Nuovo regolamento sulla privacy
Dal 25 maggio 2018 si applica nell’Unione europea il Regolamento Ue 2016/679 sulla protezione delle persone fisiche, nell’ambito del trattamento e per la libera circolazione dei dati personali, noto come GDPR (General Data Protection Regulation). Il testo del Regolamento è stato pubblicato il 24 maggio 2016 sulla Gazzetta Ufficiale dell’Unione Europea e sostituisce il Codice della Privacy (Dlgs 196/2003) vigente in Italia.
Chi interessa
Riguarda tutti coloro che conservano dati personali: volontari, soci, dipendenti, utenti di servizi, persone assistite, sostenitori e donatori, ecc. Il regolamento si applica non solo alle persone fisiche ma anche alle imprese, Enti ed Associazioni operanti sul territorio europeo.
In caso di ispezioni ed inadempienze (esclusivamente rispetto ai nuovi obblighi introdotti dal Regolamento europeo 2016/679) purché i titolari siano in buona fede, dimostrino di avere avviato il processo di adeguamento e uno spirito di collaborazione con l’Autorità non si procederà a sanzioni, mentre resteranno punibili le condotte che violano regole già consolidate da tempo nella normativa nazionale e ribadite dal GDPR.
Il consenso esplicito
Ai sensi dell’art. 9 del nuovo regolamento, se si conservano dati “sensibili” (“origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici e biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”) il consenso deve essere “esplicito”. Il consenso deve essere esplicito anche per i trattamenti automatizzati e la profilazione (art. 22).
L’informativa
1. L’informativa deve essere concisa, trasparente, intelligibile, accessibile ed utilizzare un linguaggio chiaro e semplice. Deve essere somministrata in forma scritta e preferibilmente in formato elettronico.
2.Il titolare deve specificare i dati di contatto del responsabile della protezione dei dati (RPD-DPO – Data Protection Officer), il periodo di conservazione dei dati e il diritto di presentare un reclamo all’autorità di controllo. L’informativa deve specificare se il trattamento prevede processi decisionali automatizzati fra cui la profilazione.
3. Se i dati personali non sono raccolti direttamente dall’interessato l’informativa deve essere fornita entro un mese dalla raccolta o al momento della comunicazione dei dati a terzi o all’interessato.
Gli adempimenti variano a seconda della tipologia dei dati trattati e delle attività svolte dalle associazioni. Il nuovo regolamento non indica più le misure minime di sicurezza che il titolare del trattamento deve adottare: il titolare è responsabilizzato ad individuare le misure tecniche ed organizzative più idonee a tutelare le persone che hanno conferito i dati. Alcuni dei nuovi obblighi come la valutazione d’impatto sulla protezione dei dati interessano chi tratta su larga scala dati personali sensibili o dati relativi a condanne penali e a reati. L’obbligo di tenere un registro delle attività di trattamento è previsto per gli Enti con oltre 250 dipendenti e per chi tratta dati che rappresentano un rischio per i diritti e le libertà di coloro che hanno conferito i dati.
Tra i cambiamenti previsti:
– l’introduzione di regole più chiare sull’informativa e sul consenso, è esclusa ogni forma di consenso tacito;
– la definizione specifica dei limiti sul trattamento automatizzato dei dati personali;
– l’esercizio di nuovi diritti e criteri per il loro trasferimento al di fuori del territorio europeo;
– norme rigorose per i casi di violazione dei dati. A regime, le sanzioni potranno arrivare fino al 4% del fatturato o a 20 milioni di euro;
– è riconosciuto il diritto all’oblio, la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali;
– è riconosciuto il diritto alla portabilità dei dati;
– sono introdotti i concetti di protezione dei dati personali “by design” (la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta che durante l’esecuzione del trattamento) e “by default” (i dati vengano trattati solo per le finalità previste e per il periodo necessario a tali fini);
– obbligo di notifica in caso di violazione dei dati personali (“Data Breach”).
– obbligo di accountability (obbligo di responsabilizzazione e obbligo di rendicontazione) per il titolare del trattamento dei dati, che deve poter dimostrare di aver adottato misure adeguate ed efficaci di trattamento;
– obbligo di DPIA, la valutazione d’impatto sulla protezione dei dati, da effettuarsi qualora i trattamenti prevedano in particolare l’uso di nuove tecnologie o possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il DPO (Data Protection Officer), ossia la figura responsabile della protezione dei dati e di assicurare una corretta gestione degli stessi, è obbligatorio quando:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle loro funzioni;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattare, su larga scala, categorie particolari di dati di cui all’articolo 9 del Regolamento (gli ex dati sensibili) o dati relativi a condanne penali e a reati di cui all’articolo 10 del Regolamento.
Per approfondire vedi il sito del Garante della Privacy
Vedi anche il Vademecum predisposto dall’avvocato Davide Cester e la modulistica per le associazioni >