La Privacy Europea – Regolamento UE 2016/679

1. Presentazione del Regolamento

Il Regolamento UE n. 2016/679 (Privacy Europea) è stato pubblicato in Gazzetta Ufficiale Europea il 4 maggio 2016.
Il Regolamento UE n. 2016/679 (in seguito Regolamento) sarà sanzionabile a partire dal 25 maggio 2018.
Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione Europea e non richiede una legge di recepimento nazionale.
Secondo l’articolo 1, com. 2 il Regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

La riforma è un passo fondamentale per rafforzare i diritti fondamentali dei cittadini nell’era digitale e facilitare le imprese semplificando le norme per le società del mercato unico digitale.

Il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).
Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato dato personale può comportare per i diritti e le libertà degli interessati.
Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche. Ad esempio, è previsto l’obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti delle persone, consultando l’Autorità di protezione dei dati in caso di dubbi.
Viene inoltre introdotta la figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti.
Il Regolamento punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei paesi dell’Unione Europea.

Imprese ed enti hanno più responsabilità, ma possono beneficiare di semplificazioni. In caso di inosservanza delle regole sono previste sanzioni, anche elevate.

2. Le Sanzioni

Il Regolamento introduce sanzioni e ammende. Per decidere la sanzione si prenderà in considerazione una serie di fattori: la gravità e la durata della violazione; il numero di soggetti interessati e il livello di danni subiti; il carattere intenzionale dell’infrazione; tutte le azioni adottate per mitigare i danni; il grado di cooperazione con l’autorità di vigilanza.

Il regolamento stabilisce due massimali per le ammende se le norme non sono rispettate. Il primo limite prevede ammende fino a un massimo di 10 milioni di euro, oppure, in caso di impegno, fino al 2% del fatturato annuale mondiale. Questa prima categoria di multa sarebbe applicata per esempio se i controllori hanno effettuato valutazioni dei rischi e degli impatti, come richiesto dal regolamento. Il massimale delle ammende raggiunge un massimo di 20 milioni di euro o il 4% del fatturato annuo mondiale.

3. Il nostro approccio per l’adeguamento al Regolamento

Step 0 – Valutazione preliminare (Check up)
Allo scopo di stabilire il livello di applicazione dei requisiti del regolamento viene eseguita l’analisi preliminare della situazione reale per identificare la natura, l’ambito di applicazione, il contesto, le finalità del trattamento.

Impegno: 1 gu

Step 1 – Sensibilizzazione
Corso introduttivo per illustrare il contenuto del Regolamento e per sensibilizzare i titolari, i responsabili e gli incaricati sulle problematiche, sulla gestione e sulla protezione dei dati in azienda.

Impegno: 1 gu

Step 2 – Analisi del contesto aziendale per identificare i dati personali (art. dal 5 al 23)
Esecuzione dell’analisi del contesto aziendale per identificare in dettaglio tutti i dati personali, la loro ubicazione e i trattamenti a loro riservati.

Impegno: (da definire)

Step 3 – Assegnazione e designazione delle responsabilità (art. dal 24 al 29, dal 37 al 39)

• Titolare e Contitolari del trattamento.
• Responsabili del trattamento.
• Rappresentanti del trattamento.
• Responsabile della Protezione dei dati (Data Protection Officer – DPO).

Impegno: 1 gu

Step 4 – Analisi dei rischi, valutazione degli impatti e progettazione delle misure adeguate di protezione (art. 32, 35)

• Esecuzione dell’analisi dei rischi, qualora la situazione lo richiede, tenendo contro dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche la probabilità degli eventi sfavorevoli e della gravità per i diritti e le libertà delle persone fisiche.
• Valutazione dei livelli di rischio e delle conseguenze.
• Definizione e progettazione delle misure tecniche, organizzative e ambientali adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre cose, se del caso:
  – la pseudomizzazione e la cifratura dei dati personali;
  – la capacità di assicurare su base la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
  – la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

Impegno: (da definire)

Step 5 – Preparazione delle procedure/istruzioni e della documentazione necessaria per il trattamento (art. 30 e altri)

• Preparazione delle procedure e delle istruzioni per la gestione della sicurezza per i dati.
• Preparazione della procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche, organizzative e ambientali al fine di garantire la sicurezza del trattamento.

Impegno: (da definire)

Step 6 – Implementazione delle misure (art. 32, 35)

• Durante questa fase saranno messe in atto le tecniche, organizzative e ambientali definiti.

Impegno: (da definire)

Step 7 – Formazione del personale

• Corso di formazione personale interno sul contenuto delle procedure allo scopo di garantire un comportamento idoneo e adeguato allaprotezione dei dati personali.

Impegno: (da definire)

Step 8 – Verifica del livello di protezione implementato (art. 32, 35)

• Al termine dell’attività si effettua la verifica, la valutazione e i test dell’efficacia delle misure tecniche, organizzative e ambientali implementate al fine di garantire la sicurezza del trattamento.
• Nel valutare l’adeguato livello, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Rimaniamo a completa disposizione per qualunque chiarimento.