EUROPA

Pmi e protezione dei dati, il nuovo Regolamento Ue

Con norme più rigorose in materia di protezione dei dati sensibili, e un insieme unico di norme per tutte le aziende che lavorano nell’Unione europea a prescindere dall’ubicazione della propria sede, dal 25 maggio 2018 i cittadini avranno maggiore controllo sui propri dati e vantaggi commerciali a parità di condizioni per tutti. A partire da tale data entra infatti in vigore il nuovo Regolamento sulla protezione dei dati (European General Data Protection Act, GDPR) e la Ue fornisce nuovi chiarimenti sugli obblighi delle piccole e medie imprese che vi devono uniformare e guide online per imprese e cittadini sulla protezione dei dati personali sulla base delle nuove direttive: a tal fine vengono destinati 2 milioni di euro per le misure idonee e la pubblicazione online di nuovi materiali informativi. Tra gli obiettivi del GDPR, proteggere la privacy di tutti i cittadini europei dalle violazioni dei dati, in una realtà evidentemente molto diversa dall’epoca in cui è stata emanata la Direttiva del 1995, anche se i principi chiave della tutela dei dati sono ancora quelli.

Il Regolamento generale sulla protezione dei dati dell’Ue sostituisce la direttiva 95/46/CE sulla protezione dei dati ed è stato disegnato per armonizzare le leggi sulla privacy dei dati in tutta Europa, per proteggere e responsabilizzare tutti i cittadini europei sulla privacy dei dati e per rimodellare il modo in cui le organizzazioni approcciano i dati privacy: gli obiettivi del Regolamento sono la libera circolazione dei dati, la tutela della vita privata, il rafforzamento della fiducia dei consumatori e la loro sicurezza.

 

Pmi e privacy

Secondo la Commissione europea solo il 15% delle persone ritiene di avere il completo controllo sulle informazioni che fornisce online e la mancanza di fiducia nelle “vecchie” norme sulla protezione dei dati ostacola l’economia digitale e l’attività d’impresa. Da qui l’esigenza di un insieme unico di norme per tutte le aziende che trattano dati nell’Unione, per semplificare l’attività delle imprese, di un nuovo sistema capace di ridurre i costi, visto che con il precedente sistema costava 130 milioni di euro informare le 28 diverse Autorità nazionali per la protezione dei dati: i vantaggi economici derivanti dall’avere un’unica legge sono stimati in 2,3 miliardi di euro.

Le Pmi devono registrare il trattamento dei dati solo se questo: avviene abitualmente, rappresenta una minaccia per i diritti e le libertà delle persone, si occupa di dati sensibili o casellari giudiziali. Le registrazioni devono contenere: il nome e i contatti dell’azienda, il motivo per il trattamento dei dati, la descrizione delle categorie degli interessati e dei dati personali, le categorie di organizzazioni che ricevono i dati, il trasferimento dei dati a un altro paese o organizzazione, ecc.

Nel sito della Commissione viene riassunto schematicamente ciò che deve fare un’azienda: proteggere i diritti delle persone che forniscono i propri dati; comunicare utilizzando un linguaggio semplice; presentarsi quando si richiedono dei dati spiegando perché si trattano, per quanto tempo verranno conservati e chi li riceve; ottenere il consenso esplicito per trattare i dati; controllare il limite d’età per il consenso dei genitori; informare delle violazioni dei dati se c’è il grave rischio che ciò avvenga; garantire il diritto all’oblio.

In un’azienda l’applicazione del nuovo Regolamento non dipende dalle sue dimensioni, ma dall’attività svolta. E’ ovvio che quelle che utilizzano dati sensibili – salute, appartenenza etnica, orientamento sessuale, credenze religiose e politiche – devono utilizzare misure aggiuntive per tutelarne la protezione. Un’azienda con meno di 250 dipendenti, ad esempio, non deve tenere traccia di tutti i dati dei clienti, a meno che la gestione dei dati non sia un’attività regolare, possa minacciare diritti o libertà individuali, riguardi dati sensibili o relativi al casellario giudiziario, e non è necessariamente obbligata ad avere un Data Protection Officer (Dpo).

 

Quanti cambiamenti

Vediamo in sintesi alcuni dei numerosi cambiamenti introdotti: intanto, una normativa unica al fine di fornire certezza giuridica e protezione dei dati nell’intera Unione europea; maggiori diritti per i cittadini, come l’informazione, l’accesso, l’oblio, ecc.; le stesse norme per tutte le aziende che offrono servizi, anche se la loro sede è extracomunitaria; è incrementata la protezione contro le violazioni, con l’obbligo di notifica entro 72 ore all’Autorità; la portabilità dei dati; sanzioni durissime, che possono arrivare fino a 20 milioni di euro oppure, per un’impresa, fino al 4% del fatturato annuo a livello mondiale.

Ma vediamo in dettaglio alcuni di questi cambiamenti.

 

L’ambito territoriale

Intanto, viene esteso l’ambito territoriale (applicabilità extraterritoriale), la giurisdizione del GDPR, che si applica a tutte le società che trattano i dati personali degli interessati residenti nell’Unione, indipendentemente dalla sede della società, mentre in precedenza l’applicabilità territoriale della Direttiva 95/46 risultava vaga, riferendosi al processo dei dati “nel contesto di uno stabilimento”. Su questo argomento il nuovo Regolamento è molto chiaro: si applicherà al trattamento dei dati personali da parte dei responsabili del trattamento nell’Unione, indipendentemente dal fatto che l’elaborazione avvenga nell’Ue o meno. Il GDPR si applicherà anche al trattamento dei dati personali da parte di un responsabile o un incaricato del trattamento non stabilito nell’Ue, nei casi in cui le attività riguardano l’offerta di beni o servizi ai cittadini europei – indipendentemente dal fatto che sia richiesto un pagamento – e il monitoraggio dei comportamenti che si svolgono all’interno dell’UE: anche le imprese extra Ue che trattano i dati di cittadini dell’Unione dovranno nominare un rappresentante nell’Ue.

 

Il consenso

Le condizioni per il consenso sono state rafforzate e le aziende non saranno più in grado di utilizzare termini e condizioni prolissi, poco chiari e farciti di tecnicismi: la richiesta di consenso deve essere scritta utilizzando un linguaggio semplice, in forma chiara e facilmente accessibile: lo stesso dicasi per le modalità di ritiro del consenso.

 

I diritti

Il diritto di accesso. Uno dei diritti ampliati dal GDPR è quello di ottenere dal titolare del trattamento la conferma dell’esistenza o meno di dati personali che riguardano gli interessati, dove si trovano e per quale scopo vengono utilizzati. Il responsabile del trattamento fornisce, inoltre, una copia dei dati personali a titolo gratuito e in formato elettronico.

Il diritto all’oblio. Conosciuto anche come “cancellazione dei dati”, il diritto di essere dimenticato autorizza l’interessato a far sì che il responsabile del trattamento cancelli i suoi dati personali, concludendo la ulteriore diffusione dei dati e impedendo a terzi di elaborarli.

Privacy per il design. La privacy dal design in realtà esiste da tempo, ma diventa parte di un requisito legale solo con il GDPR, che prevede l’inclusione della protezione dei dati fin dall’inizio della progettazione dei sistemi, invece che essere un’aggiunta. Più in particolare: “Il responsabile del trattamento deve attuare adeguate misure tecniche e organizzative … in modo efficace … al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Responsabili della protezione dei dati. Attualmente i responsabili sono tenuti a notificare le loro attività di elaborazione dei dati con Dpa locali (Data Protection Act), con i problemi di ordine burocratico dovuti al fatto che la maggior parte dei Paesi membri ha requisiti di notifica diversi. Con il GDPR non sarà più necessario inviare notifiche/registrazioni delle attività di elaborazione dei dati a ciascun Dpa locale, né sarà necessario notificare/ottenere l’approvazione per i trasferimenti in base alle Clausole contrattuali tipo (Mcc). Saranno invece fissati requisiti interni per la tenuta dei registri e l’incarico di Data Protection Officer (Dpo) sarà obbligatorio solo per quei responsabili del trattamento le cui attività principali consistono in operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico di speciali categorie di dati, come quelli relativi a condanne penali e reati. È importante sottolineare che il Dpo: deve essere nominato sulla base delle qualità professionali e, in particolare, delle conoscenze specializzate in materia di diritto e di protezione dei dati; può essere un membro dello staff o un fornitore di servizi esterno; deve essere fornito di risorse adeguate per svolgere i propri compiti e mantenere le proprie conoscenze specialistiche; non deve svolgere altri compiti che potrebbero causare un conflitto di interessi.

 

La notifica di violazione dei dati

Con l’entrata in vigore del nuovo Regolamento, la notifica di violazione diventerà obbligatoria in tutti gli Stati membri nei quali una violazione dei dati può “comportare un rischio per i diritti e le libertà delle persone”. La notifica all’Autorità deve essere fatta entro 72 ore dalla prima conoscenza della violazione. I processori di dati, dopo esser venuti a conoscenza di una violazione, saranno inoltre tenuti a notificare ai propri clienti, “senza indebito ritardo”, i responsabili del trattamento.

 

Le sanzioni

La sanzione massima per la violazione del GDPR, che si applica nei casi più gravi – ad esempio, in caso di assenza di un sufficiente consenso del cliente per elaborare i dati o di violazione del nucleo della privacy in base ai concetti di design – può arrivare fino a 20 milioni di euro oppure, in caso di un’impresa, al 4% del fatturato globale annuo.

 

 

Desidero ricevere in abbonamento gratuito il vostro periodico FiscotoDay