Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

privacy_1

Le imprese e le pubbliche amministrazioni avranno tempo fino al 24 Maggio 2018 per adeguarsi al Regolamento (UE) n. 2016/679 in materia di protezione dei dati personali. Le aziende dovranno valutare i processi di trattamento dei dati adattandosi a novità come le valutazioni di impatto, i sistemi di certificazione e di notificazione delle violazioni. Nei casi in cui sarà necessario, le aziende dovranno anche dotarsi di una nuova figura ovvero il Data Protection Officer (DPO).

Le principali novità contenute nel Regolamento Europeo Privacy riguardano la diffusione dei dati personali e il diritto all’oblio. Il nuovo testo, infatti, introduce il “diritto all’oblio”, regolamentato dall’articolo 17 GDPR: “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”, si legge del testo. Un passo avanti importante e decisivo per la diffusione e la divulgazione dei dati personali, soprattutto online.

Per quanto riguarda le aziende, inoltre, ecco con il Regolamento Europeo Privacy cosa cambia: l’articolo 5 prevede una serie di principi importantissimi per il trattamento dei dati, incluso quello della “responsabilizzazione” che attribuisce direttamente ai titolari del trattamento il compito di assicurare ed essere in grado di comprovare, tutti gli altri principi. Come suggerito dal Garante per la protezione dei dati personali, dunque, le aziende e le pubbliche amministrazioni dovranno dotarsi di un Responsabile della protezione dei dati (Data Protection Officer), di un Registro delle attività di trattamento e prepararsi alla notifica delle violazioni dei dati personali.

Quando deve essere designato il DPO (Responsabile della protezione dei dati)?

Il Titolare del trattamento e il Responsabile del trattamento sono obbligati a designare un “Responsabile della protezione dei dati” in tre casi specifici, elencati nel paragrafo 1 dell’art. 37, e cioè:

  • a) se il trattamento è effettuato da un’“autorità pubblica” o da un “organismo pubblico”, ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni;
  • b) se le “attività principali” del Titolare o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati su “larga scala”, oppure
  • c) se le “attività principali” del Titolare o del Responsabile del trattamento consistono nel trattamento su “larga scala” di “categorie particolari” di dati (c.d. dati sensibili) o di dati personali relativi a condanne penali e reati (c.d. dati giudiziari).

Di seguito vengono messe in evidenza in 10 punti le principali differenze tra il vecchio D.Lgs. 196/2003 e la nuova normativa europea in materia di protezione dei dati.

1 – INDIVIDUAZIONE DEI SOGGETTI A CUI SI APPLICA IL REGOLAMENTO

Prima = la normativa era applicabile nel luogo in cui aveva sede il Titolare del trattamento dei dati.

Con il Nuovo Regolamento Europeo = la legge applicabile è quella del soggetto i cui dati vengono raccolti. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’Unione Europea. Con il nuovo regolamento viene abolita la figura del Titolare del Trattamento Dati e rimane solo la figura di Responsabile.

2 – DOVERE DI DOCUMENTAZIONE E INFORMAZIONE

Prima = la documentazione era importante.

Con il Nuovo Regolamento Europeo = principio dell’accountability (responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.

3 – L’INFORMATIVA PRIVACY

Prima = l’informativa era spesso lunga, incomprensibile e con richiami normativi complessi.

Con il Nuovo Regolamento Europeo = l’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Si propone anche l’utilizzo di icone per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.

4 – CAMBIA IL CONSENSO

Prima = il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati.

Con il Nuovo Regolamento Europeo = il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.

5 – VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

Prima = si preparava il DPS.

Con il Nuovo Regolamento Europeo = si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi. Quasi sicuramente il nuovo documento sarà chiamato PIA: Privacy Impact Assessment.

6 – ABOLIZIONE DELLA NOTIFICAZIONE

Prima = si doveva informare il Garante che un soggetto sta trattando dati per una particolare finalità. (ex art. 37 D.lgs. 196/2003)

Con il Nuovo Regolamento Europeo = non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera effettuata la notifica.

7 – IL DATA PROTECTION OFFICER

Prima = il DPO non era una figura contemplata.

Con il Nuovo Regolamento Europeo = bisogna istituire (per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un responsabile per la protezione dei dati. Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.

8 – PRIVACY BY DESIGN E PRIVACY BY DEFAULT

Prima = la privacy era un elemento conclusivo e finale.

Con il Nuovo Regolamento Europeo = la privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato.

9 – OBBLIGO DI SEGNALAZIONE IN CASO DI VIOLAZIONE DEI DATI

Prima = non era necessario comunicare violazioni nel trattamento dati.

Con il Nuovo Regolamento Europeo = nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach.

10 – RICONOSCIMENTO DI NUOVI DIRITTI

Prima = pochi diritti che tutelavano l’interessato in merito alla gestione dei suoi dati.

Con il Nuovo Regolamento Europeo = nuovi diritti: diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto a essere totalmente dimenticato da chi ha raccolto i miei dati.

 

INOLTRE VI SONO ALTRE IMPORTATI NOVITÀ:

  • Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico”
  • Introdotta la categoria del trattamento dati dei minori
  • Introduzione della Cotitolarità nel trattamento dei dati
  • Introduzione del Diritto all’Oblio
  • Introduzione della figura del Joint Controller
  • Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi
  • Introduzione del principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni e servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’UE
  • Istituzione del Comitato Europeo per la protezione dei Dati

 

 

 

Fonte: http://www.garanteprivacy.it/