venerdì 25 maggio 2018

[AccademiaItalianaPrivacy] Buongiorno GDPR: il principio di accountability e i diritti degli interessati


di Gianni Dell’Aiuto | Avvocato |Accademia Italiana Privacy

Nonostante in molti si augurassero il contrario e ieri siano state fraintese notizie circolate in rete - a causa dello slittamento ad Agosto delle deleghe al Governo, ma non del termine per l’adeguamento alla nuova disciplina- da oggi tutti coloro che trattano in qualsiasi forma, dati personali, devono essere in regola con il GDPR.

Tecnicamente parlando non possiamo dire che “oggi entra in vigore” il GDPR, vale a dire il nuovo Regolamento Europeo in materia di trattamento dei dati personali. Già pubblicato sulla G.U. del 4 Maggio 2016, il GDPR è entrato in vigore dal ventesimo giorno successivo alla pubblicazione e prevede il termine ultimo di oggi per l’effettiva applicazione e la sua completa efficacia su ogni punto, ad iniziare dalle pesanti sanzioni per chi non ottemperi a quanto in esso disposto.

La nuova normativa che, deve ribadirsi, prenderà il posto della vecchia 196/2003 (la quale resterà in vigore per le previsioni penali stante la riserva di legge ai singoli Stati dell’Unione sul punto), ruota attorno al principio della “accountability”, termine che possiamo tradurre in responsabilizzazione, ma che in italiano non rende idea del suo più pieno significato.

Privacy by default e privacy by design
Il GDPR, introducendo i principi di privacy by default e privacy by design ha definitivamente posto l’accento sul ruolo e le responsabilità dei soggetti che determinano le finalità e i mezzi del trattamento, rendendo obbligatorio il porre in essere tutte le misure necessarie alla protezione dei dati personali di cui vengono in possesso. Possiamo ben dire che il legislatore europeo, ben prima delle recenti notizie sulle falle, i data breach e il pessimo trattamento dati personali operato anche da giganti del web, Facebook in primis, ha rilevato l’inadeguatezza di un sistema quale il nostro, che si focalizzava più sui rimedi successivi alle possibili violazioni che sulla prevenzione ed era certo meno attento alle misure per una reale protezione degli interessati e dei loro dati.

La nuova normativa, anche a fronte degli sviluppi della rete e delle possibilità di violazione dei dati con conseguente loro uso illecito, impone ai responsabili del trattamento comportamenti di protezione preventiva e prevede sanzioni di natura decisamente deterrente. Basti pensare a pene pecuniarie che possono giungere ad una percentuale non certo irrisoria del fatturato.

In sintesi possiamo dire che il Titolare del trattamento, insieme al Responsabile nominato, dovranno porre in essere misure effettive e customizzate sull’attività svolta,  basate sui concreti fattori di rischio da cui tutelarsi. In sintesi si rende necessaria una preventiva attività di programmazione e pianificazione prima ancora di venire in possesso dei dati sensibili da trattare.

I nuovi diritti dell'Interessato dal Trattamento
Il tutto nella prospettiva che all’Interessato, cioè colui che autorizza il trattamento, venga concesso un ruolo decisamente attivo. Infatti sono espressamente garantiti a ciascun interessato i seguenti fondamentali diritti;
  1. Diritto di accesso: si configura come il diritto del soggetto Interessato di richiedere e ottenere dal Titolare del Trattamento le informazioni sul trattamento dei suoi dati personali;
  2. Diritto all’oblio:
    vale a dire il diritto dell’Interessato a veder cancellati tutti i dati personali che lo riguardano una volta venute meno le ragioni del Trattamento ovvero il consenso;
  3. Diritto di rettifica: il diritto dell’Interessato di richiedere che siano modificati, corretti o aggiornati i dati che lo riguardano;
  4. Diritto di limitazione:
    consiste nel diritto riconosciuto all’Interessato di richiedere al Titolare che il trattamento dei suoi dati sia limitato alla sola conservazione;
  5. Diritto alla portabilità dei dati:
    l’Interessato ha il diritto di ricevere dal Titolare copia dei dati personali oggetto del trattamento in un formato strutturato, di uso comune e leggibile da dispositivo automatico; si pensi a poter trasferire tutta la posta elettronica in casso di cambio di operatore.

Si tratta di elementi che dovranno essere considerati  nell’adozione delle misure di sicurezza già nella fase organizzativa e di predisposizione degli strumenti di sicurezza e certamente non potranno certo limitarsi a password da cambiare periodicamente o alla raccolta di dati cartacei da tenere in un archivio. Si rende quindi necessaria la garanzia della tutela e protezione reale dei dati personali, mediante misure (giuridiche, organizzative, tecnologiche,  di sicurezza ecc...) la cui individuazione e adattamento al caso specifico sono responsabilità del Titolare e del Responsabile: tutto ciò nell’ambito di un vero e stabile programma di protezione del dato che si sostanzi nell’implementazione di processi non occasionali, ma sistematici ed organizzati, finalizzati al più ampio Privacy Management di un’azienda o di un professionista e, in generale, per chiunque tratti dati personali.

Nessun commento:

Posta un commento