OGGETTO: GDPR – REGOLAMENTO UE 2016/679 – adeguamento del Codice della Privacy
Il Consiglio dei Ministri ha approvato in data 21 marzo 2018, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
Nonostante alcuni degli adempimenti previsti vadano parametrati, è bene ricordare che il Regolamento UE 2016/679 si applica a tutti i Titolari del trattamento (definiti come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo) che trattano dati personali, cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile, compresi quindi quelli dei propri clienti e dipendenti, sia con mezzi elettronici che cartacei.
SANZIONI PREVISTE DALLA NUOVA NORMATIVA EUROPEA
La violazione delle disposizioni di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati è soggetta a sanzioni amministrative pecuniarie che variano da 10 a 20 milioni di Euro, o per le imprese, dal 2% al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Il Nucleo Speciale Privacy della Guardia di Finanza ha chiarito che le sanzioni applicate in fase di verifica devono assicurare la non ripetibilità dell’illecito o della violazione e sono commisurate alla tipologia/numerosità dei dati trattati e proporzionali alla dimensione dell’azienda. In base a quanto dichiarato i controlli verteranno principalmente sulla liceità e correttezza dei trattamenti di dati personali con particolare riferimento al rispetto dell’obbligo di informativa, alla pertinenza e non eccedenza nel trattamento, alla libertà e validità del consenso, nei casi in cui questo è necessario, nonché alla durata della conservazione dei dati nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee.
Le fasi principali dell’adeguamento, dopo una prima ricognizione per verificare il grado di compliance delle procedure in essere, saranno, in tutto o in parte, le seguenti:
- classificazione dei dati personali e dei trattamenti
- costruzione dell’organigramma privacy
- valutazione del rispetto dei principi privacy (liceità e correttezza)
- informativa privacy e consenso privacy
- progettazione nel rispetto della privacy by design e privacy by default
- valutazione d’impatto sulla protezione dei dati
- definizione delle misure di sicurezza
- tenuta del registro delle attività di trattamento (registro privacy)
- nomina del responsabile della protezione dei dati (privacy officer)
- redazione di contratti per disciplinare i rapporti di contitolarità
- redazione di contratti per disciplinare il trasferimento di dati all’estero
- redazione delle nomine dei responsabili del trattamento dati
- procedure per la violazione dei dati personali (data breach)
- procedure per l’esercizio dei diritti dell’interessato
- adempimento degli obblighi privacy in materia di profilazione
- implementazione del modello organizzativo privacy
- formazione e test del personale preposto al trattamento.
