Negli ambienti professionali, ultimamente si parla molto del GDPR europeo, ma forse non a tutti risulta ancora ben chiaro cosa sia, perché esista e cosa sia necessario fare per essere in regola.
GDPR è l’acronimo di General Data Protection Regulamentation, vale a dire “Regolamento Generale per la tutela della Protezione”. È la Legge Comunitaria N°32016R0679 emanata dal Parlamento Europeo a Bruxelles, il 27 aprile 2016 e comunemente definita Eur-Lex 679/2016 o, appunto, GDPR UE.
Nonostante La Convenzione di Schengen (ufficialmente Convenzione di applicazione dell’Accordo di Schengen) sia un trattato internazionale che regola l’apertura delle frontiere tra i paesi firmatari, con libera circolazione di persone e dati, al quale dal 1990 in poi gradualmente hanno ormai aderito quasi tutti i Paesi membri, in alcuni di essi ante 2016 le normative interne erano insufficienti o obsolete ed in altri non ne esisteva alcuna.
Per eliminare questa situazione di disequilibrio nell’ottica della protezione dei dati di tutti i cittadini circolanti nell’Unione, il Parlamento comunitario ha quindi enunciato una normativa univoca ed obbligatoria per tutti ì i Paesi membri.
L’UE ha Pubblicato la Legge a maggio del 2016, dando a tutti i Paesi membri due anni di tempo per uniformarsi.
Dal 25 maggio 2018 scorso è in vigore a tutti gli effetti su tutto il territorio UE.
I due anni sono stati previsti affinché ciascun Paese membro potesse avere il tempo di porre in essere le scelte legislative interne previste: quelli che già erano dotati di normative interne avevano la facoltà di sostituirle ex-novo con il solo GDPR UE, come quelli nei quali non esistevano normative in materia di protezione dei dati personali circolanti, oppure di adeguare ad esso i regolamenti presenti.
In Italia era presente un ottimo regolamento interno, il D.L. 196/2003.
Nel corso degli anni e, soprattutto, dal 2012, il nostro decreto, comunemente identificato come “Legge sulla Privacy”, aveva raggiunto un tale livello qualitativo nella comprensione del testo e nella tutela dei soggetti interessati, da essere preso ad esempio, con altri similari, durante lo studio e la redazione della Legge europea.
Dall’aprile del 2016 esso è stato ulteriormente rafforzato in modo da aderire perfettamente al testo del GDPR.
L’ultimo passo che ne completa ad oggi il consolidamento è il D.L. 101 del 10/08/2018, in vigore dallo scorso 18 settembre su territorio italiano.
Sul territorio sovrano della Repubblica italiana, dal 25 maggio scorso come in tutta l’UE, è quindi operante sia il D.L. 196/2003 Testo consolidato e Vigente e, in quanto Paese membro UE, sia l’Eur-Lex 679/2016.
Ciò vuol dire che in Italia, ogni possessore di partiva I.V.A. (libero professionista con un grande o piccolo giro d’affari, piccolo o grande imprenditore in qualsiasi settore, Agente di commercio, Intermediario, Agente immobiliare, Istituto Scolastico, ecc) ha l’obbligo di legge di aver adeguato dal 25 maggio quale ultimo termine lecito, la propria organizzazione del settore Privacy alle nuove regolamentazioni, italiana ed europea.
Si parla di “adeguamento”, perchè in Italia già dal 2012 vige l’obbligo di messa in atto dell’Organigramma gestionale della Privacy, con la sua struttura, le sue misure di sicurezza in atto e previste, le metodologie di trattamento, la tipologia di trasferimenti previsti, i Piani di trattamento e di ripristino, le Analisi degli strumenti e degli archivi interessati ad esso, l’Iter da applicare ad eventuali riscontri di avvenute violazione, con comunicazione relativa al Garante e la consegna ai soggetti interessati di informative dettagliate e dei consensi che essi hanno facoltà di concedere in merito al loro trattamento.
Oggi tutto deve essere “adeguato” alle innovazioni, o modificazioni, derivanti dai nuovi testi di Legge, modificati in alcuni concetti fondamentali.
Alcuni esempi.
Attualmente chi chiede dei dati personali ha l’obbligo di dichiarare di raccoglierli e trattarli in base a precisi ed esclusivi parametri consentiti, se no non può chiederli.
Sussiste la responsabilità non solo oggettiva, ma anche soggettiva (non solo civile, ma anche penale) per il Titolare del Trattamento che, non ponendo in essere tutte le possibili misure di sicurezza nel trattamenti di dati personali, sia causa di loro violazione.
Mentre precedentemente i dati potevano essere conservati a tempo illimitato ed era il soggetto interessato a doverne richiedere l’eventuale cancellazione, oggi essi devono essere conservati solo per il tempo congruo e necessario allo svolgimento dell’attività richiesta e alle norme di conservazione derivanti dalla legge, non oltre.
Se i dati vengono trasferiti all’esterno dell’Unione, ove permesso (esiste un Black-list di Paesi extra-UE nei quali è proibito il trasferimento ed altri per i quali esso comporta un permesso specifico da parte del Garante) è posto l’obbligo di dettagliare chi ne assume la responsabilità e la relativa struttura organizzativa locale.
Il D.L. 101/2018 ha posto particolare attenzione alla raccolta e al trattamento dati di minori, di categorie speciali di interessati al trattamento, al trattamento di dati sensibili (ad esempio sulla salute) e giudiziari, inserendo una serie di nuovi dettagliati obblighi di tutela.
Nelle informative, che oggi devono ricevere anche i dipendenti, è obbligatorio specificare bene chi sia il Titolare del trattamento, chi il Responsabile del trattamento, chi il Responsabile della Protezione dei dati se nominato, quali criteri di liceità, finalità vengono applicati nella raccolta e nel trattamento, come verranno trattati i dati, da chi e per quanto tempo (durata), se consulenti o collaboratori esterni tratteranno i dati, a chi essi potrebbero essere comunicati, ecc. Tutti i diritti degli interessati devono poi essere inseriti in modo chiaro, con i dettagli utili delle modalità e della forma nelle quali gli stessi possono utilizzarli. Il consenso deve essere libero ed esplicito.
Da tutto quanto detto deriva, infine, l’onere della redazione della documentazione relativa all’adeguamento, con l’obbligo di aggiornamento periodico di verifica o immediato ogni qualvolta si modifichi anche solo una condizione dello stato delle cose in atto al momento dell’analisi iniziale.
Delta Savona, ove richiesto, fornisce il servizio di redazione documentale necessaria.
Redatto da Susanna Dott.sa Scarrone, incaricata Delta Savona per redazione documentazione G.D.P.R