Con questo articolo tenteremo di dare qualche notizia utile sul Regolamento Europeo che andrà a cambiare la normativa sulla Privacy.
Sebbene possa sembrare un argomento di nicchia in realtà riguarda tutti noi che saremo chiamati ad esprimere il nostro consenso innanzi ad un professionista oppure quando navighiamo su internet.

Quando è stato approvato il Regolamento?
Questo Regolamento è stato approvato nel 2016 ma verrà attuato e sarà effettivamente applicato dal 25 Maggio 2018.
Questa differenza temporale è stata necessaria per consentire a tutti gli Stati membri di adeguarsi.
Parlando dell'Italia possiamo affermare che, in tema di privacy, eravamo molto indietro e che con buona probabilità, almeno per un primo momento, non vi saranno tutti quei “drammi” e problemi che oggi si pensano.

Come mai è divenuto così importante gestire i dati e la privacy?
Vista l'importanza che i dati hanno al giorno di oggi e visto quanto successo anche con lo scandalo Facebook abbiamo la misura di quanto la gestione, la trasmissione ed anche la vendita dei dati sia importante.
Possiamo affermare che chi controlla i dati gestisce un vero e proprio business.

Cosa prevede il Regolamento?
Premetto che il Regolamento è stato scritto in maniera complessa.
Lo stesso si compone di 99 articoli e 163 considerazioni che, in realtà, sono delle integrazioni delle disposizioni.
In pratica qualora il testo dell'articolo dovesse risultare poco chiaro accorrerà leggere le considerazioni legate allo stesso per trovare le necessarie delucidazioni.
Il Regolamento in buona sostanza spiega chi sono i titolari del trattamento, i soggetti destinatari, i vari gradi di dati sensibili, i nuovi obblighi e le sanzioni, il consenso e la sicurezza.

Chi è titolare del trattamento?
Chiunque tratti dati personali altrui per scopi che non siano personali e/o domestici.

Ci possono essere più contitolari?
Sì certamente. In caso ci siano due o più soggetti titolari del trattamento sarà necessario che tra gli stessi venga sottoscritto un contratto nel quale verranno ripartite le diverse responsabilità e i diversi impegni.
Fermo restando che nei confronti dei terzi sono tutti responsabili.

Chi è il responsabile del trattamento?
E' una figura non obbligatoria che avrà il compito di controllare e verificare che i dati vengano raccolti e gestiti nel rispetto del Regolamento.

Chi è l'incaricato?
E' colui che materialmente esegue l'inserimento dei dati.

Chi è l'Amministratore del Sistema?
E' il “povero” informatico che dovrò preoccuparsi che il Regolamento sia rispettato per quanto riguarda la parte connessa alla sicurezza, la visibilità del consenso, che dovrà aggiornare i dati nel sistema , che dovrà risolvere qualsiasi problema connesso ai dati in un arco temporale molto molto limitato.

Cosa occorre fare per rispettare il Regolamento?
Per prima cosa i dati devono essere raccolti in modo lecito, corretto e trasparente.
Questo vuol dire che il soggetto deve essere avvertito che i dati che sta fornendo (nome-cognome-codice fiscale-indirizzo email) saranno registrati, conservati ed utilizzati.
Per rispettare la trasparenza occorrerò indicare precisamente la finalità per cui i dati vengono raccolti, per tale ragione le finalità devono essere indicate in modo preciso e dettagliato.
Ad esempio se raccolgo delle firme per una petizione nell'informativa dovrò indicare qual è l'argomento della petizione nonché come le firme verranno gestite, se raccolgo dati per un contratto assicurativo devo indicare che farò dei controlli.
Si tratta di informazioni fondamentali poiché l'utilizzo dei dati per finalità diverse e/o non dichiarate costituisce abuso.

Il consenso ha nuovamente un ruolo centrale?
Direi di sì.
Il consenso non può essere ricavato da circostanze ambigue poiché deve essere esplicito ed univoco.
Quando si sta per richiedere il rilascio del consenso al trattamento dei dati occorre evidenziarlo al massimo.
La richiesta di rilascio deve essere presentata in modo specifico e distinto da tutte le altre richieste e deve essere comprensibile e facilmente accessibile.
Particolare importanza assume l'età di chi presta il consenso.

Perché è importante chiedere l'età di chi presta il consenso?
Può legittimamente e correttamente prestare il consenso chi ha compiuto 16 anni.
E' obbligo di chi tratta i dati verificare la provenienza del consenso e che il soggetto abbia l'età legale.
Se il soggetto non ha ancora compiuto 16 anni devono essere i genitori, in sua vece, a prestare il consenso.

Una volta che si è ottenuto il consenso chiunque può trattare ogni tipo di dato?
No, assolutamente no.
Vi sono varie tipologie di dati.
Alcuni possono essere tranquillamente trattati, sempre a seguito del rilascio dell'informativa necessario per un corretto rilascio del consenso, come ad esempio nome, cognome, codice fiscale ed indirizzo mail.
Tutto il resto non può essere trattato a meno che non si abbia una specifica autorizzazione, parliamo dei dati relativi alla propria fede, alle proprie convinzioni, ai dati biomedici e genetici e sui dati giudiziari.

In che senso specifica autorizzazione?
Per il trattamento di questi particolare tipologia di dati occorre una specifica autorizzazione proveniente dall'Autorità pubblica o proveniente dall'Unione Europea o dai singoli Stati.

Cosa è l'informativa?
Dell'informativa, senza nominarla specificatamente, abbiamo parlato sin dall'inizio.
Si tratta di quel documento che deve essere fornito agli utenti in cui il titolare del trattamento identifica se stesso ed i suoi collaboratori, quali responsabile del trattamento, amministratore del sistema e incaricato.
Ove vengono indicate le modalità di raccolta, di conservazione, di cancellazione e di protezione/sicurezza dei dati, di conservazione degli stessi.
Nel predetto documento, inoltre, vengono indicati gli obblighi del titolare e i diritti dell'interessato.
Il contenuto dell'informativa deve essere completo e scritto in un linguaggio chiaro e comprensibile.
La stessa deve essere consegnata prima o contestualmente all'inizio del trattamento dei dati, sebbene la stessa possa essere fornita oralmente, viste le sanzioni previste per il mancato rispetto del Regolamento, consiglio di fornirla sempre per iscritto.
L'informativa deve sempre essere aggiornata e sintetica ma non deve mai contenere formulazioni generiche.

Parliamo della sicurezza: cosa è cambiato?
Tantissimo,
La sicurezza viene vista come un elemento principale e fondamentale sia in fase progettuale che successivamente.
Devono essere previste misure adeguate a gestire il rischio di perdita, blocco e/o furto dei dati.
Devono essere sviluppate misure tecniche ed organizzative al fine di garantire e poter dimostrare la conformità del trattamento dei dati al Regolamento.
Le misure tecniche devono essere differenti tenuto conto della natura dei dai e del loro ambito di applicazione e devono sempre essere costantemente aggiornate.
E' stato inoltre previsto l'obbligo della notifica della violazione dei dati, se vi sono perdite della banca dati o sottrazioni fraudolente coloro i quali hanno fornito i propri dati hanno diritto di essere avvertiti.
Questa tipologia di problema deve essere risolto nell'immediato, in poche ore tutto deve tornare alla normalità.

Cosa cambia relativamente alla conservazione dei dati?
I dati non possono essere conservati in eterno tanto che il titolare del trattamento nell'informativa deve indicare per quanto tempo i dati verranno conservati.
Decorso il termine o anche quando la conservazione non risulti giustificata i dati devono essere cancellati, distrutti o resi anonimi.

Quali sono gli altri obblighi in capo al titolare del trattamento?
Un ulteriore obbligo è connesso ad un diritto dell'interessato ovvero colui che ha fornito i dati.
Il titolare deve fornire tutte le informazioni su come sono gestiti i dati e sulla qualità degli stessi per questa ragione a colui che ne faccia richiesta deve essere fornita risposta, in modo documentale, in 30 giorni.
Il termine si può estendere a 3 mesi solo quando la qualità o la quantità delle informazioni richieste sia molto complessa e/o corposa.
Pur potendo dare la risposta per iscritto o oralmente consiglio di provvedere, a proprio tutela, a fornirla sempre per iscritto.

Quali sono i diritti di chi presta il consenso?
Il diritto all'informativa, all'accesso ai dati, alla rettifica degli stessi, all'oblio, alla limitazione di trattamento, alla portabilità dei dati ed all'opposizione al trattamento.

Quali sono le responsabilità gravanti sul titolare del trattamento dei dati?
Ci sono tre tipi di responsabilità.
Una amministrativa prevista dalle considerazioni numero 11, 13, 148, 150, 151 e 152 e dagli articoli 83 e 84 del Regolamento europeo.
E'previsto per ogni Stato membro, laddove la sanzione pecuniaria risulti troppo gravosa, di prevedere un diverso tipo di sanzione amministrativa.
Una responsabilità penale connessa alle sanzioni previste dal Codice della Privacy che si uniscono a quelle derivanti dalle false dichiarazioni o dall'intralcio all'Autorità Garante.
Una responsabilità civile prevista dall'art. 82 de Regolamento che equivale al nostro danno patrimoniale e non patrimoniale.
Colui che agisce può rivolgersi anche all'Autorità Garante che può essere tanto quella del proprio paese di origine che a quella del paese ove ha sede il titolare del trattamento.

Come mai in materia amministrativa sono previste sanzioni alternative a quelle pecuniarie?
Le sanzioni pecuniarie sono elevatissime.
Sono di due diversa natura e sono connesse alla gravità delle sanzioni.
Per le sanzioni più lievi sono previste pene fino 10.000.00 € o il 2% del fatturato mondiale dell'esercizio precedente.
Per le sanzioni più gravi sono previste pene fino ad 20.000.000 € o il 4% del fatturato mondiale dell'esercizio precedente.
Il totale, tuttavia, non potrà mai superare l'importo previsto per la violazione più grave.

Vi sono altre informazioni rilevati?
A mio giudizio due che non si rivolgono a tutti i titolari del trattamento dati.
La prima è connessa all'adozione del registro delle attività di trattamento che è il cuore di una mappa dettagliata di tutti i trattamenti effettuati dall'organizzazione del titolare.
E' obbligatorio per chi ha dai 250 dipendenti in su e per chi, indipendentemente dal numero di dipendenti, tratta dati sensibili che necessitano di apposita autorizzazione.
La seconda è legata alla nomina del Data Protection Officer, DPO, che ha l'obbligo di infornare e fornire consulenza oltre che vigilare su tutte le fasi del trattamento dati.
La nomina del DPO è obbligatoria per:

1. Le autorità e gli organismi pubblici;
2. per chi effettua un monitoraggio costante e regolare su larga scala;
3. se si trattano dati relativi a condanne penali o più in generale reati.

Una versione di questo articolo è stata pubblicata su BL Magazine che ringraziamo.