà più essere fornita semplicemente “a cascata. Il titolare è obbligato a dimostrare non solamente di aver fornito adeguata formazione, ma dovrà anche dimostrare che i principi fondamentali della materia siano stati compresi;
  3. la valutazione di impatto preventiva, ossia la necessità di valutare previamente e se del caso ottenere la prescritta autorizzazione dall’Autorità laddove si trattino un determinato tipo di dati. Si tratta di una valutazione che occorre poter dimostrare di aver effettuato comunque prima di effettuare i trattamenti;
  4. la pesante integrazione delle informative rispetto alla previgente legislazione;
  5. la necessità di pretendere dai propri fornitori che ogni software utilizzato sia certificato come totalmente conforme alla nuova normativa (culpa in eligendo)
  6. il diritto all’oblio
  7. il diritto alla portabilità dei dati
  8. vari diritti dell’interessato di opporsi in tutto o in parte ai trattamenti (infatti tali diritti sono stati moltiplicati per cui il controllo dovrà essere effettuato con riferimento ai nuovi concetti
  9. le nuove modalità di accesso ai propri dati per gli interessati
  10. l’elenco dei trattamenti (non esistente come obbligo nella precedente legislazione)
  11. le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti (c.d. data breaches)
  12. il concetto di “privacy by design” che dovrà essere ben chiaro all’imprenditore.
  13. il concetto di “privacy by default” che dovrà essere ben chiaro all’imprenditore.
  14. La necessità di trattare i dati c.d. “sensibili” ed in particolar modo quelli concernenti la salute in maniera totalmente sicura, utilizzando tecniche di cifrature dei dati e/o dei databases.
  15. possibilità dalla data suddetta di attribuire le funzioni di D.P.O. (Data Protection Officer) ad un soggetto esterno che quindi prosegua e sollevi la società da tutti gli oneri concernenti la materia, fino alla fine dell’anno e con rinnovo dell’incarico annualmente. Da notare che tale soggetto è OBBLIGATORIO per qualunque ente pubblico e per i soggetti privati che rientrino nelle previsioni normative. (art.37, comma 1, lettere B e C);
b)    le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c)     le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

 

Ovviamente, e qui si pone un effettivo problema, poiché l’Autorità Garante NON HA emanato i dovuti provvedimenti per poter individuare con certezza il concetto di “larga scala”, sarà – purtroppo – onere del consulente individuare, attraverso raffronti vari, come possa essere riempito di contenuto tale concetto.

 

Si tratta di una grave mancanza, che non ha scusante alcuna!

 

Esiste già copiosa giurisprudenza per la quale il soggetto effettivamente controllante una società risponde del non adeguamento del soggetto controllato.

Il legislatore ha optato per un sistema sanzionatorio mirato a colpire pecuniariamente le aziende comminando ingenti sanzioni amministrative, applicate attraverso il sistema della Legge 689/81.

Le sanzioni per i soggetti tenuti ad adeguarsi con il nuovo GDPR potranno arrivare anche al 4% del fatturato totale annuo dell’esercizio precedente.

Inoltre è prevista anche la possibilità di limitare o addirittura vietare un trattamento dei dati creando seri problemi alla prosecuzione dell’attività; le sanzioni comminate all’azienda potranno avere evidenti implicazioni nei rapporti tra i soci e gli amministratori quanto all’azione di responsabilità oltre che per l’immagine societaria.

Occorre tenere presente che il “nuovo” GDPR entra più approfonditamente e pesantemente nel merito delle situazioni contrattuali, per cui ogni rapporto deve necessariamente individuare chi sia il titolare e chi sia il responsabile del trattamento.

 

Da notare che molto probabilmente i modelli di contratto attivi tra il titolare ed i propri Clienti  NON individuano il titolare stesso (e gli altri soggetti) come responsabile del trattamento. Le eventuali sanzioni sarebbero imposte sia ai titolari (per mancata individuazione del responsabile che tratta comunque i dati forniti dal titolare, che tra l’altro comprendono sicuramente anche i dati sensibili e quelli concernenti la salute)  sia al responsabile, che ai sensi del GDPR si troverebbe a non aver titolo  per trattare tali dati.

 

Vuoi approfondire le tematiche di Privacy e diventare un DPO (Data Protection Officer)?

Scopri il corso di Privacy Specialist DPO targato Musa Formazione.