Novità privacy nel GDPR. Il Regolamento Europeo 2016/679, infatti, introduce molti cambiamenti in materia di protezione dei dati personali, con il corrispondente obbligo per le aziende private e la PA di adeguarsi per evitare le pesanti sanzioni previste.
Scopriamo quali sono le novità privacy nel regolamento europeo più importanti.
Responsabile della protezione dei dati (Data Protection Officer)
Scorrendo tra le novità privacy nel GDPR, l’articolo 37 introduce il Dpo – Data Protection Officer, una figura professionale nuova per l’Italia.
Nel settore pubblico il Dpo è sempre obbligatorio, fatta eccezione per le autorità giudiziarie.
Nel settore privato, invece, la nomina del Dpo è obbligatoria per i soggetti la cui attività principale consiste in trattamenti che per loro natura, oggetto o finalità richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e, inoltre, per tutti i soggetti la cui attività principale consiste nel trattamento su larga scala di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Compiti fondamentali del Dpo sono: supportare il titolare del trattamento in ogni attività connessa alla protezione dei dati personali e sorvegliare sul rispetto del GDPR, valutando i rischi di ogni trattamento alla luce della sua natura, dell’ambito di applicazione, del contesto e delle finalità.
Registro dei trattamenti (record of processing activities)
L’articolo 30 stabilisce che tutti i titolari e i responsabili del trattamento, fatta eccezione per chi ha meno di 250 dipendenti e non effettua trattamenti a rischio, devono redigere tale registro.
Il registro dei trattamenti è uno strumento fondamentale, sia per un’eventuale supervisione da parte del Garante Privacy, ma soprattutto perché fornisce un quadro aggiornato dei trattamenti svolti da un’azienda o un soggetto pubblico. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta dell’autorità di controllo.
Nuovi diritti per i soggetti interessati
Il Gdpr introduce nuovi diritti per i titolari dei dati, come ad esempio:
– diritto all’oblio (right to be forgotten, art. 17): permette di ottenere dal titolare del trattamento la cancellazione dei dati personali che ci riguardano, laddove sussistano alcune motivazioni.
Ad esempio: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati oppure l’interessato ha revocato il consenso su cui si basava il trattamento o ancora nel caso in cui i dati personali siano stati trattati illecitamente.
– diritto alla portabilità dei dati (right to data portability, art. 20): permette di ricevere i dati personali trattati da un titolare e conservarli su un supporto personale o un cloud privato in vista di un utilizzo ulteriore per scopi personali (ad esempio, è possibile recuperare l’elenco dei brani musicali preferiti detenuto da un servizio streaming, per scoprire quante volte abbiamo ascoltato determinati brani).
Tale diritto, inoltre, consente di trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento, come ad esempio un diverso fornitore di servizi.
Principio di responsabilizzazione (accountability principle, artt. 5 e 24)
I titolari e i responsabili del trattamento dei dati devono non solo adottare, ma anche dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR.
Costituiscono una specificazione di tale principio gli obblighi di:
– protezione dei dati personali fin dalla progettazione e per impostazione predefinita (data protection by design and by default, art. 25);
– sicurezza del trattamento (security of processing, art. 32).
Fondamenti di liceità del trattamento (lawfulness of processing, art. 6)
Il GDPR stabilisce che il trattamento dei dati personali di un soggetto interessato è lecito solo se si fonda su un’idonea base giuridica. Questa può essere costituita, ad esempio, dal consenso dell’interessato ovvero da un contratto di cui l’interessato è parte.
Consenso (art. 7)
Tra le novità privacy nel GDPR, quella relativa al consenso è forse la più importante. Per i dati “sensibili” e per le decisioni basate su trattamenti automatizzati il consenso deve essere “esplicito”. Il titolare, inoltre, deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Notifica al Garante della Privacy della violazione dei dati personali (notification of a personal data breach, art. 33)
Laddove si verifichi una violazione dei dati personali, il titolare del trattamento è tenuto a notificare l’accaduto al Garante della Privacy senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. L’obbligo decade qualora il titolare reputi improbabile che tale violazione presenti un rischio per i diritti e le libertà delle persone fisiche.
Valutazione d’impatto sulla protezione dei dati (data protection impact assessment – DPIA, art. 35)
La valutazione va fatta prima di procedere al trattamento dei dati personali per valutare quali rischi questo può produrre sulla protezione degli stessi. La valutazione d’impatto è obbligatoria in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
