La privacy 2.0 ridisegna l’organizzazione aziendale

Avv. Flaviano Sanzari

Il debutto, nel 2018, della nuova normativa europea sulla protezione dei dati personali impone alle aziende di cominciare ad adeguare policy e organizzazione interna, fin da ora, per arrivare preparate alla data del 25 maggio, quando sarà efficace in tutta l’Unione il Regolamento generale 679/2016.
Da quella data, infatti, la normativa europea sostituirà integralmente quella interna attualmente in vigore; il Regolamento sostituirà il nostro Codice privacy (in vigore dal 2003) e la disciplina in materia di trattamento dei dati tra i vari Paesi membri sarà uniforme.

Questo il quadro sintetico delle principali novità introdotte:

Codice Privacy Attuale Nuovo Regolamento UE
Soggetti coinvolti titolare del trattamento (chi svolge il trattamento e ne determina le finalità e modalità); responsabile (incaricato al trattamento dal titolare); incaricati al trattamento, ausiliari del responsabile.

L’autorità di controllo è il Garante della privacy.

Spariscono gli incaricati: al loro posto il regolamento cita i “soggetti autorizzati” senza specificare oltre. Restano il titolare e il responsabile. Il Garante rimane autorità di controllo. Viene introdotta una nuova figura: il Responsabile per la protezione del dati (DPO), consigliere dei titolari.
Principi I principi generali della disciplina attuale sono: necessità, liceità, correttezza, adeguatezza, trasparenza e pertinenza nel trattamento dei dati personali. Si aggiungono: accountability, l’obbligo per il titolare di adottare le misure necessarie perché le norme del regolamento siano rispettate, con la responsabilità di dimostrarlo; privacy by design e by default, per cui la tutela della privacy deve fare parte dei sistemi sin dalla progettazione.
Obblighi di chi tratta i dati Informare l’interessato, raccogliere il consenso se previsto e avere l’autorizzazione per trattare dati sensibili; notificare al Garante particolari tipi di trattamenti; adottare misure minime di sicurezza. Si aggiungo: regole specifiche per incarichi e deleghe, nomina del DPO, tenuta del Registro dei trattamenti (ove richiesto), organizzazione interna e sistemi tarati a priori per l’adempimento degli obblighi.
Diritti degli interessati Accesso ai dati, cancellazione, trasparenza, possibilità di ricorso, informazione e informativa. Si aggiungono: diritto all’oblio (informatico), diritto di ricevere i propri dati immediatamente in forma intelligibile, ricorsi su trattamenti di ogni tipo che abbiano una relazione con l’UE.
Sanzioni Le sanzioni amministrative, in base alla normativa violata vanno da 1.000 a 120mila euro. Può aggiungersi la pubblicazione, a spese proprie, del provvedimento su uno o più giornali. Se il fatto è reato sono previste sanzioni penali che vanno dai sei mesi a tre anni. Le sanzioni amministrative hanno un massino che arriva al maggiore importo tra 20 milioni di euro e il 4% del fatturato annuo di gruppo. Gli Stati possono prevedere sanzioni penali. Invariati i poteri di verifica, controllo, raccomandazione e divieto di trattamenti illeciti.