I nuovi obblighi sulla protezione dei dati personali previsti dal GDPR sono operativi dal 25 maggio 2018, anche se l’Italia non ha ancora approvato il decreto legislativo di armonizzazione con il Codice Privacy. Il provvedimento è comunque destinato a chiarire una serie di punti, rendendoli coerenti le nuove direttive con l’impianto normativo nazionale in materia. Ma la sua mancata approvazione nei tempi previsti (21 maggio) non rappresenta un ostacolo all’entrata in vigore del Regolamento UE, che in base a quanto prevede l’articolo 99 “si applica dal 25 maggio 2018”.
Chiarito questo punto, vediamo a grandi linee quali sono i nuovi obblighi di privacy che riguardano imprese e professionisti.
In termini generali, il GDPR risponde alla necessità di garantire la protezione dei dati personali rispondendo alle nuove sfide imposte dall’innovazione tecnologica. Fissa i principi di base per il trattamento dei dati, i diritti dell’interessato, gli obblighi del titolare e del responsabile del trattamento, regolamenta il trasferimento di dati verso paesi terzi oppure organizzazioni internazionali, i poteri di controllo delle autorità nazionali, le sanzioni.
I principi di base sul trattamento dei dati sono fissati dall’articolo 5:
- liceità, correttezza e trasparenza: o dati vanno trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- limitazione della finalità: vanno raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità;
- minimizzazione dei dati: vanno raccolti solo dati che siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esattezza: devono essere adottate tutte le misure ragionevoli per cancellare, rettificare, aggiornare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
- limitazione della conservazione: l’identificazione degli interessati è limitata a un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati. La conservazione per periodi più lunghi è consentita esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- integrità e riservatezza: i dati vanno trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e da perdita, distruzione o danno accidentali;
- responsabilizzazione: il titolare del trattamento è competente per il rispetto dei principi sopra esposti ed è in grado di comprovarlo.
Il trattamento dei dati deve sempre essere autorizzato dall’interessato. Fra gli obblighi per le imprese, quello di fornire sempre all’interessato adeguata informativa sul trattamento dei dati, che comprende: identità e dati di contatto del titolare del trattamento, del suo rappresentante, del DPO (il responsabile della protezione dei dati), l’informazione sulle finalità del trattamento con indicazione della base giuridica del trattamento, quali sono i legittimi interessi che eventualmente rappresentano la base giuridica del trattamento, i destinatari dei dati, l’intenzione di trasferire dati personali a un paese terzo o a un’organizzazione internazionale, il periodo di conservazione dei dati, il diritto dell’interessato all’accesso, alla correzione o alla cancellazione, a presentare reclami all’autorità di controllo, l’esistenza di processi automatizzati.
Per quanto riguarda il DPO, responsabile della protezione dei dati (RPD), si tratta di una persona con una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati.
Non è un obbligo per tutte le aziende. Devono necessariamente nominarlo, oltre alle pubbliche amministrazioni, i privati che trattano dati sensibili su larga scala.