Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate:
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
Il GDPR cambia
radicalmente l’approccio al trattamento dei dati personali ponendo con
forza l’accento sulla “responsabilizzazione” (“accountability” nell’accezione inglese) di titolari e responsabili
– ossia, sull’ adozione di comportamenti tali da dimostrare la concreta
adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si
vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si
tratta di una grande novità per la protezione dei dati in quanto viene affidato
ai titolari il compito di decidere autonomamente le modalità, le garanzie e i
limiti del trattamento dei dati personali, nel rispetto delle disposizioni
normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Cosa cambia:
• Il primo fra tali criteri è
sintetizzato dall’espressione inglese “data protection by default and by
design” (si veda art. 25), ossia dalla necessità di configurare il trattamento
prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i
requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto
del contesto complessivo ove il trattamento si colloca e dei rischi per i
diritti e le libertà degli interessati. Tutto questo deve avvenire a monte,
prima di procedere al trattamento dei dati vero e proprio e richiede, pertanto,
un’analisi preventiva e un impegno applicativo da parte dei titolari che devono
sostanziarsi in una serie di attività specifiche e dimostrabili.
• Fondamentali fra tali attività
sono quelle connesse al secondo criterio individuato nel regolamento rispetto
alla gestione degli obblighi dei titolari, ossia il rischio inerente al
trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi
sulle libertà e i diritti degli interessati (si vedano considerando 75-77);
tali impatti dovranno essere analizzati attraverso un apposito processo di
valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti o
evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che
il titolare ritiene di dover adottare per mitigare tali rischi. All’esito di
questa valutazione di impatto il titolare potrà decidere in autonomia se
iniziare il trattamento (avendo adottato le misure idonee a mitigare
sufficientemente il rischio) ovvero consultare l’autorità di controllo
competente per ottenere indicazioni su come gestire il rischio residuale;
l’Autorità non avrà il compito di “autorizzare” il trattamento, bensì di
indicare le misure ulteriori eventualmente da implementare a cura del titolare
e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art.
58: dall’ammonimento del titolare fino alla limitazione o al divieto di
procedere al trattamento.
Cosa Fare?
Il consiglio che proporremo in tutte
le pills sarà quello di rivolgersi ad
uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare
situazioni di panico, proporremo alcune semplici idee per poter approcciare
alle novità del GDPR.
• Un primo passo verso l’adeguamento
alla nuova normativa sulla privacy è sicuramente quello di prevedere un
percorso di formazione personale/aziendale sulla materia. La conoscenza del
nuovo approccio europeo alla materia sarebbe sicuramente un ottimo inizio
nell’ottica della responsabilizzazione e consapevolezza del trattamento dei
dati e andrebbe integrata con un corso incentrato sull’autovalutazione del
proprio operato professionale in modo da fornire gli strumenti di “pronto
intervento” in caso di nuove practice ovvero
di eventi imprevisti.
• Sempre nell’ottica della
consapevolezza e responsabilizzazione, per le imprese con un organigramma
strutturato, sarebbe buona prassi prevedere delle lettere d’incarico al
trattamento dei dati per i singoli dipendenti delle diverse aree, che siano
manager od operatori. Tale pratica sortirebbe un duplice effetto positivo;
responsabilizzare i singoli componenti dell’azienda rispetto all’attività da
loro svolta, reperire agevolmente la persona più idonea in relazione ad un
singolo trattamento per effettuare tutte le valutazioni necessarie in merito
allo stesso.
• Ricorrere integralmente a metodi
“fai da te” rappresenta nella maggior parte dei casi una soluzione che può
portare a gravi conseguenze, tuttavia, escludendo la pretesa di risolvere in
proprio il problema, effettuare una prima autovalutazione potrebbe costituire
buon punto di partenza per approcciare e risolvere il problema. Solo ed
esclusivamente in quest’ottica si consiglia di iniziare una riflessione sulla
propria attività di trattamento dei dati per arrivare a formare una propria
convinzione in merito ai pericoli che potrebbero annidarsi dietro tale
attività.
• Identica dinamica dovrebbe seguire
l’attività di autovalutazione in merito alla sicurezza dei sistemi di
trattamento e conservazione dei dati che si impiegano quotidianamente. Tale
autovalutazione dovrebbe estendersi fino alle pratiche aziendali di utilizzo di
supporti fisici ed informatici.
Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net
Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net