IL REGOLAMENTO EUROPEO SULLA PRIVACY – 679/2016/UE ADEMPIMENTI E SANZIONI PREVISTE
Domenico Piero Muscillo
Gestione Rendicontazione Monitoraggio Progetti Competitivi - Strategic Projects Reporting Management and Monitoring Officer@Università degli Studi di Firenze - Tech Transfer - IP Law - New Technologies
IL REGOLAMENTO EUROPEO SULLA PRIVACY – 679/2016/UE
ADEMPIMENTI DA COMPLETARE ENTRO IL TERMINE DEL 25 MAGGIO 2018 E LE RELATIVE SANZIONI IN CASO DI NON ADEMPIMENTO
Articolo scritto dal Dott. Domenico Piero Muscillo
PREMESSA
Il Regolamento UE n. 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (GDPR - GENERAL DATA PROTECTION REGULATION) - da qui in avanti indicato come “Regolamento” - approvato dal Parlamento e dal Consiglio dell'UE in data 27 aprile 2016, spiegherà i suoi effetti il prossimo 25 maggio 2018. Il suddetto Regolamento abroga la Direttiva 95/46/CE (del Parlamento Europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) la quale ha portato in Italia, all’adozione del vigente D.lgs. 30 giugno 2003 n.196 (“Codice Privacy”).
Di notevole importanza è quanto afferma il Legislatore UE, per mezzo dell'articolo 3 (“Applicazione territoriale”) del Regolamento in quanto dà il senso della novità portato da questo atto normativo, rispetto alla Direttiva 95/46/CE il quale prevede che la disciplina in materia di tutela di dati personali trovi applicazione, per il tramite delle legislazioni nazionali,
quando il trattamento di dati personali è effettuato “nel contesto delle attività di uno stabilimento del titolare SITUATO NELL’UE”.
L'art. 3 del Regolamento 2016/679 prevede invece che:
“Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, INDIPENDENTEMENTE DAL FATTO CHE IL TRATTAMENTO SIA EFFETTUATO O MENO NELL'UNIONE. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:
- l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.
Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.”.
Entro la data del 25 maggio 2018 imprese ed enti pubblici dovranno prepararsi in quanto ci sono diversi adempimenti, previsti dal suddetto Regolamento, che necessitano di tempo per essere completati.
Vediamo nel dettaglio quali sono i principali adempimenti previsti e le rispettive sanzioni in caso di loro mancata attuazione:
ADEMPIMENTI
“l'organizzazione interna dell'impresa”: l'impresa deve prevedere un'organizzazione in linea con quanto prevede il Regolamento (artt. 24 e ss). Ricoprono un ruolo fondamentale all'interno dell'impresa tre soggetti: il “Titolare del Trattamento dei dati personali” (art. 24), il “Responsabile del Trattamento” (art. 28) ed infine, forse la vera novità introdotta Regolamento – il “RPD” (Responsabile della protezione dei dati o “DPO” - acronimo inglese per Data Protection Officer, artt. 37 ~ 39). Il Titolare ha il compito di dare le istruzioni e di provvedere alla formazione degli autorizzati al trattamento dei dati. All'interno della struttura organizzaztiva dell'impresa o dell'organizzazione si trova, al livello superiore rispetto agli autorizzati al trattamento dei dati, il Responsabile del Trattamento (che potrà essere un referente esterno od un soggetto interno all'impresa). QUESTE SONO LE FIGURE CHE DOVRANNO ESSERE PREVISTE OBBLIGATORIAMENTE DALL'IMPRESA, INDIPENDENTEMENTE DALLA GRANDEZZA.Figura particolare e nuova è il RPD/DPO. La presenza di questa figura è obbligatoria per gli enti pubblici, ad eccezione degli organismi giudiziari. Per gli enti privati sarà obbligatoria solamente in due casi → quando l'attività principale consiste nel monitoraggio su larga scala delle persone; l'attività consiste nel trattamento, su larga scala, di dati sensibili, biometrici o giudiziari.Potrà essere sia un soggetto autonomo che un dipendente del titolare e comunque in tutti e due i casi dovrà essere uno specialista in materia (soprattutto per quanto riguarda le conoscenze giuridiche e della prassi da seguire).
“i rapporti con i fornitori esterni”: all'esterno della struttura aziendale potranno operare due tipologie di soggetti → “contitolari” - art. 26 - (i quali sono titolari di poteri decisionali autonomi e con i quali occorre stipulare un apposito contratto) oppure i “Responsabili esterni del trattamento” - art. 28 - (soggetti che trattano i dati per conto del Titolare del Trattamento e con i quali occorre stipluare un contratto che potrà avere anche le caratteristiche di un “contratto-quadro”, che preveda la possibilità per il responsabile di designare un sub-responsabile del trattamento). In entrambi i casi il contratto stipulato, con il “contitolare” o con i “Responsabili esterni del trattamento”, serve a delineare le responsabilità del titolare del trattamento e/o del contitolare/responsabili nei confronti del interessato del trattamento.
“i rapporti con i clienti/utenti”: il Titolare del Trattamento ha l'obbligo di informare gli interessati del trattamento fornendo essi un'idonea informativa – artt. 13 ~ 14 (sia nel caso di ottenimento dei dati presso l'interessato e sia nel caso contrario) nella quale si indicano l'identità del titolare del trattamento, i dati di contatto del DPO e le finalità di trattamento dei dati ottenuti (IMPORTANTISSIMO SARÀ L'INDICAZIONE DELLA BASE GIURIDICA DELLA FINALITÀ DEL TRATTAMENTO). Il Titolare dovrà inoltre verificare secondo quali condizioni potrà effettuare il trattamento dei dati ottenuti. In tal senso occorre distinguere tra due tipologie di dati: “comuni” e “particolari” e le rispettive possibili condizioni di trattamento lecito →
le possibilità riguardanti i primi sono indicati dall'articolo 6 del Regolamento e sono, solo per citarne alcuni, “l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”;
per i secondi le possibilità sono indicate nell'articolo 9 del Regolamento e sono, solo per citarne alcuni, “l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto; il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso; il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato”. Nel caso ove la condizione di liceità al trattamento dei dati sia rappresentata dal “consenso” (art. 7) bisognerà rispettare le modalità, previste dal Regolamento, per la formulazione in maniera corretta ed efficace del consenso. Quest'ultimo una volta concesso non andrà prestato nuovamente dall'interessato innun momento successivo alla data di entrata in vigore del Regolamento.
“Il consenso”: a detta del Regolamento (nel Considerando n. 32) l'interessato dovrà prestarlo liberamente, mediante un atto positivo, in maniera specifica ed inequivocabile al fine di accettare il trattamento dei propri dati da parte del Titolare del Trattamento. Se il trattamento fosse basato sul consenso, il Titolare dovrà essere in grado di dimostrare che l'interessato abbia prestato il proprio consenso, al trattamento dei propri dati personali, liberamente per mezzo di un atto positivo. Occorre valutare se il consenso sia stato prestato liberamente. Al fine di valutare quest'aspetto occorre tener conto dell'eventualità, tra le altre, che l'esecuzione di un contratto (compresa la prestazione di un servizio) sia condizionata alla prestazione del consenso al trattamento di dati personali che non sia non necessario all'esecuzione del medesimo. Secondo il Regolamento (Considerando n. 32) per “atto positivo” s'intende: “la dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.”. Il consenso potrà essere anche espresso mediante modalità elettroniche (ad esempio attraverso la selezione di una casella appositamente creata). Anche nel caso di espressione del consenso mediante modalità elettroniche occorre verificare che esso sia stato espresso in una forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Esso potrà essere espresso anche in via orale. Non è ammesso prestare il consenso per mezzo del silenzio, l'inattività o la preselezione di caselle (i quali non rappresentano “atti positivi”). Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte dal Titolare.
Nel caso in cui il trattamento perseguisse più finalità: il consenso potrà essere prestato per tutte queste.
Dovrà essere previsto il diritto dell'interessato di revocare il proprio consenso in qualsiasi momento (secondo quanto scritto nel Considerando n. 42). L'atto di revoca non pregiudica, in alcun modo la liceità del trattamento basato sulla prestazione del consenso prima dell'atto di revoca. Prima di esprimere il proprio consenso, l'interessato dovrà essere informato di ciò. Il consenso è revocato con la stessa facilità con cui viene accordato (art. 7).
“programmazione ed attuazione di sistemi di sicurezza nella protezione dei dati”: questi due adempimenti sono di vitale importanza per un'impresa ai fini del rispetto delle disposizioni del Regolamento in quanto l'obiettivo della “sicurezza privacy” è quello di proteggere la persona fisica e non soltanto i dati ed il sistema informativo. In particolare il Titolare del trattamento e il Responsabile del trattamento dovranno adoperare misure tecniche e organizzative che siano adeguate al fine di garantire un livello di sicurezza adeguato al rischio. Queste misure dovranno anche comprendere, tra le altre, se del caso in base all'art. 32:
la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il Titolare ed il Responsabile del Trattamento dovranno anche prevedere, in relazione al livello di sicurezza adottato, la stesura di una valutazione dei rischi presentati dal trattamento.
Quali sono questi possibili “rischi”? Quelli che potranno derivare in particolar modo dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
VIGE UN OBBLIGO DI NOTIFCA IN CAPO A TUTTI I TITOLARI DEL TRATTAMENTO.
In caso di violazione dei dati personali, il Titolare del trattamento, sulla base dell'art. 33, dovrà notificare la violazione all'Autorità di controllo competente (per l'Italia tratttasi del Garante della Privacy) a norma dell'articolo 55 senza ingiustificato ritardo (entro al massimo 72 ore dal momento in cui ne è venuto a conoscenza). Il Titolare del Trattamento sarà esonerato dal suddetto obbligo di notifica nel caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Se la notifica, nel caso in cui sia necessario farla, non sia effettuata entro 72 ore, essa sarà corredata dei motivi del ritardo. Il Responsabile del trattamento informa il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
ULTERIORE OBBLIGO IN CAPO AI TITOLARI DEL TRATTAMENTO E' QUELLO DELLA TENUTA DI UN “REGISTRO DELLE VIOLAZIONI” (art. 33, par. 5).
Il Titolare del trattamento documenta, secondo quanto disposto dall'art. 33, par. 5, qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La suddetta documentazione consente all'Autorità di controllo di verificare il rispetto degli obblighi previsti in materia.
Il Legislatore UE ha previsto l'introduzione della “Valutazione d'impatto sulla protezione dei dati” (o come si dice in inglese: DPIA – Data Protection Impact Assesment) e “l'istanza di consultazione preventiva” negli articoli 35 e 36 appartenenti alla Sezione 3^.
Il primo prevede che il Titolare del Trattamento dovrà effettuare, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali, che presentano rischi specifici e che sono soggetti all’obbligo di verifica preliminare davanti all’Autorità Garante (per l'Italia il Garante della Privacy). Il Regolamento ha previsto tre casi dove è obbligatorio effettuare una VIP:
- in caso di monitoraggio delle persone fisiche;
- trattamenti su larga scala delle particolari categorie di dati previsti all'art. 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;
- i dati inerenti la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
L'Autorità di controllo potrà anche prevedere ulteriori casi ove si rende necessario effettuare una VIP.
L'articolo 35, par. 2 prevede anche la collaborazione tra il Titolare ed il RPD in caso di decisione di effettuare una VIP. In particolare:
“Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.”.
Il secondo invece prevede “l'istanza di consultazione preventiva” che il Titolare del Trattamento dovrà inviare all'Autorità di controllo nel caso in cui la valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal Titolare del trattamento per attenuare il rischio.
Siccome l'oggetto della verifica sono i possibili effetti negativi prodotti dal trattamento sui dati personali, per questo motivo la disposizione dell'art. 36, par. 2 prevede la collaborazione tra il Titolare ed il RPD con l'Autorità di controllo. In particolare: “l'autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui all'articolo 58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto.”.
“predisposizione della documentazione al fine di dimostrare la conformità alle regole prescritte”: questo adempimento riguarda l'onere gravante sul Titolare del Trattamento in tema di “responsabilizzazione” o usando il termine inglese “accountability” (art. 5, par. 2).
Il Titolare del Trattamento avrà il compito di attuare tutti gli adempiemnti previsti nel Regolamento e ove non attuati dovrà essere il Titolare il soggetto al quale rimproverare le violazioni o le omissioni rispetto ai divieti ed alle prescrizioni previste dal Regolamento. In caso di eventuale accusa di mancato adempimento degli obblighi previsti dal suindicato Regolamento, sul Titolare del Trattamento graverà l'obbligo di provare l'avvenuto adeguamento alla normativa in materia di protezione dei dati (art. 24).
In altre parole il Titolare dovrà predisporre tutta la documentazione – prova – della sua diligenza. ←
Come potrà il Titolare del Trattamento dimostrare la sua diligenza (“compliance”)? Dovrà dimostrare di aver confezionato il “DOSSIER PRIVACY”.
Questa documentazione, costituita da “capitoli”, è utile per il Titolare del Trattamento in quanto gli consente di rispondere velocemente alle richieste di informazioni e d'ispezione presentate dall'Autorità Garante, in merito al motivo di comportamenti tenuti. Sarà necessario che le motivazioni adotte saranno lineari e logiche in quanto questo verrà considerato un elemento utile da far valere dinnanzi ad un giudice e davanti all'Autorità di controllo.
Le scelte effettuate dal Titolare del Trattamento dovranno essere basate su due principi diversi e complementari previsti dall'art. 26: “PRIVACY BY DESIGN” (privacy fino alla progettazione) e “PRIVACY BY DEFAULT” (privacy come opzione predefinita) i quali rappresentano “l'automatismo” dei dati trattati da tutti i tipi di imprenditori (dei clienti, fornitori, collaboratori, dipendenti...).
Il Titolare del Trattamento dei dati dovrà curare i dati affidategli e non abusarne in alcun modo. Se l'obiettivo da perseguire è la “cura” dei dati, allora il “custode dei dati” (ossia il Titolare del Trattamento) dovrà scegliere con cura gli strumenti da utilizzare per il raggiungimento di questo fine.
I due principi sopracitati dovranno essere autodichiarati dal Titolare del Trattamento all'interno di una “autodichiarazione” (contenente secondo scienza e coscienza la compatibilità dei mezzi che si usano rispetto ai principi della protezione dei dati).
Per quanto concerne il primo dei due principi “Privacy by design” → esso è importante in quanto sta a significare “la determinazione i mezzi del trattamento” (ossia quali strumenti il Titolare del Trattamento decide di adoperare per la raccolta, conservazione ed elaborazione dei dati). Il Regolamento n. 679/2016 afferma che “Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”.
Siccome l'articolo in questione afferma che nella scelta della privacy by design il Titolare debba tener conto dei “costi di attuazione”, allora l'analisi da un punto di vista finanziario dei costi da sostenere a fronte dei benefici (in termini di miglior servizio nel trattamento dei dati → rapporto costi/benefici) verrà considerato alla stregua della “responsabilizzazione”.
Di conseguenza si rended necessario ribadire il concetto fondamentale, ossia che : “il trattamento dei dati comuni che le altre categorie di dati dovrà essere inteso come un investimento e non come una mera spesa” allora a fronte di rischi elevati nela trattamento dei dati occorrono alti investimenti tecnologici e viceversa a fronte di rischi bassi nel trattamento occorrono prevalentemente misure organizzative ed investimenti nella formazione del personale atte ad affrontare codesta tipologia di rischio.
Per quanto concerne invece il secondo dei due principi “Privacy by default” → esso si basa sul “principio di necessità” nel senso che occorre che il Titolare del Trattamento debba prima individuare i dati necessari che gli occorrono al trattamento e successivamente individuare i mezzi tecnici necessari al suindicato trattamento.
Occorre pertanto partire dalla scelta delle finalità del trattamento (scelta d'impresa o scopi istituzionali dell'ente pubblico → argomento giuridico);
verificare le “condizioni di liceità” e la “fattibilità del trattamento” (argomento tecnico e giuridico);
assemblare gli “strumenti per il raggiungimento dei fini indicati” con il trattamento (argomento giuridico e tecnico).
A tal fine il Regolamento n. 679/2016 afferma a tal proposito: “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
Il Regolamento parla di “periodo di conservazione dei dati personali raccolti”. Termine che potrà anche non essere stato determinato dal Titolare in maniera rigida dato la variabilità di criteri che potrebbero portare a dare risultati diversi. Pertanto il consiglio è quello di stabilire un primo termine (intertempo) al fine di verificare e soprattutto capire se in quel momento persistono o meno le ragioni della prosecuzione del trattamento.
LA PRIVACY BY DEFAULT PRIMA CHE UN CONCETTO “INFORMATICO” E' UN CONCETTO “LEGALE”.
Un onere che sussiste in capo al Titolare ed in capo al Responsabile del Trattamento è la predisposizione del “Registro dei Trattamenti” previsto dall'art. 30 del Regolamento (il quale prevede in realtà la predisposizone di due tipi di registri). Trattasi di documenti – o come afferma la norma di “registri” dove vengono indicate le attività di trattamento svolte sotto la propria responsabilità. Tali registri contengono le seguenti informazioni, ad esempio, al comma 1^ → il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
al comma 2^ → il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
I Registri vanno tenuti in forma scritta, anche in formato elettronico.
Non tutti i Titolari/Responsabili del Trattamento sono tenuti alla redazione ed alla conservazione dei suddetti Registri. Quest'obbligo grava sulle imprese (persona fisica o giuridica, indipendentemente dalal forma giuridica rivestita e che eserciti un'attività economica) od organizzazioni con più di 250 dipendenti. Saranno obbligati alla redazione ed alla conservazione del Registro tutte le imprese e le organizzazioni con meno di 250 dipendenti ma che trattano, non in maniera occasionale, particolari tipi di dati personali che possano rappresentare un rischio per i diritti e le libertà dell'interessato (ad esempio i dati previsti all'articol0 9 e 10 del GDPR).
“La formazione del personale”: in base all'articolo 39 del Regolamento, il compito della formazione del personale (degli “autorizzati”) spetta al RPD/DPO. Il primo paragarfo del suddetto articolo afferma chiaramente: “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati”.
“L'eventuale adesione a Codici di condotta ed a sistemi di certificazione”: questa eventualità viene prevista dal Legislatore UE all'interno delle disposizoni ex articoli
40 ~ 43 GDPR. I Titolari o i Responsabili del Trattamento potranno decidere di aderire a “Codici di Condotta” redatti dalle associazioni e dagli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento e che siano stati adottati dalla Commissione a cui abbia attribuito, mediante atti di esecuzione, validità generale all'interno dell'Unione. I Titolari o i Responsabili del Trattamento ove decidessero di aderirvi, dovranno dare esecuzione alle misure di mantenimento del medesimo Codice e saranno monitorati con riguardo all'osservanza delle misure deontologiche ivi contenute e dovranno dare esecuzione alle disposizoni previste.
Per quanto invece riguarda le “certificazioni”, esse sono state previste nel Regolamento con il fine di operare da “cartina tornasole” della conformità del trattamento dei dati – da parte del Titolare – alle misure previste dal GDPR. Viene infatti previsto: “l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.”. Il Legislatore ha voluto tenere in considerazione le esigenze specifiche delle micro, piccole e medie imprese. La certificazione viene rilasciata dagli organismi di certificazione di cui all'articolo 43 o dall'autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell'articolo 58, paragrafo 3. La certificazione potrà anche essere rilasciata dal comitato, ai sensi dell'articolo 63. L'articolo 42 prevede anche un sigillo europeo per la protezione dei dati: “Nel caso i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati.”.
Il Legislatore ha voluto inoltre prevedere la volontarietà della certificazione e non un suo obbligo. Infatti: “La certificazione è volontaria e accessibile tramite una procedura trasparente.”. Occorre però sottolineare che
l'ottenuta certificazione non riduce la responsabilità del Titolare del Trattamento o del Responsabile del Trattamento riguardo alla conformità al Regolamento.
SANZIONI
Le sanzioni previste all'interno del Regolamento sono indicate dagli artt. 58 e 83. Il Regolamento prevede inoltre un rafforzamento dei poteri delle Autorità Garanti nazionali e un inasprimento delle sanzioni amministrative a carico di imprese e pubbliche amministrazioni, le quali avranno più responsabilità. Le stesse però potranno beneficiare di semplificazioni ed, in caso di inosservanza delle regole, saranno previste sanzioni pecuniarie che saranno molto elevate →
- Fino a 10 milioni per i privati e le imprese non facenti parte di un gruppo societario/oppure se più elevato fino al 2% del fatturato mondiale complessivo annuo (consolidato) per i gruppi societari multuinazionali;
- Nei casi di inadempimento alle prescrizioni che riguardano maggiormente i soggetti interessati al trattamento (informativa, raccolta dei consensi – salvo i casi di esonero e il trasferiemnto dei dati all'estero) fino al 4% del fatturato complessivo (consolidato) per i gruppi societari multinazionali e fino a 20 milioni di euro per i privati e le imprese non facenti parte di gruppi.
- In caso di inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente.
CONCLUSIONI E RIFLESSIONI PERSONALI
A conclusione di quanto scritto posso soltanto ricordare, nuovamente, che gli adempimenti da completare in tema di Regolamento UE sulla Privacy sono diversi ed alcuni di essi comportano una riorganizzazione della struttura aziendale.
Approcciandomi a questa materia ho compreso l'importanza di principi fondamentali, ossia:
- che i dati personali sono diventati dei beni giuridici soggetti alla libera circolazione e che pertanto le persone fisiche, loro titolari, vanno protetti;
- che i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, è oggetto sempre di maggior considerazione e tutela da parte del Legislatore UE (oltre che di quelli nazionali) e l'approvazione del Regolamento in oggetto ne è la testimonianza;
- che la conformità alle regole sulla protezione dei dati non dovrà essere inteso come un costo che l'azienda dovrà sostenere per non subire le conseguenze negative (e non lievi) previste dalle sanzioni ma come un investimento al fine di garantire la tutela dei dati personali e delle persone fiische loro titolari”.
linkedin.com/in/domenico-piero-muscillo-66381baa
FONTI BIBLIOGRAFICHE
Italia Oggi – PRIVACY – serie speciale n. 13 del 18.10.2017
http://www.legance.it/newsletter/privacy-cosa-cambia-con-il-nuovo-regolamento-europeo
© 2018 - Dott. Domenico Piero Muscillo