A decorrere dal 25 maggio 2018 diverranno operative e vincolanti le nuove disposizioni in materia di protezione dei dati personali, che vanno ad integrare il previgente “Codice della Privacy”, destinato ad essere sostituito e che quindi impongono alle imprese di adeguare i propri protocolli o comunque di uniformarsi alle nuove regole.
Il quadro normativo di riferimento è basato sulla legge di delegazione europea 2016-2017 (legge n.163/2017), che impone il recepimento delle nuove disposizioni tramite il regolamento UE 679/2016.
Entro il 25 maggio 2018, pertanto, le imprese ed i professionisti dovranno essersi adeguate alle nuove regole, a pena di sanzioni.
In sintesi, le novità sono le seguenti:
1) Informativa Privacy: dovrà essere adeguata alle nuove disposizioni. I suoi contenuti sono elencati in modo tassativo ed in particolare dovrà prevedere:
· Identità e di dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante.
· Finalità del trattamento dei dati
· I legittimi interessi perseguiti dal titolare del trattamento
· Gli eventuali destinatari o le eventuali categorie dei dati personali
· Ulteriori informazioni riguardanti il periodo di conservazione dei dati, il diritto da parte dell’interessato di presentare un reclamo all’autorità di controllo oppure il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
2) I tempi per fornire l’Informativa all’interessato non possono superare i trenta giorni dalla raccolta dei dati se i dati personali non vengono raccolti direttamente presso l’interessato.
3) Modalità dell’Informativa: deve avere forma concisa, trasparente, intellegibile per l’interessato e facilmente accessibile; deve essere fornita, preferibilmente, per iscritto anche se sono ammessi strumenti alternativi che possano comunque permettere la ricezione da parte dell’interessato ed il conseguente reperimento del consenso da parte del titolare del trattamento.
4) Quanto al consenso al trattamento dei dati personali “sensibili” il consenso deve essere prestato liberamente ed in forma esplicita, pertanto dovrà sostanzialmente essere documentato per iscritto. Il consenso dei minori è valido a partire dal compimento dei sedici anni.
5) E’ stata istituita la nuova figura del Responsabile della Protezione dei Dati che verrà nominata nel caso in cui i dati personali vengano trasferiti in Paesi terzi. Se si dovesse ritenere opportuno si potrà ugualmente nominare il Responsabile della protezione dei dati anche in assenza del requisito sopra indicato.
E’ importante sottolineare che se la comunicazione dei dati personali è un obbligo contrattuale o requisito necessario per la conclusione di un contratto, diventa fondamentale informare l’interessato delle conseguenze circa la mancata comunicazione di tali dati, pertanto fornire i propri dati personali è ancor più un vero e proprio obbligo.
Solo per le imprese di grandi dimensioni subentra un’ulteriori novità: il Registro delle Attività di Trattamento.
Il registro delle attività di trattamento deve essere istituito dalle imprese con un numero di dipendenti superiore alle 250 unità. In questi casi il titolare del trattamento deve porre in essere delle misure opportunamente finalizzate a garantire un livello di sicurezza che sia in grado di contrastare un rischio imminente per la conservazione dei dati.
A partire dal 25 Maggio 2018 tutti i titolari del trattamento di dati personali dovranno inoltre notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque senza ingiustificato ritardo se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
Lo Studio è a disposizione per ulteriori chiarimenti ovvero per assistervi nell’adeguamento a detta normativa.
(A cura dell’Avv. Giulio Fanti e della Dott.ssa Alessia Priamo – Note legali: le informazioni riportate nel presente articolo non saranno aggiornate dopo la sua pubblicazione e potrebbero quindi variare per effetto di disposizioni successive)