Dal Codice privacy al Regolamento UE 2016/679: quali regole per il trattamento dati?

0 Flares 0 Flares ×

regole-trattamento-dati-personali

Le regole che una società o un professionista deve osservare perché i dati trattati nello svolgimento della propria attività, anche online, sia conforme alla legge sono contenute nel D. Lgs. 196/2003 (Codice privacy) e nei Provvedimenti dell’Autorità Garante per la protezione dei dati personali (si pensi, ad esempio, alle Linee Guida in materia di attività promozionale e contrasto allo spam del 2013 e al Provvedimento sull’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie del 2014).

In base alla disciplina contenuta nel Codice privacy, il titolare (ossia il soggetto che ha il potere decisionale in ordine al trattamento dei dati) è tenuto a:

  • Osservare i principi generali, in base ai quali i dati devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi e utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati (cfr. art. 11 del D. Lgs. 196/2003);
  • Fornire all’interessato l’informativa privacy completa di tutti gli elementi richiesti dall’art. 13 del Codice privacy e dalle ulteriori specifiche disposizioni che trovano applicazione in determinati settori (così, ad esempio, con riferimento ai cookie);
  • Acquisire il consenso dell’interessato secondo quanto previsto dall’art. 23 del D. lgs. 196/2003, a meno che il trattamento non sia effettuato sulla base di altra condizione di liceità (così, ad esempio, nel caso di dati trattati per obblighi derivanti dalla legge o dal contratto di cui è parte l’interessato);
  • In base agli artt. 31 e seguenti del Codice privacy, adottare le misure di sicurezza minime e idonee, così da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;
  • Conferire ai soggetti coinvolti nelle operazioni di trattamento apposita nomina a incaricato o a responsabile, ai sensi degli artt. 30 e 29 del D. Lgs. 196/2003;
  • Prestare attenzione all’eventuale trasferimento di dati all’estero, tenendo conto che lo stesso è consentito solo se il Paese di destinazione offre adeguate garanzie e in presenza dei presupposti specificamente indicati dagli artt. 43 e 44 del Codice privacy;
  • Sottoporre a verifica preliminare del Garante il trattamento che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare (cfr. art. 17 del D. Lgs. 196/2003);
  • Effettuare la notificazione al Garante se si svolgono trattamenti che rientrano nelle ipotesi espressamente previste nell’art. 37 del Codice privacy.

La disciplina privacy attualmente in vigore è però destinata a essere sostituita.

Dal 25 maggio 2018, infatti, troverà applicazione il Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679) ed è inoltre in fase di definizione il Regolamento che andrà ad abrogare la Direttiva e-privacy da cui derivano, tra gli altri, gli articoli 122 e 130 del nostro Codice privacy (norme di riferimento, rispettivamente, in materia di cookie e di marketing).

Il Regolamento UE 2016/679 che – come detto – è già in vigore, ma sarà applicabile dal 25 maggio 2018:

  • Richiama i principi generali previsti già nel Codice privacy e ne introduce di nuovi (così per i principi della privacy by design e by default, che impongono di considerare i profili privacy fin dalla fase di progettazione e pianificazione e di mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento);
  • Conferma alcuni adempimenti già previsti dal D. Lgs. 196/2003 (così per quanto riguarda l’obbligo di fornire agli interessati l’informativa o di acquisire il consenso in assenza di altra condizione di liceità), inserendo alcuni elementi di novità (si pensi ad alcune indicazioni ulteriori sul trattamento che occorre fornire all’interessato attraverso l’informativa e al legittimo interesse, individuata quale idonea base giuridica sulla base di una valutazione rimessa direttamente al titolare e non più all’Autorità);
  • Introduce nuove prescrizioni (così per la designazione del Data Protection Officer – obbligatoria nei casi previsti nell’art. 37 del Regolamento UE – e per la tenuta dei registri del trattamento previsti all’art. 30 del nuovo testo normativo);
  • Individua nuovi diritti per l’interessato (si pensi ad esempio al diritto all’oblio e al diritto alla portabilità dei dati trattati con mezzi automatizzati, disciplinati, rispettivamente, agli artt. 17 e 20 del Regolamento europeo 679);
  • Estende la portata di alcuni adempimenti già previsti dal Codice privacy (così per l’obbligo – che diventa generalizzato – di comunicare all’Autorità eventuali violazioni dei dati personali (data breach), ex art. 33 del testo di prossima applicazione);
  • Introduce maggiori responsabilità e prevede e un impianto sanzionatorio più rigido (sul punto basti considerare che la violazione degli obblighi elencati al comma 5 dell’art. 83 del Regolamento – tra cui i principi di base del trattamento, comprese le condizioni relative al consenso, i diritti degli interessati o i trasferimenti di dati personali a un destinatario in un paese terzo – comporta sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore), ferme restando le responsabilità penali che continueranno a derivare dalla normativa nazionale.

Cosa fare in questa fase di passaggio?

In questa fase occorre:

  • verificare se si stia operando nel rispetto dei principi e obblighi prescritti dal D. Lgs. 196/2003 e attivarsi per colmare eventuali mancanze
  • considerare gli elementi di novità introdotti dal Regolamento europeo in materia di protezione dei dati personali e pianificare gli interventi necessari per avviare il processo di adeguamento.

A tal fine può essere sicuramente utile la Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali con cui il Garante privacy, attraverso raccomandazioni specifiche, suggerisce alcune azioni che possono essere intraprese sin d’ora in modo da arrivare preparati all’appuntamento del 25 maggio 2018, data in cui il Regolamento UE 2016/679 troverà applicazione.

Roberta Rapicavoli

Avvocato, ha conseguito un Master di primo livello in "Diritto delle tecnologie informatiche" ed esercita l'attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a Internet e alle nuove tecnologie, prestando assistenza a imprese, professionisti e privati.

Libri scritti da Roberta Rapicavoli

0 Flares Twitter 0 Facebook 0 LinkedIn 0 0 Flares ×

Replica

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

I dati saranno trattati per consentire l'inserimento e la pubblicazione dei commenti e delle recensioni. Prima di lasciare il tuo commento, leggi l'Informativa Privacy

0 Flares Twitter 0 Facebook 0 LinkedIn 0 0 Flares ×