La privacy volta pagina. Dopo venti anni (la prima legge è del 1996) l’Europa incombe con un regolamento, unico per tutto il vecchio continente, che, una volta giunto ad approvazione (prevista per la primavera del 2016) e diventato operativo (nel 2018), manderà in soffitta il Codice della privacy del 2003.
Cosa cambia per imprese e pubbliche amministrazioni? Innanzi tutto la normativa è ispirata a un diverso approccio, meno formale e burocratico. Conta la sostanza e non l’adempimento che resta solo una vuota enunciazione su un documento. Trattare dati è un’attività rischiosa? Allora si deve fare una valutazione dei rischi, più o meno complessa a seconda del grado di complessità organizzativa.
I diritti delle persone vanno tutelati? Allora si deve correre ai ripari con una denuncia delle violazioni al garante e all’interessato.
Bisogna acquisire il consenso? Allora si devono prevedere forme idonee a rappresentare la volontà e comunque bisogna riconoscere che del consenso si può fare a meno in caso di legittimo interesse aziendale. Ma vediamo una panoramica di adempimenti vecchi e nuovi.
Adempimenti nuovi. Per dimostrare che rispetta le norme, l’impresa o l’ente dovrà tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. I registri devono essere messi a disposizione del garante per controlli e ispezioni.
Impresa/ente devono fare la valutazione dei rischi inerenti al trattamento e attuare le misure per limitare tali rischi. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati, come la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso, in modo accidentale o illegale.
Se i trattamenti possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche, si deve fare una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio.
La valutazione d’impatto non sarà obbligatoria per i dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato.
Il regolamento estende la notifica al Garante delle violazioni ai dati (perdita del controllo dei dati, limitazione dei diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, violazione di segreto professionale). La violazione dovrà essere inoltrata di regola entro 72 ore. In alcuni casi la notifica delle violazioni deve essere inviata agli interessati.
Per i trattamenti effettuati da un’autorità pubblica, e per i trattamenti effettuati nel settore privato da un responsabile del trattamento le cui attività principali consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati, l’impresa e l’ente dovranno essere assistiti da una persona che abbia una conoscenza specialistica (responsabile per la sicurezza dei trattamenti o data protection officer).
Adempimenti che rimangono/informativa. Le persone fisiche devono essere messe a conoscenza, con un linguaggio semplice e chiaro, del fatto che sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano e della misura in cui i dati sono o saranno trattati.
L’interessato deve conoscere chi tratta i suoi dati e i suoi diritti. Inoltre le persone fisiche devono essere sensibilizzate sui rischi, norme e garanzie e ai diritti relativi al trattamento dei dati personali. Un aspetto di particolare attenzione riguarda il termine di conservazione dei dati: il regolamento chiede all’impresa/ente di fissare un termine per la cancellazione o per la verifica periodica.
Adempimenti che rimangono/consenso. Il consenso al trattamento dei dati viene confermato con particolari prescrizioni pratiche.
Leggendo le premesse al testo del regolamento si sottolinea che il consenso deve essere espresso mediante un’azione positiva inequivocabile.
Può essere una dichiarazione scritta, anche elettronica, o orale. La dichiarazione espressa può avvenire mediante la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in questo contesto che l’interessato accetta il trattamento proposto.
Il «considerando» del regolamento, invece, esclude il consenso tacito o passivo o la preselezione di caselle. Se il consenso dell’interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso.
La regola del consenso è limitata dai casi in cui non è necessario; tra essi emergono le ipotesi di legittimi interessi dell’impresa. È il caso di una pregressa relazione tra impresa e interessato, come avviene con un cliente o un dipendente.
Un altro legittimo interesse è costituito dalle finalità strettamente necessarie a fini di prevenzione delle frodi. Può essere considerato legittimo interesse, secondo il regolamento, anche trattare dati personali per finalità di marketing diretto.
Per le imprese facenti parte di un gruppo è interesse legittimo trasmettere dati personali all’interno del gruppo di imprese a fini amministrativi interni.
In ogni caso sarà importante definire il catalogo dei legittimi interessi da bilanciare con le esigenze degli interessati.
Adempimenti eliminati. Scompare la notificazione al Garante e cioè la comunicazione ufficiale delle caratteristiche del trattamento che rientra nelle categorie elencate dall’attuale articolo 37 del Codice della privacy.
© Riproduzione riservata
Fonte:
