Nuova HOME
Home
Chi siamo
Cosa facciamo
Per le imprese
Contatti e P.C.T.
Chiedi un parere
Storia
CV - Curricula
News
Articoli e Materiali

Novità apportate dal Regolamento UE n. 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ed adeguamento delle aziende


PARTE I

ILLUSTRAZIONE SINTETICA DELLE PRINCIPALI NOVITA' NORMATIVE

Il Regolamento UE n. 679/2016 e rapporti con il Codice Privacy

Profili di novità del Regolamento

Le principali novità nel testo normativo

Sanzioni

PARTE II – ILLUSTRAZIONE DEL MODELLO ORGANIZZATIVO INTERNO SUL TRATTAMENTO DEI DATI PER L'ADEGUAMENTO ALLE NUOVE NORME

Il modello organizzativo aziendale sul trattamento dei dati

(Segue): il Responsabile per la protezione dei dati

L'assistenza dello Studio nell'adeguamento alle disposizioni introdotte dal Regolamento

PARTE I

Il Regolamento UE n. 679/2016 e rapporti con il Codice Privacy.

In data 27 aprile 2016 è stato approvato il Regolamento UE n. 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (il “Regolamento”).

Il Regolamento è stato pubblicato sulla Gazzetta Ufficiale dell'Unione Europea in data 4 maggio 2016.

Ai sensi dell'art. 99, comma 2, “Esso si applica a decorrere dal 25 maggio 2018”, data dalla quale sarà direttamente efficace negli Stati membri, senza necessità dell'emanazione di ulteriore normativa di recepimento interna.

Il Regolamento non abroga il Codice Privacy e, dunque, sintanto che esso non sarà abrogato o modificato potrà verificarsi un periodo di applicazione di entrambe le normative.


Profili di novità del Regolamento.

Nelle originarie intenzioni del legislatore Europeo, il nuovo Regolamento avrebbe dovuto consentire di aggiornare ed armonizzare la disciplina sulla protezione dei dati personali per tenere conto dei seguenti fattori:

  • evoluzione tecnologica;

  • diritto all'oblio;

  • Big Data (si tratta della raccolta in grandissimi data set - insiemi di dati su un relativo argomento - di tutte le informazioni che vengono emesse nella rete internet);

  • social network.



Non tutti gli obiettivi di cui sopra sono stati raggiunti, con particolare all'inesistenza di norme apposite per i social network. Tuttavia, ulteriori novità sono l'introduzione di un sistema normativo che impone alle imprese di rivedere la propria organizzazione interna valorizzando principi organizzativi come quello di accountability (c.d. “Responsabilizzazione”), che dovrebbe essere declinato a sua volta con l'applicazione concreta nell'organizzazione aziendale dei principi della “Privacy by design” e “Privacy by default”, oltreché all’obbligatorietà in determinati casi di una preventiva valutazione d’impatto sulla protezione dei dati personali (Privacy Impact Assessment - PIA) e della notificazione dei casi di violazione dei dati personali all’Autorità di controllo. Per gestire tutti i nuovi adempimenti, poi, è stata introdotta anche la nuova figura del Responsabile della protezione dei dati personali (c.d. Data Protection Officer).


Le principali novità nel testo normativo.

Tra le principali novità introdotte dal Regolamento rispetto all'attuale normativa interna vanno menzionate le seguenti:


  • gli artt. 12, 13 e 14 (che disciplinano le informazioni sul trattamento dei dati da fornire all'interessato, distinguendo i casi in cui i dati siano stati o meno raccolti presso l'interessato o acquisite da terzi);

  • l'art. 17 (Diritto all'oblio, cioé il diritto – a determinate condizioni - alla cancellazione dei dati personali oggetto di trattamento);

  • l'art. 18 (Diritto di limitazione del trattamento, che consente all'interessato – in alternativa alla cancellazione - di far effettuare trattamenti relativi ai propri dati personali soltanto con il proprio consenso);

  • l'art. 20 (Portabilità dei dati);

  • l'art. 22 (Processo decisionale automatizzato, compresa la profilazione);

  • l'art. 25 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita);

  • l'art. 26 (Contitolari del trattamento);

  • l'art. 30 (Registri delle attività di trattamento, che devono essere tenuti dal Titolare a determinate condizioni);

  • l'art. 33 (Notifica di una violazione dei dati personali all'autorità di controllo);

  • l'art. 34 (Comunicazione di una violazione dei dati personali all'interessato);

  • l'art. 35 (Valutazione d'impatto sulla protezione dei dati);

  • l'art. 36 (Consultazione preventiva);

  • - l'art. 37 (Designazione del Responsabile della protezione dei dati) - c.d. Data Protection Officer;

  • l'art. 40 (Codici di Condotta);

  • l'art. 42 (Certificazione), che prevede l'introduzione di un sistema di certificazione della protezione dei dati e la conformità al Regolamento;

  • gli artt. 44, 45, 46 e 47, che modificano la disciplina del trasferimento dei dati verso un Paese terzo (non appartenente all'Unione Europea) e le norme vincolanti d'impresa rispetto al trattamento dei dati personali.


Sanzioni.

L'impianto normativo del Regolamento è assistito dalla possibilità di prescrivere misure ed irrogare sanzioni pecuniarie (anche in aggiunta alle misure), anche per importi estremamente elevati.


Per quanto attiene alle misure, l'art. 58, comma 2, prevede che “Ogni autorità di controllo ha tutti i poteri correttivi seguenti:

a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;

b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;

c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento;

d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;

e) ingiungere al titolare del trattamento di comunicare all'interessato una violazione dei dati personali;

f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;

g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'articolo 17, paragrafo 2, e dell'articolo 19;

h) revocare la certificazione o ingiungere all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;

j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale”.


Le sanzioni amministrative pecuniarie, invece, sono disciplinate dall'art. 83, che prevede che: “Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive”.


L'entità delle sanzioni varia in ragione della tipologia del comportamento illecito e degli altri fattori elencati nell'art. 83.


Nel merito, i commi 4, 5 e 6 dell'art. 83 prevedono che In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;

b) gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;

c) gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;

5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.

6. In conformità del paragrafo 2 del presente articolo, l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.


PARTE II – ILLUSTRAZIONE DEL MODELLO ORGANIZZATIVO INTERNO SUL TRATTAMENTO DEI DATI PER L'ADEGUAMENTO ALLE NUOVE NORME.

Il modello organizzativo aziendale sul trattamento dei dati.

Uno dei pilastri del Regolamento è la valorizzazione del principio della responsabilizzazione del Titolare del trattamento all'adozione spontanea di una forma di organizzazione aziendale in grado di assicurare il rispetto dei principi sanciti dal Regolamento per il lecito trattamento dei dati e prevenire le violazioni sul trattamento dei dati.


Si tratta del cosiddetto principio di “accountability”, che è già stato adottato dal legislatore interno ad esempio in relazione alla responsabilità amministrativa degli enti ai sensi del D.Lgs. n. 231/2001.


Corollario di tale principio, infatti, così come per il D.Lgs. n. 231/2001 è l'obbligo per il titolare del trattamento di essere in grado in qualsiasi momento di rendicontare con precisione le misure adottate nel trattamento dei dati personali per garantire il rispetto del Regolamento.


A questo proposito, il Regolamento prevede che per attestare la conformità della propria azienda al Regolamento il titolare possa conformarsi a particolari Codici di Condotta (cfr. art. 40), oppure affidarsi alla certificazione da parte di organismi indipendenti accreditati a tal fine (cfr. art. 42).


In ogni caso, ciò che più conta è che il titolare deve assicurare che l'intero sistema aziendale relativo al trattamento dei dati sia progettato sin dall'inizio tenendo conto dell'esigenza di proteggere i dati personali, che deve diventare una delle priorità secondo le quali impostare le procedure operative aziendali.


A questo riguardo, infatti, l'art. 25 del Regolamento prevede che:

1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.


Per adeguarsi al Regolamento, dunque, l'azienda deve, quindi, riesaminare tutto il flusso dei dati personali e di gestione dei relativi archivi, cartacei ed informatici, verificando per ogni singolo trattamento il rispetto dei requisiti previsti dal Regolamento.


Si tratta di un'attività che comporta la revisione delle procedure esistenti e l'eventuale implementazione di nuove procedure e regole all'interno dell'azienda in grado di garantire il rispetto dei requisiti previsti dal Regolamento.


In particolare, sarà necessario effettuare:

  1. l'analisi di tutti i dati oggetto di trattamento;

  2. la verifica del trattamento di dati cosiddetti sensibili (cfr. artt. 9 e 10 del Regolamento) per la previsione di particolari precauzioni;

  3. l'analisi di tutte le finalità del trattamento;

  4. l'analisi delle varie fasi di ciascun trattamento in relazione alle finalità individuate;

  5. l'analisi delle persone coinvolte nelle varie fasi dei trattamenti;

  6. l'analisi dei rischi che incombono sui dati, in relazione anche alle strutture cartacee ed informatiche con le quali vengono trattati;

  7. nel caso in cui si utilizzino nuove tecniche di trattamento, nuove tecnologie o vi siano rischi particolari, l'effettuazione di una valutazione d'impatto dei trattamenti previsti sulla protezione dei dati personali;

  8. la costruzione di un modello organizzativo interno che risponda ai requisiti richiesti dal Regolamento ed in particolare dall'art. 25;

  9. l'eventuale necessità e/o opportunità della nomina di un Responsabile del trattamento dei dati (cfr. art. 28 del regolamento);

  10. l'eventuale necessità e/o opportunità della nomina di un Responsabile della protezione dei dati.


(Segue): il Responsabile per la protezione dei dati.

In particolare, per quanto attiene alla necessità o all'opportunità di nominare un Responsabile per la protezione dei dati, sarà necessario considerare che questa figura può garantire un alto livello di compliance dell'organizzazione aziendale al Regolamento, essendo in possesso di un elevato livello di professionalità.


Infatti, secondo l'art. 37, co. 5 del Regolamento “ Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39”.


Il Responsabile per la protezione dei dati può essere individuato in una figura interna o esterna all'azienda.


Nel primo caso, tale funzione potrà essere ricoperta da un dipendente.


Nel secondo caso, invece, essa potrà essere svolta da un terzo sulla base di un contratto di servizi.


I compiti minimi del Responsabile della protezione dei dati sono stabiliti dall'art. 39 del Regolamento e sono i seguenti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo; e

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2. Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo”.


L'assistenza dello Studio nell'adeguamento alle disposizioni introdotte dal Regolamento

In virtù dell'esperienza maturata, lo Studio è in grado di assistere l'azienda nelle attività propedeutiche all'adeguamento del modello di organizzazione interno alle prescrizioni ed ai principi stabiliti dal Regolamento.


In particolare, l'attività dello Studio viene svolta attraverso:

  1. una prima fase di osservazione sul campo e raccolta delle informazioni relativamente al sistema già in essere relativo al trattamento dei dati personali;

  2. in tale fase, viene esaminata anche tutta la documentazione già prodotta dall'azienda relativamente al trattamento dei dati, ivi comprese l'informativa da rilasciare alle varie categorie di interessati, la modulistica contrattuale, i contratti con il personale, ecc.

  3. generalmente, la prima fase viene portata a termine entro 30 giorni dal conferimento dell'incarico.

  4. nella fase successiva, lo Studio si occupa di predisporre una proposta di modello organizzativo per l'azienda che rispecchi i principi ed i criteri direttivi previsti dal Regolamento, anche attraverso la predisposizione della rilevante documentazione interna, quale: procedure, regolamenti, lettere per il personale, modulistica contrattuale, nomina del Responsabile del trattamento e/o del Responsabile della protezione dei dati.

  5. Generalmente tale seconda fase viene portata a termine entro 60 giorni dalla conclusione della prima.

  6. Nella terza fase vengono discussi i risultati raggiunti con i responsabili interni dell'azienda ed apportati gli eventuali correttivi alle bozze elaborate.

  7. Tale fase viene completata generalmente nei 10 giorni successivi al ricevimento del feedback da parte dell'azienda sul lavoro svolto.

  8. Infine, lo Studio predispone le bozze degli atti organizzativi interni utili all'implementazione del nuovo modello all'interno dell'azienda (es. delibere del CDA). Tale fase richiede un preavviso di pochi giorni.


Lo Studio, all'occorrenza, può fornire anche consulenza per l'individuazione della figura del Responsabile della protezione dei dati
logo
Site Map