Il decalogo
della nuova privacy

Queste sono le principali novità apportate dal nuovo regolamento della privacy:

È il diritto di un individuo ad essere dimenticato o non più ricordato per fatti di cronaca del suo passato.
Il Regolamento sancisce il diritto che l’interessato ha di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo nel caso in cui:

  • I dati non sono più necessari
  • L’interessato ha revocato il consenso
  • L’interessato si oppone al trattamento
  • I dati sono trattati illecitamente
  • I dati devono essere cancellati per adempiere ad un obbligo di legge
  • I dati sono stati raccolti relativamente a offerta di servizi di società d’informazione

* non si applica nel caso di trattamento per l’esercizio del diritto alla libertà di espressione e di informazione e nel caso il trattamento dipenda da un obbligo di legge

Il Regolamento, come già il nostro Garante, è stato molto attento al tema, trattandosi di interessati al trattamento che possono essere meno consapevoli. Il Regolamento evidenzia infatti:

  • la necessità di informative semplici e chiare;
  • La soglia per la validità ed efficacia di un contratto con un minore sale da 13 a 16 anni, a meno che lo Stato membro disciplini una soglia più bassa o che vi sia consenso di chi esercita la responsabilità genitoriale;
  • in ogni caso la soglia non può scendere mai sotto i 13 anni in nessun caso e il Garante è e sarà molto severo su questo tema.

L’interessato ha diritto di poter ricevere dal Titolare del trattamento tutti i dati personali che lo riguardano in un formato strutturato, di uso comune, leggibile su dispositivo automatico, in modo da poterli all’occorrenza trasmettere agevolmente ad altro fornitore di servizi o altro Titolare.

Privacy by design

  • Protezione del dato fin dalla progettazione;
  • Riduzione al minimo del trattamento del dato (es. pseudonimizzazione del dato)

Privacy by default

  • La tutela della protezione del dato deve diventare l’impostazione predefinita
  • Misure tecniche ed organizzative adeguate
  • Il Titolare del trattamento è chiamato a mettere in atto misure tecniche ed organizzative per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento;
  • E’ il cosiddetto principio della responsabilizzazione che coinvolge Titolare e Responsabile;
  • E’ prevista, in questo senso anche la corresponsabilità fra contitolari del trattamento (joint controllers) che si verifica quando due o più Titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento.

Si tratta di un adempimento formale, sostitutivo nell’ordinamento italiano, dell’obbligo di notifica al Garante. I registri sono due:

  • Il registro del Titolare del trattamento;
  • Il registro del Responsabile del trattamento

Devono essere tenuti in forma scritta ed anche elettronica e messi a disposizione del Garante per ispezione e controlli.

  • Il nuovo Regolamento tratta solo di misure adeguate di sicurezza, non più di misure minime…
  • Il Regolamento chiede la preventiva valutazione dei rischi e la successiva messa a punto di misure adeguate per limitarli.
  • Consiste nell’obbligo da parte del Titolare di notificare al Garante in caso di avvenuta violazione di dati personali, se possibile entro 72 ore dal momento in cui ne ha avuto conoscenza.
  • L’obbligo non scatta se il Titolare è in grado di dimostrare che la violazione è improbabile che  presenti un rischio per i diritti e le libertà fondamentali delle persone fisiche
  • Se la notifica giunge oltre le 72 ore deve essere giustificata.
  • Sostituisce anch’essa l’obbligo generale di notificare al Garante il trattamento di dati personali e si inserisce nel principio di responsabilizzazione.
  • La valutazione d’impatto sulla protezione dei dati va fatta prima del trattamento per soppesare la particolare probabilità e gravità del rischio.
  • La valutazione d’impatto è richiesta in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati  personali a livello regionale, nazionale o sovranazionale che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.
  • Il Regolamento prevede l’emanazione di codici di condotta destinati a contribuire alla sua corretta applicazione, così come d’ora in poi sarà possibile ottenere anche la certificazione per la privacy non appena verrà emessa la ISO di competenza.

  • Il trasferimento, sulla falsariga dell’attuale Codice Privacy, è ammissibile in 5 casi:

    • decisioni di adeguatezza della commissione;
    • garanzie adeguate;
    • norme vincolanti d’impresa;
    • casi in deroga;
    • legittimo interesse del Titolare
  • Il Titolare del trattamento può rivolgersi all’Autorità garante del paese in cui è stabilito, la quale opererà come autorità capofila per tutte le attività svolte in tutti i Paesi dell’unione europea.

Il 19 febbraio 2017 il Garante Italiano ha pubblicato le prime linee guida in proposito ma si attendono ulteriori chiarimenti, in particolare riguardo alle competenze specifiche che saranno allo stesso richieste…
Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:

  1. quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);
  2. quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
    In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.