Regolamento privacy UE

Tutto ciò che cittadini e PA devono sapere

Regolamento privacy UE

formazioneIl 14 aprile 2016 è stato approvato il nuovo Regolamento europeo sulla privacy”  (UE 2016/679 – testo in allegato). Il testo – pubblicato sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) lo scorso 4 maggio – diventerà  definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà  essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento. Il Regolamento è parte del cosiddetto Pacchetto protezione dati, l'insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE e comprende anche la Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini. La Direttiva, pubblicata in GUUE insieme al Regolamento e vigente dallo scorso 5 maggio, dovrà  essere recepita dagli Stati membri entro 2 anni.
Gli istituti che sono stati confermati, ritoccati o previsti ex novo, sono tanti e la loro attuazione potrebbe generare”  problemi specifici per i professionisti, le imprese e i consulenti interessati all'applicazione delle nuove norme. L'impronta del regolamento si orienta verso un maggior rigore, che si manifesta nella previsione di sanzioni più pesanti e di adempimenti più articolati, e comporta una maggiore cautela nel trattamento dei dati.

TRATTAMENTI LECITI
Presupposti di liceità  del trattamento possono essere il consenso,”  il contratto tra le parti o il perseguimento di un legittimo interesse del titolare del trattamento. Per le pubbliche amministrazioni il presupposto di liceità  è la base normativa, che , salvo specifici casi,”  sostituisce il consenso dell'interessato (vedi art. 6 Regolamento UE): gli Enti pubblici possono trattare in modo lecito i dati personali quando è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, basandosi sul diritto dell'Unione o dal diritto dello Stato. La normativa deve prevedere le condizioni generali relative alla liceità  del trattamento da parte del titolare, le tipologie di dati, gli interessati, i soggetti cui possono essere comunicati i dati personali, le finalità  per cui sono comunicati, le limitazioni della finalità , i periodi di conservazione, le operazioni e procedure, le misure atte a garantire un trattamento lecito e corretto. Per gli Enti pubblici il Regolamento consente il recupero delle fonti vigenti, ciò significa che le autorizzazioni e i provvedimenti generali, adottati dal Garante, se compatibili con il nuovo quadro giuridico, mantengono validità  ed efficacia.

AMBITO DI APPLICAZIONE
Il regolamento si applica ai dati personali sul territorio dell'Unione, anche se trattati da soggetti residenti al di fuori dell'Unione e ai dati personali”  che vengono trattati da soggetti europei anche al di fuori dell'Unione. In questo modo la tutela si estende anche ai servizi offerti sul web.

DATI PARTICOLARI
I dati particolari sono dati sensibili e riguardano l'origine razziale, etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici, biometrici, dati relativi alla salute, alla vita sessuale, all'orientamento sessuale. Per essi il Regolamento stabilisce il divieto di trattamento, salvo particolari casi e con determinate condizioni;”  ulteriori condizioni possono essere introdotte dagli stati membri (vedi art.9 ).

CONSENSO
Il consenso dell'interessato deve essere effettivo e inequivocabile, formulato mediante dichiarazione scritta, anche attraverso mezzi elettronici, o verbale.”  Il consenso potrà  essere revocato in ogni momento. I trattamenti effettuati fino a quel momento dal titolare, sulla base del consenso, rimarranno comunque legittimi.

INFORMATIVA
L'interessato deve essere informato dell'esistenza del trattamento. Le informazioni possono essere fornite in combinazione con icone standardizzate per un quadro d'insieme del trattamento. Se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico. L'informativa è un adempimento a carico di soggetti pubblici e privati che specifica in modo trasparente il trattamento dei dati personali e cosa fare per l'esercizio dei diritti (vedi art.12 ).

ACCESSO AI DATI PERSONALI
L'interessato può richiedere l'accesso ai dati personali che lo riguardano per essere consapevole del trattamento e verificarne la liceità . Il titolare deve adottare tutte le misure ragionevoli per verificare l'identità  di un interessato che chieda l'accesso, in particolare nel contesto di servizi on line e di identificativi on line. Il diritto di accesso consiste nel diritto di conoscere e ottenere copia dei propri dati; se il titolare tratta una notevole quantità  di informazioni sull'interessato, può chiedere a quali dati si riferisce la richiesta di accesso.
Se possibile, il titolare del trattamento dovrà  fornire l'accesso remoto a un sistema sicuro che consenta all'interessato di consultare direttamente i propri dati personali. L'interessato ha il diritto di ottenere la rettifica dei dati personali inesatti. (vedi art. 15).

DIRITTO ALL'OBLIO
E' il diritto di ciascun individuo di essere dimenticato per fatti che lo riguardano e che in passato sono stati oggetti di cronaca. Il diritto è nato con la sentenza della Corte di Giustizia europea del 13 maggio 2014. L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali (vedi art. 17). Il titolare del trattamento ha l'obbligo di cancellare i dati personali resi pubblici, con la tecnologia disponibile chiedendo la cancellazione di qualsiasi link, copia o riproduzione dei dati personali. Il Garante sottolinea che gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento quando

– i dati sono trattati solo sulla base del consenso;

– i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti,

– i dati sono trattati illecitamente, se l'interessato si oppone legittimamente al loro trattamento.

PORTABILITA' DEI DATI
Si possono trasferire dati personali da un titolare del trattamento ad un altro. Ad esempio si potrà  cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. (vedi artt. 13,20).

VALUTAZIONE D'IMPATTO
In casi specifici, come il ricorso a tecnologie a rischio per i diritti della persona, il trattamento deve essere testato con una valutazione di impatto privacy ed, eventualmente, con una consultazione preventiva del Garante.

PRIVACY BY DESIGN
Il Regolamento impone di progettare sistemi e applicativi tarati sul principio dell'uso minimo e indispensabile dei dati personali. Il principio dell'uso minimo e indispensabile non cambia, ma la protezione dei dati personali”  dal momento della progettazione dei sistemi è una novità . (vedi art. 25).

PRIVACY BY DEFAULT
Il Regolamento impone di progettare misure e sistemi che abbiano come impostazione predefinita solo l'uso dei dati necessari per una certa finalità , con particolare attenzione agli accessi tramite sistemi automatici, per i quali”  occorre prevedere sistemi in cui l'intervento della persona sia essenziale. (vedi art. 25)

SICUREZZA
Sul titolare del trattamento incombe l'obbligo di effettuare l'analisi dei rischi e di vaglio dell'adeguatezza delle misure di tutela.

VIOLAZIONE DEI DATI
Si estende a tutti la regola della notifica di violazione dei dati (data breach) al Garante e anche all'interessato (a questàultimo in caso di rischio elevato per i suoi diritti).

DATA PROTECTION OFFICER
E' la nuova figura di riferimento che deve essere nominata da tutte le”  imprese e gli enti pubblici. Si tratta di una figura indipendente che opera all'interno dell'organizzazione in assenza di conflitto d'interessi, con compiti di formazione, consulenza e controllo interno, supporto agli uffici, interfaccia per gli utenti e clienti e interfaccia con le Autorità  garanti. (vedi artt. 37, 38, 39).

REGISTRI DEI TRATTAMENTI
Tenuti dal titolare e responsabile del trattamento; contengono indicazioni sulle caratteristiche, modalità  e finalità  dei trattamenti. E' un nuovo adempimento formale che sostituisce l'obbligo di notificare all'autorità  garante. I registri devono avere forma scritta, anche in formato elettronico, devono essere messi a disposizione dell'autorità  garante per ispezioni e controlli (sono esentate imprese e organizzazioni sl di sotto dei 250 addetti, che non trattano dati sensibili) (vedi art. 30).

SPORTELLO UNICO
L'interessato può rivolgersi all'Autorità  di protezione dei dati del proprio Paese per segnalare violazioni anche se avvenute in altri Paesi. Semplificherà  la gestione dei trattamenti e garantirà  un approccio uniforme su tutto il territorio dell'Unione.

ARCHIVIO
La definizione di archivio che coincide con quella di “banca dati” del d. lgs. 196/2003; puo' essere un archivio”  elettronico, cartaceo o materiale.

TUTELA DELLA RISERVATEZZA E TRASPARENZA
Il Regolamento rinvia alla normativa nazionale il bilanciamento tra tutela della riservatezza e la trasparenza amministrativa (entrambi principi cardine delle Pubbliche amministrazioni). Ciascuno Stato deve conciliare il principio del pubblico accesso ai documenti ufficiali, al riutilizzo delle informazioni, con l'interesse alla protezione dei dati delle persone. Il regolamento segnala che la Direttiva 2003/98/CE sul riutilizzo dei dati pubblici non pregiudica il livello di tutela della riservatezza delle persone fisiche e non modifica gli obblighi e i diritti previsti dal Regolamento. Infatti la Direttiva non si applica ai documenti il cui accesso è escluso o limitato per motivi di protezione dei dati personali.

DATI SULLA SALUTE
Fanno parte delle categorie particolari di dati e il trattamento è lecito se avviene sotto la responsabilità  di un medico o altro professionista soggetto a obbligo di segretezza, per”  finalità  di prevenzione, diagnosi e cura, assistenza, medicina del lavoro”  e per finalità  di interesse pubblico, previste dalla normativa comunitaria o nazionale

DATI PER FINI STATISTICI, STORICI, ARCHIVISTICI, SCIENTIFICI
Vi sono casi in cui alcuni diritti dell'interessato (cancellazione, rettifica, opposizione) sono limitati per interesse scientifico, storico, statistico;”  vi è l'obbligo di”  anonimizzare o pseudonimizzare i dati se ciò è compatibile con le finalità  specifiche e devono essere adottate tutte le misure tecniche e organizzative a protezione dei dati e a garanzia dell'uso nella misura minima indispensabile.
Gli Stati membri possono dettare ulteriori regole specifiche per questo tipo di trattamenti.

DATI DEI MINORI E”  SOCIAL MEDIA
Il Regolamento stabilisce che l'età  minima per aprire e creare un profilo social è 16 anni. (vi erano Stati membri che prevedevano 13 anni).”  Al di sotto dei 16 anni il gestore deve acquisire il consenso del”  genitore o di chi ha la responsabilità  genitoriale del minore.”  Le violazioni sono punite con sanzioni pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato”  mondiale annuo, se superiore.

SANZIONI
L'importo delle sanzioni è aumentato notevolmente rispetto a quelle previste oggi dal d.lgs 196/2003. Nei casi in cui si tratti di furto d'indentià  o falso ci sarà  anche la segnalazione all'Autorità  Giudiziaria; nei casi di violazioni di lieve entità  l'Autorità  Garante potrà  ammonire chi ha commesso la violazione, invce di applicare l'ammenda.

E-learningRegolamento privacy UE

approfondimenti

” 

” 

” 

E-learningGuida del Garante sul nuovo Regolamento Ue

Sicurezza, Qualità, GDPR, HACCP, Medicina del lavoro, E-learning, Videoconferenza, Qualifica Fornitori, CRM...