NOTA INFORMATIVA SUL NUOVO REGOLAMENTO UNICO EUROPEO IN MATERIA DI RISERVATEZZA DEI DATI PERSONALI

Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del testo del Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il Regolamento Europeo è formalmente entrato in vigore il 25 maggio 2016 e dovrà essere applicato da tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende saranno chiamate ad adeguarsi alla nuova normativa sulla privacy.

Il nuovo impianto normativo, destinato a rivoluzionare una legge vecchia più di vent’anni (in Italia la prima legge sulla privacy è entrata in vigore il 1° gennaio 1998), garantisce ai cittadini europei nuovi importanti diritti, in materia di tutela della propria riservatezza. Per poter garantire tali nuovi diritti, tuttavia, si rende necessaria l’imposizione di nuovi oneri a carico dei titolari di trattamento.

Il Regolamento Europeo, perciò, pur introducendo anche alcune semplificazioni (di cui si farà cenno più avanti), prevede nuovi, significativi e più onerosi adempimenti a carico delle imprese, delle aziende e degli enti e, naturalmente, i broker.

Vediamo, in sintesi, le principali novità.

Nuove informative e richieste di consenso al trattamento dei dati personali: le attuali informative e le relative richieste di consenso predisposte per clienti, fornitori e dipendenti non saranno più conformi al nuovo dettato normativo e dovranno essere aggiornate; nuove informazioni dovranno infatti essere obbligatoriamente inserite nel testo quali, ad esempio, il periodo di conservazione dei dati o le modalità per proporre reclamo al Garante della Privacy.

Diritto all’oblio: è una delle novità di maggior impatto della nuova disciplina. Ogni cittadino potrà richiedere in qualsiasi momento (per giustificati motivi e sempre se tale richiesta non sia in contrasto con altre normative) al broker di cancellare completamente i dati personali che lo riguardano. Questo varrà anche per eventuali soggetti terzi coinvolti dal Titolare nel trattamento di tali dati (co-titolari o responsabili esterni, ad esempio un’eventuale azienda terza cui l’intermediario ha affidato la gestione e la manutenzione dei sistemi informativi). Sarà perciò necessario definire in maniera chiara una “filiera” di ogni singolo trattamento, in modo tale da comunicare a tutti i soggetti coinvolti il recepimento di tale obbligo (ad esempio: un broker di medie dimensioni potrebbe esternalizzare la gestione dei dati dei propri dipendenti ad uno studio esterno che si occupa di “paghe e contributi”; quest’ultimo, a sua volta, potrebbe esternalizzare tali dati ad un’azienda informatica; in questo caso la filiera comprenderebbe tre diversi soggetti). Quest’obbligo, inoltre, entrerà automaticamente in vigore allo scadere del periodo di conservazione dichiarato nell’informativa (vedi punto precedente), ad esempio dopo 10 anni dal termine del rapporto di lavoro con il dipendente, o dieci anni dopo la scadenza della polizza.

Portabilità dei dati: ogni cittadino avrà il diritto di far trasferire i propri dati, trattati elettronicamente, ad un altro titolare (ad esempio: un cliente potrebbe decidere di cambiare broker; in questo caso il “vecchio” broker avrebbe l’obbligo di produrre uno o più file contenenti i dati del cliente in maniera organizzata, tipicamente in formato excel, e inviarli entro e non oltre trenta giorni al nuovo broker indicato dal cliente).

Nuove misure di sicurezza: il trattamento dei dati personali effettuato mediante strumenti elettronici dovrà essere effettuato col rispetto di misure di sicurezza più complete ed efficaci rispetto a quelle attualmente in uso. Il nuovo Regolamento pone infatti ai titolari l’obbligo, tra gli altri, di “pseudonimizzare” i dati, di conferire ai propri sistemi caratteristiche di resilienza in grado di fronteggiare un incidente fisico o tecnico. Allo stesso tempo, però, viene meno l’obbligo di recepire delle misure “minime” di sicurezza che, invece, dovranno essere definite dallo stesso Titolare.

Registro dei trattamenti: ogni titolare avrà l’obbligo di redigere e aggiornare almeno annualmente un registro di tutti i trattamenti effettuati. Tale obbligo, però, salvo casi particolari, sarà limitato alle organizzazioni con più di 250 dipendenti perciò molto difficilmente potrà riguardare i broker, con la sola eccezione di quelli di grandi dimensioni.

Comunicazione delle violazioni dei dati personali: in caso di violazione di dati personali da parte di soggetti terzi, sia essa avvenuta per incidente o per dolo, il titolare del trattamento dovrà notificare, entro 72 ore dal momento in cui ne è venuto a conoscenza, agli interessati e al Garante della Privacy, gli estremi di tale violazione. La mancata notificazione nei tempi e nelle modalità previste esporrà il broker a gravi sanzioni penali e amministrative.

Valutazione d’impatto sulla protezione dei dati: per alcuni particolari trattamenti (al momento non è ancora stato precisato di quali trattamenti si tratti: sarà cura del Garante della Privacy, prima dell’entrata in vigore del Regolamento, definire l’elenco di tali trattamenti) il broker dovrà redigere una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali contenente, oltre alla sintesi del trattamento, un’appropriata analisi del rischio e delle contromisure tecniche e organizzative adottate per contrastare tale rischio.

Nomina del Privacy Officer: alcuni particolari categorie di titolari (al momento non esiste ancora una indicazione sufficientemente precisa di quali soggetti abbiano effettivamente tale onere; spetterà al Garante fare luce sul punto prima dell’entrata in vigore del Nuovo Regolamento) avranno l’obbligo di nominare un soggetto quale “Responsabile per la Protezione dei Dati Personali”. Gli estremi identificativi del Responsabile dovranno essere comunicati al Garante della Privacy. Il Responsabile (o “Privacy Officer”) avrà l’onere di garantire il rispetto del Regolamento all’interno della struttura organizzativa del Titolare. Riteniamo, al momento, che almeno i broker di piccole dimensioni saranno esonerati da quest’obbligo.

Oltre a questi nuovi obblighi, come si diceva, il Regolamento porta anche qualche semplificazione rispetto alla normativa vigente, qui di seguito evidenziata.

Notificazione: per alcune tipologie di trattamenti (censiti all’art.37 del D.Lgs 196/03) vige oggi l’obbligo di notificare al Garante tali trattamenti. Tale obbligo, col nuovo Regolamento, viene totalmente abrogato.

Riscontro all’interessato: oggi la normativa vigente pone in carico ai titolari l’onere di rispondere alle richieste di riscontro, da parte dell’interessato, entro il termine tassativo di 15 giorni (1 mese, in caso di comprovata difficoltà tecnica a dare seguito alle richieste dell’interessato). Tale termine, per effetto del nuovo Regolamento, è aumentato ad un mese (2 mesi in caso di comprovata difficoltà tecnica).

Età minima per la prestazione del consenso al trattamento: oggi la norma non consente ai minori di esprimere il consenso al trattamento dei propri dati personali: fino al compimento del 18° anno di età, infatti, solo un genitore o un tutore possono farlo, per conto del minore stesso. Con l’entrata in vigore del Regolamento UE, l’età minima per poter prestare legittimamente il consenso al trattamento invece, scende a 16 anni.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here