Di seguito una sintesi per macro punti sul nuovo regolamento GDPR estratta dall’articolo del sito www.agendadigitale.eu

Al punto VIII vi sono le informazioni relative ai cambiamenti che abbiamo apportato alla nostra Suite ZenShare per essere compliant con il nuovo regolamento.

Per visualizzare il Regolamento UE 2016/ 679 tratto dal sito web del Garante per la protezione dei dati personali, clicca qui.

 

I – COS’E’ IL GDPR?

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri dell’Unione Europea il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

 

II – QUAL’E’ L’OBIETTIVO DEL GDPR?

In estrema sintesi col GDPR:

  • Si introducono regole più chiare su informativa e consenso;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Sono poste le basi per l’esercizio di nuovi diritti;
  • Vengono stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • Sono fissate norme rigorose per i casi di violazione dei dati (data breach).

 

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e in caso di inosservanza delle regole rischiano pesanti sanzioni.

 

III – QUALI SONO I NUOVI DIRITTI INTRODOTTI CON IL GDPR?

A – Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamento a un altro. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.

 

B – Il principio di “responsabilizzazione”

Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

 

C – Data breach

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante.

 

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione.

 

Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone:

  • Il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni;
  • Potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza (criptazione dati); oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con una comunicazione pubblica;
  • L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

 

IV – LE RESPONSABILITA’ E LE SANZIONI PER LE AZIENDE

Ci sono diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a 20 milioni di euro.

Appare appena il caso di ricordare come tra le sanzioni amministrative più ricorrenti nel corso degli ultimi anni in materia vi sono certamente le sanzioni relative alla mancanza di informazioni nei confronti degli utenti e interessati in genere, l’omessa o inidonea informativa comporta infatti una limitazione all’autodeterminazione informativa dell’interessato ed è prevista dall’art. 161 del Codice della Privacy.

Si tratta di un articolo che prevede una sanzione pecuniaria da tremila a diciottomila euro, nel caso che l’omessa o inidonea informativa si riferisca a dati personali identificativi, ma in alcuni casi è previsto anche un aggravio della pena da cinquemila a trentamila euro.

Di particolare rilevanza operativa appare il comma 2 bis dell’art. 162 del Codice della Privacy, il quale punisce con una sanzione amministrativa chi omette le misure minime di sicurezza e chi commette un trattamento illecito dei dati personali.

 

V – CHI RISPONDE DELLE VIOLAZIONI

Occorre considerare che spesso si ritiene che l’unica persona tenuta a rispondere della sanzione amministrativa sia sempre solo e soltanto il titolare del trattamento (da intendersi come l’entità nel suo complesso), al responsabile del trattamento non è pertanto mai attribuibile l’illecito amministrativo?

In tali casi l’Autorità deputata all’accertamento dovrà operare in base alla legge n. 689/1981 la quale prevede che la notificazione del verbale venga effettuata al contravventore e al responsabile in solido, in tal modo la stessa viene non di rado contestata per esempio al titolare del trattamento e al responsabile del trattamento, nella misura in cui sussista un formale atto di designazione e siano riscontrate anche inadempienze gravi imputabili a tale ruolo.

Il passaggio merita una breve riflessione, mentre l’art. 167 sul trattamento illecito è un reato a dolo specifico e richiede anche che ricorra il nocumento (danno patrimoniale apprezzabile), questi due elementi non sono necessari affinché ricorra la violazione amministrativa è pertanto sufficiente che non vi sia un consenso o che il consenso prestato non abbia i requisiti di legge perché venga applicata la violazione amministrativa.

 

VI – LE RESPONSABILITA’DEL RPD O DPO

Quali sono le responsabilità del RPD (responsabile della protezione dei dati personali) o DPO (Data Protection Officer) rispetto a quelle del titolare e del responsabile del trattamento?

Si tratta come è noto di una sorta di supervisore indipendente che dovrà supportare il titolare e il responsabile nel garantire che l’organizzazione sia conforme al GDPR, o meglio è una funzione organizzativa assimilabile per molti versi al ruolo dell’Organismo di Vigilanza in base al d.lgs. 231/2001 (legge sulla responsabilità amministrativa degli enti).

Il DPO ha compiti molto complessi, ulteriori e molto diversi rispetto al responsabile della trattamento dei dati, che vanno dalla comunicazione e sensibilizzazione al monitoraggio e alla verifica di conformità e dell’adeguatezza delle analisi dei rischi e delle misure di sicurezza, non ultimo il DPO sarà anche il punto di contatto con l’Autorità Garante per la protezione dei dati personali.

Sotto il profilo delle responsabilità da illecito amministrativo, il DPO non ha responsabilità dirette, tuttavia, permangono certamente responsabilità in via di rivalsa sul piano risarcitorio a favore del titolare e del responsabile che abbia subito un danno derivante da colpa grave o inadempienze gravi riferibili ai compiti previsti per il DPO.

Inoltre, il DPO come noto dovrà effettuare una supervisione complessa in ordine alla conformità al regolamento e dovrà anche garantire l’esercizio dei diritti dell’interessato con tempi prestabiliti.

Come accennato il DPO dovrà inoltre collaborare e fungere da contatto con l’Autorità garante mostrando il lavoro svolto in termini di documentazione (c.d. principio di accountability o di responsabilizzazione) delle misure di sicurezza adeguate ai rischi inerenti ai trattamenti de dati personali dell’organizzazione.

Peraltro, non si devono trascurare i requisiti di indipendenza di tale figura, da una parte la non ingerenza da parte del titolare e dall’altra l’assenza di un conflitto di interessi.

Quest’ultimo aspetto dovrà essere valutato attentamente da parte del titolare e del responsabile del trattamento, evitando di designare persone che determinano le finalità e le modalità del trattamento e declinando tali criteri rispetto ai poteri e alle responsabilità del candidato DPO.

A questo riguardo il Gruppo Articolo 29 ha ritenuto che possa sussistere conflitto di interesse del DPO con i seguenti ruoli: l’amministratore delegato, il responsabile del personale, il responsabile del sistema informativo, il direttore sanitario, il direttore marketing.

Una scelta errata su questo aspetto critico potrà comportare l’applicazione di sanzioni molto elevate in capo al titolare e al responsabile del trattamento, è pertanto consigliabile avere un approccio proattivo al rischio, avviando sin da subito le dovute valutazioni per conformarsi al nuovo regolamento.

 

VII – LE SANZIONI IN PROSPETTIVA EUROPEA

Infine, in riferimento al nuovo quadro sanzionatorio previsto dal regolamento europeo si ricorda che come previsto dall’art. 84 del regolamento europeo la materia penale rientra nella competenza di ciascuno Stato Membro, mentre le sanzioni amministrative pecuniarie sono armonizzate e devono osservare i criteri di effettività, proporzionalità e dissuasività.

L’art. 83 richiamando i tre criteri sopra menzionati specifica che le sanzioni devono essere applicate in funzione del singolo caso e tenendo conto della natura, della gravità e della durata della violazione, delle finalità del trattamento, del numero di interessati lesi e del livello del danno, oltre ad altri elementi come il carattere doloso o colposo della violazione, le misure adottate.

In termini molto generali, sebbene le sanzioni previste nel regolamento siano di importi molti elevati fino al 20 milioni di euro o il 4% del fatturato mondiale annuale, il principio generale è che una violazione del regolamento dovrà comportare una imposizione di sanzioni equivalente in tutti gli Stati membri, a tale scopo le recenti linee guida pubblicate il 3 ottobre dal Gruppo articolo 29 analizzano i vari parametri in base ai quali determinare l’ammontare della sanzione che, in casi irrisori e che non hanno rischi significativi per gli interessati, potrà anche corrispondere una mera diffida amministrativa in alternativa alla sanzione pecuniaria (reprimand nella versione inglese), ma dall’altra parte, tenendo conto delle circostanze specifiche una violazione dei dati anziché comportare la pena fino a 10 mln di euro, sanzione relativa anche all’inosservanza della disciplina rivolta al Data Protection Officer, potrebbe anche comportare una sanzione pecuniaria superiore se dovessero ricorrere delle circostanze di maggiore gravità ed inosservanza delle prescrizioni dell’Autorità di controllo.

 

VIII – COME STIAMO ADEGUANDO LA SUITE ZENSHARE PER ESSERE COMPLIANT AL GDPR?

Stiamo aggiornando i contratti in termini di data protection e privacy per essere compliant al GDPR i quali dovranno essere sottoscritti dai nostri clienti attuali e futuri.

Stiamo implementando nuove funzionalità e aggiornando quelle esistenti per aiutare i nostri clienti nel gestire al meglio le prescrizioni del nuovo regolamento. Se sei interessato ad un dettaglio di tali funzionalità, clicca qui.

Stiamo aggiornando l’informativa sulla Privacy per far sì  che sia perfettamente aderente a quanto previsto dalla normativa per essere pronti per la scadenza del 25 Maggio.GDPR

Noi di Interzen continueremo a implementare processi e funzionalità affinchè la nostra soluzione possa prendere in considerazione sia la Privacy by Design e sia la Privacy by Default. Il nostro impegno non si esaurisce con l’entrata in vigore del nuovo regolamento ma ci porta ad un miglioramento continuo della nostra soluzione per rispondere alle esigenze dei nostri clienti in termini di adeguamento al GDPR.

Related Posts