- Obblighi e responsabilità
Principio di Responsabilità
Titolare e Responsabile del Trattamento dei Dati debbono garantire non soltanto il formale rispetto delle regole, ma anche l’adozione di comportamenti specifici, tecnici e organizzativi, necessari a dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del Regolamento, anche sotto il profilo della sicurezza.
Privacy by Design e by Default
Il Titolare del Trattamento deve adottare e attuare misure tecniche e organizzative sin dal momento della progettazione di un determinato trattamento (by Design), mirate a tutelare i principi di protezione dei dati.
Nell’operatività il Titolare deve adottare, per impostazione Predefinita (by Default), misure tecniche che garantiscano l’utilizzo dei soli dati personali necessari per ciascuna specifica finalità di trattamento.
Obbligo di Comunicazione di Violazione di Dati Personali – Data Breach
Titolari e Responsabili hanno l’obbligo di comunicare l’eventuale avvenuta Violazione di Dati Personali (Data Breach), come ad esempio: attacchi hacker, crash tecnico con rilevanti perdite di dati, dispersione di dati, attacchi da virus informatici, etc. quali che siano i trattamenti posti in essere.
A seguito di Data Breach il Titolare deve notificare la violazione all’autorità garante, senza ingiustificato ritardo. È previsto, inoltre, un obbligo di comunicazione anche all’interessato, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Registri delle Attività di Trattamento
Il Titolare e il Responsabile del Trattamento devono tenere un registro delle attività di trattamento in forma scritta. L’obbligo si applica alle imprese o organizzazioni con oltre 250 dipendenti, a meno che siano trattati “dati sensibili” e/o giudiziari.
Valutazione d’Impatto sulla protezione dei dati
Quando un trattamento può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il Titolare deve effettuare una Valutazione d’Impatto sulla protezione dei dati; in particolare se:
- avviene una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la Profilazione, sulla quale si fondano decisioni che hanno effetti giuridici o incidono su dette persone fisiche;
- si effettua un trattamento su larga scala di dati sensibili e giudiziari;
- si effettua una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
- Nuove figure soggettive
Accanto al Titolare del Trattamento si pongono due nuove figure.
Responsabile del Trattamento
Il Responsabile del Trattamento deve essere designato formalmente tutte le volte in cui un trattamento debba essere effettuato per conto del Titolare, anche se esternamente alla organizzazione dello stesso. In questi casi, bisogna ricorrere unicamente a figure che presentino garanzie sufficienti per la protezione e la sicurezza dei dati. In questa figura si possono ricondurre le società di servizi, le software farm, i CED, i professionisti, legali, consulenti, provider web, hosting cloud, etc. e tutti coloro che collaborano, anche indirettamente, con il Titolare a trattare i dati personali.
I rapporti del Titolare con il Responsabile debbono essere regolati formalmente in merito ai trattamenti effettuati per suo conto, tramite un contratto o altro atto giuridico.
Responsabile della Protezione dei Dati (“RPD - DPO”)
Il Responsabile della Protezione dei Dati Personali (RPD - detto anche DPO Data Protection Officer) deve essere designato ogni qualvolta le attività principali del Titolare o del Responsabile:
- consistano in trattamenti che, per loro natura, campo di applicazione e/o finalità richiedano il controllo regolare e sistematico degli interessati su larga scala;
- consistano in trattamenti di dati sensibili e/o giudiziari.
L’ RPD deve essere designato in base alla sua comprovata professionalità e, in particolare, alla sua conoscenza della legislazione di protezione dei dati.
L’ RPD svolge i suoi compiti in autonomia rispetto al Titolare, non può ricevere istruzioni e deve essere dotato delle risorse necessarie. L’RDP può essere un dipendente oppure un soggetto esterno.
- Diritti dell’interessato
Diritto all’oblio
E’ riconosciuto il diritto del singolo interessato ad essere “dimenticato” dalle banche dati, dai mezzi di informazione, o dai motori di ricerca: cosiddetto Diritto all’Oblio. In particolare, l’interessato ha diritto di chiedere che siano cancellati i suoi dati personali che non siano più necessari per le finalità per le quali sono stati raccolti. L’interessato ha diritto di richiedere di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati.
Portabilità dei dati
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati che lo riguardano forniti al Titolare, e di trasmettere i propri dati da un Titolare ad un altro Titolare (Data Portability), senza impedimenti da parte di colui al quale sono stati forniti in precedenza.
Il diritto non si applica ai trattamenti non automatizzati, sono quindi esclusi archivi o registri cartacei. Sono oggetto del diritto solo i dati trattati con il consenso dell'interessato o sulla base di un contratto stipulato con l'interessato e che siano stati "forniti" dall'interessato al titolare.
- Sanzioni
Le sanzioni amministrative previste in caso di impresa possono arrivare fino a euro 20.000.000 o al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Il Regolamento prevede che saranno gli Stati membri a stabilire le norme relative alla quantificazione specifica delle sanzioni assicurandone la proporzionalità e l’efficacia dissuasiva.