Le regole che una società o un professionista deve osservare perché i dati trattati nello svolgimento della propria attività, anche online, sia conforme alla legge sono contenute nel D. Lgs. 196/2003 (Codice privacy) e nei Provvedimenti dell’Autorità Garante per la protezione dei dati personali (si pensi, ad esempio, alle Linee Guida in materia di attività promozionale e contrasto allo spam del 2013 e al Provvedimento sull’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie del 2014).
[…]
La disciplina privacy attualmente in vigore è però destinata a essere sostituita.
Dal 25 maggio 2018, infatti, troverà applicazione il Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679) ed è inoltre in fase di definizione il Regolamento che andrà ad abrogare la Direttiva e-privacy da cui derivano, tra gli altri, gli articoli 122 e 130 del nostro Codice privacy (norme di riferimento, rispettivamente, in materia di cookie e di marketing).
Il Regolamento UE 2016/679 che – come detto – è già in vigore, ma sarà applicabile dal 25 maggio 2018:
- Richiama i principi generali previsti già nel Codice privacy e ne introduce di nuovi (così per i principi della privacy by design e by default, che impongono di considerare i profili privacy fin dalla fase di progettazione e pianificazione e di mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento);
- Conferma alcuni adempimenti già previsti dal D. Lgs. 196/2003 (così per quanto riguarda l’obbligo di fornire agli interessati l’informativa o di acquisire il consenso in assenza di altra condizione di liceità), inserendo alcuni elementi di novità (si pensi ad alcune indicazioni ulteriori sul trattamento che occorre fornire all’interessato attraverso l’informativa e al legittimo interesse, individuata quale idonea base giuridica sulla base di una valutazione rimessa direttamente al titolare e non più all’Autorità);
- Introduce nuove prescrizioni (così per la designazione del Data Protection Officer – obbligatoria nei casi previsti nell’art. 37 del Regolamento UE – e per la tenuta dei registri del trattamento previsti all’art. 30 del nuovo testo normativo);
- Individua nuovi diritti per l’interessato (si pensi ad esempio al diritto all’oblio e al diritto alla portabilità dei dati trattati con mezzi automatizzati, disciplinati, rispettivamente, agli artt. 17 e 20 del Regolamento europeo 679);
- Estende la portata di alcuni adempimenti già previsti dal Codice privacy (così per l’obbligo – che diventa generalizzato – di comunicare all’Autorità eventuali violazioni dei dati personali (data breach), ex art. 33 del testo di prossima applicazione);
- Introduce maggiori responsabilità e prevede e un impianto sanzionatorio più rigido (sul punto basti considerare che la violazione degli obblighi elencati al comma 5 dell’art. 83 del Regolamento – tra cui i principi di base del trattamento, comprese le condizioni relative al consenso, i diritti degli interessati o i trasferimenti di dati personali a un destinatario in un paese terzo – comporta sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore), ferme restando le responsabilità penali che continueranno a derivare dalla normativa nazionale.
Cosa fare in questa fase di passaggio?
In questa fase occorre:
- verificare se si stia operando nel rispetto dei principi e obblighi prescritti dal D. Lgs. 196/2003 e attivarsi per colmare eventuali mancanze
- considerare gli elementi di novità introdotti dal Regolamento europeo in materia di protezione dei dati personali e pianificare gli interventi necessari per avviare il processo di adeguamento.
A tal fine può essere sicuramente utile la Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali con cui il Garante privacy, attraverso raccomandazioni specifiche, suggerisce alcune azioni che possono essere intraprese sin d’ora in modo da arrivare preparati all’appuntamento del 25 maggio 2018, data in cui il Regolamento UE 2016/679 troverà applicazione.
Leggi l’articolo completo pubblicato su www.webintesta.it