02 Mar Nuovi obblighi in materia di trattamento e protezione dei dati personali (e sanzioni fino a 20 milioni di Euro o fino al 4% del fatturato mondiale in caso di loro violazione)
Il nuovo Regolamento (UE) 679/2016 prevede ulteriori obblighi e responsabilità in capo alle imprese titolari del trattamento dei dati personali. Salate le sanzioni previste per la violazione di tali obblighi: fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale annuo, se superiore.
La normativa europea in tema di privacy e protezione dei dati personali si arricchisce ulteriormente con l’approvazione del c.d. “pacchetto protezione dati”, composto dal Regolamento in materia di protezione dei dati personali e dalla Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
In particolare, il Regolamento sarà destinato ad abrogare la precedente Direttiva, risalente al 1995, e sarà direttamente applicabile nei Paesi membri a partire dal 25 maggio 2018. Alle maggiori garanzie in esso previste per gli interessati soggetti alla raccolta dei dati corrispondono maggiori obblighi in capo al titolare del trattamento.
Di primario interesse per le imprese è l’introduzione della figura del Data Protection Officier (DPO), che dovrà essere sempre tempestivamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, avrà il compito di sorvegliare la corretta applicazione del Regolamento in azienda, di fornire consulenza al titolare, al responsabile e agli incaricati del trattamento e di fungere da punto di contatto con l’autorità garante della privacy.
Inoltre, il Regolamento enuclea i principi inediti della “privacy by design” e della “privacy by default”, in base ai quali è richiesto al titolare di mettere in atto misure tecniche e organizzative adeguate già dalla fase di determinazione dei mezzi del trattamento (“by design”), e idonee a garantire che siano trattati, “per impostazione predefinita”, solo i dati personali necessari per ogni specifica finalità del trattamento (“by default”).
Altro profilo di novità è rappresentato dall’obbligo di comunicazione della violazione dei dati personali (data breach). Tale comunicazione dovrà essere rivolta dal titolare all’autorità di controllo, senza ingiustificato ritardo e possibilmente entro 72 ore dal momento in cui si è avuta conoscenza della violazione; tuttavia, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà dell’interessato, dovrà essere comunicata anche a quest’ultimo, con un linguaggio “semplice e chiaro”.
Infine, ha portata innovativa anche l’obbligo per il titolare di tenere un registro delle attività di trattamento svolte, contenente una serie di informazioni, quali le finalità del trattamento, una descrizione delle categorie di dati personali trattati e delle misure di sicurezza tecniche e organizzative adottate.
Come anticipato, la violazione delle disposizioni e degli obblighi indicati nel Regolamento potrà comportare l’applicazione, in capo ai titolari del trattamento, di sanzioni amministrative pecuniarie anche molto salate: fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.