È ormai prossima l’entrata in vigore del Regolamento europeo in materia di protezione dei dati personali, prevista per il 25 maggio 2018. Il Regolamento introduce alcune importanti obblighi in capo alle aziende, che si cercherà brevemente di riassumere.

Tra le novità che avranno il maggiore impatto sulla struttura aziendale vi è innanzitutto l’obbligo in determinati casi di nominare un responsabile per la protezione dei dati, che avrà il compito di sorveglianza sulla corretta applicazione del Regolamento ai fini della protezione dei dati.

Ai sensi dell’art. 37 del Regolamento, infatti, il responsabile per la protezione dei dati personali (anche detto Data Protection Officer) deve essere nominato:

- quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali, nell’esercizio di tali funzioni);

- ove i trattamenti, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

- quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 del Regolamento o di dati relativi a condanne penali e a reati di cui all’articolo 10 del Regolamento.

Al di fuori di tali casi, e salvo l’introduzione di ulteriori ipotesi da parte del Legislatore nazionale o europeo, non è obbligatorio munirsi del Data Protection Officer. Per le ulteriori caratteristiche e compiti di tale figura, si rimanda al contributo (La nuova figura del Data Protection Officerdisponibile nella sezione Approfondimenti di questo sito.

Il Regolamento introduce (art. 35), inoltre, l’obbligo di svolgere una valutazione di impatto ogni volta in cui “un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

L’articolo fornisce alcuni esempi (si tratta di un’elencazione non tassativa) in cui la valutazione è obbligatoria:

  • nei casi in cui vi sia una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10 del Regolamento.

Il Gruppo art. 29 (si tratta di un organismo consultivo e indipendente, così denominato perchè istituito dall'art. 29 della direttiva 95/46), ha adottato delle linee guida in merito alle ipotesi in cui è opportuno effettuare una valutazione di impatto. In base a tali linee guida la valutazione di impatto è obbligatoria nei seguenti casi:

  • Trattamenti valutativi e discoring, compresa la profilazione e attività predittive, in particolare a partire da “aspetti relativi al rendimento professionale, alla situazione economica, a preferenze, affidabilità o comportamento dell’interessato, sua ubicazione e spostamenti”; si pensi ad esempio, ad un istituto finanziario che effettui lo screening dei propri clienti usando un database di rischio creditizio oppure ad una società che crei profilo comportamentali o di marketing partendo dalla navigazione online.
  • Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, ad esempio trattamenti che possono comportare l’esclusione di una persona fisica da determinati benefici o la sua discriminazione.
  • Monitoraggio sistematico ovvero trattamenti usati per osservare, monitorare, controllare gli interessati, compresa la raccolta dei dati attraverso la rete o la raccolta di dati in aree accessibili al pubblico.

Il Regolamento Privacy (art. 37) fornisce una descrizione delle caratteristiche minime che deve contenere una valutazione di impatto:

  • una descrizione delle operazioni di trattamento previste e delle finalità di trattamento;
  • una valutazione della necessità e della proporzionalità del trattamento;
  • una valutazione dei rischi per i diritti e le libertà delle persone;
  • le misure previste per: “affrontare i rischi” o “dimostrare il rispetto del presente regolamento.

La mancata esecuzione di una valutazione d'impatto sulla protezione dei dati nei casi in cui il trattamento è soggetto alla stessa (articolo 35, paragrafi 1, 3 e 4), l'esecuzione in maniera errata di detta valutazione (articolo 35, paragrafi 2 e da 7 a 9) oppure la mancata consultazione dell'autorità di controllo laddove richiesto (articolo 36, paragrafo 3, lettera e)), possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di euro oppure, nel caso di un'impresa, pari a fino al 2% del fatturato annuo globale dell'anno precedente, a seconda di quale dei due importi sia quello superiore.

Il Regolamento introduce, inoltre, importanti modifiche in merito alla disciplina del consenso al trattamento dei dati personali che, come già previsto dalla normativa precedente, continua a restare il presupposto indefettibile per il legittimo utilizzo dei dati personali dell’interessato.

Tale argomento, per la sua importanza, sarà oggetto di analisi approfondita in un ulteriore contributo.

È sufficiente anticipare che, rispetto al passato, la legittimità del consenso è subordinata ad ulteriori requisiti, che inducano a ritenere che vi sia stata una piena consapevolezza da parte dell’interessato circa le modalità e le finalità di utilizzo dei suoi dati personali.

Chiedere è lecito, rispondere è cortesia.

Hai bisogno di assistenza, ma non sai a chi rivolgerti?
Richiedi una consulenza adesso.  CONTATTACI

Questo sito utilizza cookie e tecnologie simili.

Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Per saperne di piu'

Approvo