Ordine dei Medici
+39 0481 531440

Attualità

ANCORA PRIVACY

Entra in vigore oggi la normativa europea sulla protezione dati, in sigla Gdpr (General Data Protection Regulation). Riguarda tutta la filiera che accompagna i dati personali di ciascuno, coinvolgendo quindi aziende, pubblica amministrazione, e professionisti. Il GDPR si basa, infatti, sul principio di “responsabilizzazione” di chiunque effettui operazioni di trattamento nell’ambito della propria attività (il cosiddetto “titolare del trattamento”). Significa, quindi, che ciascuno dovrà fare le valutazioni e le scelte adatte alla propria specifica realtà. E le sanzioni per l’inosservanza delle norme possono arrivare fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato mondiale totale. Il Regolamento è destinato ad abrogare la Direttiva 95/46 che ha portato l’Italia all’adozione dell’attuale Codice Privacy (il Decreto Legislativo n. 196/2003), norme che sono state adottate però in un contesto tecnologico completamente diverso, prima cioè che internet, social media, cloud e servizi in rete cambiassero definitivamente il modo di vivere e lavorare. Ora, le nuove norme mirano proprio ad adeguare il livello di protezione dei dati all’evoluzione degli strumenti che si utilizzano quotidianamente e con cui si registrano, trasmettono e archiviano i dati di utenti e dipendenti.

L’Italia sta lavorando a un decreto legislativo con l’obiettivo di adeguare le norme italiane al Gdpr che troverà comunque applicazione a prescindere dall’adozione del decreto entro due giorni. Pertanto niente proroghe o differimenti. Ecco una guida, con le novità principali che il Gdpr introduce.
Data protection officer
Il Regolamento prevede l’obbligo per alcuni soggetti di nominare un Dpo – Data Protection Officer (ovvero il responsabile della protezione dei dati personali). Si tratta di una figura, interna o esterna alla struttura del titolare, che deve possedere dei requisiti specifici (ad esempio in termini di esperienza e competenza) e deve occuparsi della corretta applicazione della normativa, curando con particolare attenzione la formazione del personale. Il Dpo è obbligatorio quando il trattamento è effettuato da una pubblica amministrazione (eccezion fatta per le autorità giurisdizionali) e quando le attività di trattamento consistano nel monitoraggio su larga scala degli interessati oppure determinino il trattamento su larga scala di dati sensibili (dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona). Il Garante Privacy ha chiarito che, anche quando non obbligatoria, la nomina del Dpo è comunque sempre consigliata in quanto può rappresentare un valido supporto.
Valutazione d’impatto e registro dei trattamenti
Nel caso in cui i trattamenti posti in essere siano particolarmente rischiosi per i diritti e le libertà degli interessati (ad esempio, la videosorveglianza), il titolare è obbligato a una valutazione preliminare di impatto sulla tutela dei dati (cosiddetta “privacy impact assessment”), con una precisa analisi dei rischi e delle contromisure poste in essere. Inoltre, tutte le organizzazioni con più di 250 dipendenti oppure che – indipendentemente dal numero dei dipendenti – pongano in essere trattamenti potenzialmente pericolosi sono tenute all’adozione di un “registro delle attività di trattamento” che contenga, tra le altre informazioni, la descrizione delle misure di sicurezza adottate.
Informativa e consenso
Gli utenti devono essere informati in modo semplice e chiaro sulle finalità, modalità e ambito del trattamento. Le informative richieste agli utenti (dal form per una newsletter ai moduli per richiedere una fidelity card) devono quindi essere aggiornate, prevedendo alcune informazioni nuove (come la base giuridica del trattamento e il tempo di conservazione dei dati) e semplificando il testo in modo da renderle realmente comprensibili. Particolare attenzione è dedicata alla tutela dei minori che – per accedere ai servizi della società dell’informazione (come i social network) – devono avere almeno 16 anni per poter prestare autonomamente il consenso al trattamento.

Sicurezza
Ogni titolare del trattamento è tenuto ad adottare misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino i principi di protezione dei dati. Non esiste un elenco di misure di sicurezza “minime” uguali per tutti. Spetta a ciascuno decidere e assumersi le responsabilità di quali siano le contromisure adeguate alla propria realtà (crittografia, controllo degli accessi, sorveglianza degli archivi, ecc.).
Data Breach
Viene introdotto il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali (“data breach”). Questo significa che – nel caso di incidenti di sicurezza relativi ai sistemi utilizzati per il trattamento (come lo smarrimento di una chiavetta Usb, il furto di un fascicolo oppure un attacco informatico) – il titolare del trattamento dovrà organizzarsi per procedere alla notificazione al Garante Privacy senza ritardo (e, comunque entro le 72 ore). Inoltre, la comunicazione dovrà essere data a tutti gli interessati, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (ipotesi assai probabile, ad esempio, nel caso dei dati sanitari o dei servizi di posta elettronica o messaggistica).
Sanzioni
Il sistema sanzionatorio previsto del Gdpr è molto più severo rispetto a quello del Codice Privacy. Le sanzioni amministrative – che saranno inflitte dal Garante Privacy – possono arrivare fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato mondiale totale. In attesa di vedere se e quali saranno gli illeciti penalmente rilevanti previsti dal Decreto che il governo italiano si appresta ad adottare, è importante tenere a mente che chiunque subisca un danno da una violazione del Gdpr ha il diritto di ottenerne il risarcimento dal titolare, a meno che quest’ultimo non dimostri che il danno non gli è alcun modo imputabile.

Tratto da Doctornews del 25/05/2018

25 maggio 2018