Una piccola rivoluzione nel mondo della privacy: il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea il nuovo Regolamento UE 2016/679 (GDPR, General Data Protection Regulation) per la protezione e il trattamento dei dati personali. Il provvedimento abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), da cui è disceso il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali). La piena applicazione del regolamento è prevista il 25 maggio 2018.
Nato per regolarizzare soprattutto le attività di marketing e profilazione svolte dai grandi gruppi societari, rischia di penalizzare le piccole imprese. Lo afferma la CNA nel suo position paper. Ecco i contenuti più interessanti della parte cnclusiva del paper, quella che indica le criticità del nuovo GDPR.
La valutazione d’impatto sulla protezione dei dati
Il Regolamento indica tra i nuovi obblighi spettanti ai titolari nonché agli eventuali responsabili del trattamento la «valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali» (art. 35, par. 1). Tale onere ricade nella sfera di responsabilità del titolare/responsabile nella misura in cui il trattamento, allorché preveda in particolare l’uso di nuove tecnologie, comporti un rischio elevato per i diritti e le libertà delle persone fisiche. Soltanto in questo caso il titolare è chiamato ad effettuare una valutazione preventiva d’impatto che descriva il trattamento dei dati, pesi la necessità ed il metodo, contribuisca alla gestione dei rischi determinando le misure necessarie ad affrontarli.
A ogni modo, il Garante ha la possibilità di individuare nei fatti quali soggetti siano da esonerare dall’obbligo di realizzare la predetta valutazione, giacché non effettuerebbero trattamenti rischiosi. Infatti, la normativa stabilisce come l’autorità di controllo possa redigere e rendere pubblico «un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati» (art. 35, par. 5).
Stando così le cose, ci si chiede come mai non sia stata ancora sfruttata dal Garante questa straordinaria opportunità di chiarezza che fornirebbe un quadro di riferimento certo ed eviterebbe alle imprese di procedere alla verifica d’impatto anche quando non dovuta. Invece, sul sito del Garante della privacy si può attingere soltanto da qualche settimana ad un mero collegamento che rinvia al portale dell’Autorità francese per la protezione dei dati (CNIL), la quale ha messo a disposizione un software di ausilio per la valutazione d’impatto sulla protezione dei dati, senza che costituisca un modello a cui fare riferimento in ogni situazione.
Ti potrebbe interessare.. Privacy 2018, il Regolamento protezione dati negli Studi professionali
Il registro delle attività di trattamento
Il Regolamento introduce un’ulteriore adempimento. Prevede infatti che i titolari e i responsabili del trattamento annotino su un apposito registro le operazioni relative al trattamento dei dati personali (art. 30, parr. 1 e 2), ma esclude che le imprese con meno di 250 dipendenti siano vincolate alla tenuta di detto registro (art. 30, par. 5). Tuttavia, quest’ultima deroga non si applica, con conseguente riespansione degli effetti della regola generale, allorché il trattamento: a) presenti un rischio per i diritti e le libertà dell’interessato; b) non sia occasionale; c) o includa categorie particolari di dati di cui all’art. 9 (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) ovvero dati personali relativi a condanne penali e reati di cui all’art. 10. Occorre che il Garante precisi la portata dell’art. 30, par. 5, del Regolamento.
La disposizione necessita infatti di una interpretazione che tenga conto delle dimensioni dell’impresa e dell’entità delle attività poste in essere. All’inverso, lasciando che si insinui una interpretazione eccessivamente lasca ed estensiva, si corre il rischio che il gravame colpisca molte di quelle micro o piccole imprese che trattano in maniera estemporanea informazioni specifiche per soddisfare le richieste della clientela, senza che tali informazioni siano concretamente utilizzabili per altri fini (si pensi ad una parrucchiera che acquisisca l’informazione di una allergia di una cliente rispetto alla somministrazione di un determinato cosmetico).
Il responsabile della protezione dei dati
L’art. 37, par. 1, del Regolamento obbliga il titolare o il responsabile del trattamento alla designazione del responsabile della protezione dei dati (DPO – Data Protection Officer) per assolvere funzioni di supporto e controllo, consultive, formative e informative circa l’applicazione della nuova normativa. La designazione avviene in presenza delle seguenti ipotesi:
a) il trattamento è effettuato da un’autorità pubblica;
b) le attività principali del titolare del trattamento o del responsabile consistono in trattamenti che per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali (art. 9) o di dati relativi a condanne penali e a reati (art. 10). Al di fuori di questi casi, il titolare o il responsabile del trattamento possono comunque designare un responsabile della protezione dei dati (art. 37, par. 4).
Il Regolamento prescrive dunque la designazione del responsabile della protezione solo per ipotesi tassativamente previste, permettendo in ogni caso la discrezionale designazione di questa figura in tutte le ipotesi non obbligatorie. Ciononostante si sta facendo strada una interpretazione in base a cui sarebbe sempre conveniente individuare tale responsabile, indipendentemente dal coefficiente di pericolosità del trattamento e della relativa protezione.
D’altra parte, lo stesso Garante, nelle FAQ sul responsabile della protezione dei dati in ambito privato, dopo aver dispensato dalla designazione sia le imprese individuali o familiari che le piccole e medie imprese, raccomanda alla luce del principio di accountability la designazione del responsabile. Sicché, si chiede al Garante che ci si attenga ad una corretta interpretazione dell’art. 37 per cui la designazione, ove non necessaria, deve restare facoltativa, in modo da liberare le imprese da oneri non richiesti e rifuggire da una preoccupante situazione che rischia di precipitare in uno stato di confusione e allarmismo.
VIDEOCONFERENZA
Nuova Privacy: cosa fare dal 25 Maggio
Relatore: Carlo Nocera
Quando? 18 maggio 2018
A che ora? 15:30 – 18:30Programma
• I principi generali del trattamento
• I diritti dell’interessato
• Il principio dell’accountability
• Le diverse figure previste dal Regolamento (titolare, responsabile e DPO): attribuzioni e responsabilità
• I registri delle attività di trattamento nello Studio Professionale
• La valutazione dei rischi
• Attività di sindaco e valutazione adeguatezza privacy dell’impresa
I codici di condotta
Il Regolamento prescrive inoltre che Stati membri, autorità di controllo, comitato europeo per la protezione dei dati e Commissione europea debbano incoraggiare l’elaborazione di codici di condotta. Tali soggetti sono chiamati a contribuire alla corretta applicazione del Regolamento, «in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese» (art. 40, par. 1).
Allo scopo di precisare l’applicazione del presente regolamento, le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento «possono elaborare i codici di condotta, modificarli o prorogarli» e sottoporre il relativo progetto all’autorità di controllo competente per l’eventuale parere di conformità e il conseguente placet sull’intero progetto di codice, modifica o proroga (art. 40, parr. 2 e 5). Ove approvati dal Garante e validati dalla Commissione europea, i titolari o i responsabili del trattamento possono aderire ai predetti codici (art. 40, parr. 3 e 9).
A dispetto però di quanto disciplinato dalla normativa europea, l’autorità italiana per la protezione dei dati personali non ha dato impulso ad un reale percorso di coinvolgimento che contempli la partecipazione di associazioni e rappresentanti di micro, piccole e medie imprese. Pertanto, si chiede al Garante di attivare al più presto un tavolo tecnico con le predette realtà per elaborare delle proposte che avviino alla stagione dei codici di condotta, fortemente improntati alla semplificazione amministrativa.
La proroga dell’entrata in vigore delle sanzioni
Alla luce dei ritardi accumulati dal Governo nella adozione del decreto legislativo teso ad adeguare la normativa nazionale al Regolamento UE 2016/679 del 27 aprile 2016 e delle incertezze mostrate dal Garante nella definizione di una puntuale cornice interpretativa di sussidio alle imprese, appare opportuno riflettere su un dato di fondo in vista della sua imminente applicazione (25 maggio p.v.).
La normativa in questione si prepara ad entrare in vigore in un clima in cui serpeggia il malumore, il senso di sfiducia e il timore per le nuove sanzioni (art. 83). In questo quadro, le imprese invocano legittimamente flessibilità nei controlli e una più stretta collaborazione con il Garante della privacy.
Di conseguenza, sul modello del periodo di grazia già ottenuto in sede europea dalla Francia, si chiede la concessione di una fase transitoria di sei mesi nel corso della quale non potranno essere irrogate sanzioni alle imprese che, a seguito di ispezioni, siano rimaste indietro rispetto ai nuovi adempimenti. In altri termini, appare opportuno concedere un lasso minimo di tempo per consentire ai soggetti interessati di completare i propri piani di adeguamento alla nuova normativa ed evitare quindi di incorrere in sanzioni considerevolmente onerose. In tal senso, nell’ambito dell’esame dello schema di decreto legislativo che adegua la normativa nazionale alle disposizioni del regolamento in esame, risulta doveroso inserire la proroga sulle sanzioni.
Ti potrebbe interessare Privacy 2018, PMI e protezione dei dati
Scrivi un commento
Accedi per poter inserire un commento