Oltre alle già viste novità in tema di regole più chiare per l’informativa, per il consenso al trattamento, per i trattamenti automatizzati e per le procedure di riscontro ai diritti degli interessati, il GDPR ha previsto anche rigorose garanzie per il trasferimento dei dati al di fuori dell’Unione Europea.

Questo tipo di trasferimento, in linea di principio, è vietato qualora i Paesi o le Organizzazioni internazionali verso cui si vogliano far transitare i dati non rispondano a precisi standard di sicurezza in materia di adeguate tutele. Qualora, infatti, la Commissione Europea non avesse già fornito una decisione di adeguatezza di tale Paese o organizzazione, i Titolari del trattamento (aziende, enti, società, professionisti) dovranno prevedere specifiche garanzie contrattuali per la tutela degli Interessati, per le quali il Regolamento prevede norme molto dettagliate.

In assenza di riconoscimenti di adeguatezza o di specifiche garanzie contrattuali, i dati personali potranno essere trasferiti verso tali Paesi solo con il consenso esplicito degli interessati, oppure quando vi siano particolari e importanti motivi di interesse pubblico, o ancora per esercitare o difendere un diritto in giudizio.

Data Breach

Come già accennato, un altro aspetto importante è l’obbligo per il Titolare di registrare – e in alcuni casi anche di notificare o comunicare – eventuali violazioni di dati personali (Data Breach).

Le regole prevedono, infatti, la notificazione di tali avvenimenti al Garante e, se la violazione comporta una minaccia per i diritti e le libertà fondamentali delle persone, anche una comunicazione diretta al singolo Interessato, comprendente indicazioni su come si intendano affrontare le possibili conseguenze negative dell’accaduto.

Per quanto riguarda Imprese, Enti e Professionisti, il Regolamento è, esattamente come per i singoli Interessati, direttamente applicabile negli Stati Europei, senza alcuna necessità – salve le modifiche e gli adeguamenti di cui al novellato Codice della Privacy – di specifici provvedimenti di attuazione o adattamento.

Il GDPR si applica integralmente anche alle imprese situate al di fuori dell’Unione Europea che offrano servizi o prodotti a persone residenti o che si trovino nel territorio dell’Unione. Di conseguenza tutte le aziende, ovunque stabilite, dovranno rispettare le norme europee.

Accountability

Dal punto di vista degli operatori commerciali, delle aziende e ovviamente anche degli Amministratori di Condominio, l’aspetto decisamente più rilevante e innovativo della normativa è comunque rappresentato dalla cosiddetta accountability, ossia dal principio della responsabilizzazione.

In sintesi, le regole impongono un approccio responsabilizzato, che tenga conto dei rischi che un determinato trattamento di dati personali può generare nei confronti degli interessati: tenuto conto del contesto, della tipologia e delle finalità di ciascun specifico trattamento che desideri porre in essere, ogni operatore è obbligato ad adottare modelli, approcci e politiche adeguate a prevenire tali rischi.

Privacy by design & Privacy by default

Ogni operatore deve inoltre poter dimostrare di aver determinato e stabilito modalità di protezione dei dati personali sin dalla fase in cui ha progettato la propria attività (privacy by design) ed essere, in seguito, in grado di dimostrare di averlo fatto in ogni fase in cui si è sviluppato il trattamento (privacy by default).

Sicurezza dei trattamenti

Come vedremo nelle prossime uscite, infine, la normativa pone una rilevanza significativa e non eludibile in materia di sicurezza dei trattamenti. Analizzeremo, per esempio, come l’Amministratore di Condominio abbia l’obbligo di tenere e aggiornare i Registri delle Attività del Trattamento, di contrattualizzare i rapporti con i fornitori (ad esempio con le imprese di pulizie) e di autorizzare e istruire specificamente coloro che, come il portiere, trattano i dati dei singoli condomini.

Prenderemo quindi in esame, a partire dal prossimo lunedì, i molti aspetti sui cui il GDPR incide sull’attività degli Amministratori condominiali.

 

Avv. Andrea Broglia

***

L’ approfondimento del Garante in materia di data breach: www.gpdp.it/regolamentoue/databreach
Le Linee Guida del WP 29: ec.europa.eu/newsroom/article29