General Data Protection Regulation

La normativa

Perché mettersi a norma

L’articolo 83 del GDPR prevede che la violazione di alcune delle disposizioni del Regolamento sia soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 di Euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore; mentre la violazione di altre disposizioni comporta sanzioni amministrative pecuniarie fino a 20.000.000 di Euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
In particolare sono assoggettate a quest’ultima, più elevata sanzione, le violazioni che riguardano i principi base del trattamento, comprese le condizioni relative al consenso, i diritti degli interessati e i trasferimenti di dati personali in un paese terzo.

Le principali novità

Il Regolamento UE 2016/679 presenta importanti novità, che impongono un ripensamento dei processi e dei sistemi informativi alla base della gestione della privacy e richiedono degli interventi specifici. Più specificamente il Regolamento:

  • Introduce il principio di responsabilizzazione o accountability (art. 5) in base al quale spetta al titolare mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento, compresa l’efficacia delle misure adottate.
  • Privacy by design e by default (art. 25) impongono di considerare i profili privacy fin dalla fase di progettazione e pianificazione e di mettere in atto misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
  • Conferma alcuni adempimenti già previsti dal D. Lgs. 196/2003 (ad esempio l’obbligo di fornire agli interessati l’informativa e di gestire il consenso o verificare la sussistenza di altra condizione di liceità), inserendo alcuni elementi di novità (si pensi ad alcune indicazioni ulteriori sul trattamento che occorre fornire all’interessato attraverso l’informativa e al legittimo interesse, individuata quale idonea base giuridica sulla base di una valutazione rimessa direttamente al titolare).
  • Introduce la figura del Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD) – obbligatoria nei casi previsti nell’art. 37 del GDPR.
  • Prevede la possibilità di nomina dei subresponsabili da parte del responsabile (art. 28).
  • Individua l’obbligo di tenuta dei registri del trattamento previsti all’art. 30 del GDPR.
  • Introduce nuovi diritti per l’interessato come il diritto all’oblio e al diritto alla portabilità dei dati trattati con mezzi automatizzati.
  • Individua l’obbligo di effettuare una preliminare valutazione d’impatto sulla protezione dei dati personali (privacy impact assessment) nei casi in cui il trattamento possa comportare dei rischi (art. 35) e prevede di consultare l’autorità di controllo competente solo per ottenere indicazioni su come gestire l’eventuale rischio residuale (art. 36).
  • Prevede come obbligo generalizzato la comunicazione all’Autorità di eventuali violazioni dei dati personali (data breach), ex art. 33 del GDPR.
  • Introduce maggiori responsabilità e prevede e un impianto sanzionatorio più rigido, ferme restando le responsabilità penali che continueranno a derivare dalla normativa nazionale.
  • Prevede che il titolare ed il responsabile debbano adottare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32), che comprendono, tra le altre, se del caso:
    • la pseudonimizzazione e la cifratura dei dati personali;
    • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
    • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.