La nuova privacy: cosa cambia


General data protection regolation
La nuova privacy: cosa cambia
REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI GDPR (general data protection regulation)
Regolamento 2016/679

Il regolamento europeo è entrato in vigore il 25 maggio 2018 creando una disciplina uniforme in tutti i paesi della comunità europea e di immediata efficacia, senza la necessità di una disciplina attuativa da parte dei singoli stati.

A chi è rivolta:
ai sensi dell'art. 2 del Reg. 679/2016, la normativa è riferita al trattamento dei dati personali (nome, codice fiscale, email, foto, dati bancari ecc.) in ogni modo trattati, sia in formato cartaceo che digitale; pertanto, tenuti al rispetto della normativa, sono tutti coloro che trattano dati altrui per fini non personali e domestici.
Novità:
- Efficacia territoriale della normativa:
La normativa si applica a tutti i soggetti, anche estranei all'Unione Europea, che offrono beni e servizi a cittadini dell'Unione Europea o tali da comportare il monitoraggio dei loro comportamenti; è una rivoluzione rispetto alla regola precedente, che prevedeva quale normativa applicabile, quella del luogo in cui aveva sede il titolare del trattamento.
- Obblighi a carico del titolare il principio cd. accountability:
Nella precedente normativa, il titolare del trattamento era soggetto ad obblighi formali di rispetto di misure minime di sicurezza, mentre nella nuova disciplina viene introdotto il pricnipio della cd accountability, ossia, il titolare deve elaborare un sistema documentale di gestione della privacy, predisponendo una corretta organizzazione, documentazione e tracciabilità dell'attività di trattamento dei dati.
- Informativa del trattamento:
Il titolare del trattamento dei dati, deve dare un'informativa consisa, trasparente, intelligibile e facilmente comprensibile. L'informativa deve essere resa per iscritto o con altri mezzi purché il titolare sia in grado di fornire la prova di aver informato l'interessato.
- Esercizio dei diritti dell'interessato:
Il nuovo Regolamento prevede che il titolare predisponga delle procedure volte ad agevolare da parte dell'interessato l'esercizio dei suoi diritti, compreso il diritto di accesso, la rettifica dei dati, la cancellazione e l'opposizione al trattamento. Il titolare del trattamento deve porre in essere delle procedure che consentano all'interessato di esercitare tali diritti con la medesima facilità con cui ha prestato il consenso al trattamento.
- PIA Privacy Impact Assessment ovvero documento di valutazione di impatto nel trattamento dei dati:
E' imposto a chi raccoglie dati, effettuare una valutazione degli impatti determinati dal trattamento degli stessi fin dal momento della progettazione del processo aziendale ed in particolare, laddove il trattamento dei dati, per la natura dei dati raccolti, l'oggetto le finalità, presenti dei rischi specifici per i diritti e le libertà degli interessati;
tale valutazione prevede tre fasi:
1. analisi dei rischi
2. analisi delle criticità
3. definizione del programma di intervento.
- DPO (data privacy officer ) o RPD (responsabile protezione dati)
E' una nuova figura introdotta dal Regolamento n. 679 /2016, la cui nomina è obbligatoria solo nelle ipotesi previste dall'art. 37 del regolamento, ma è buona prassi nominarlo al fine di dimostrare di aver adempiuto posto in essere tutto quanto possibile al fine di corretto trattamento dei dati personali; il suo ruolo è di supporto al Titolare ed al responsabile del trattamento dei dati, con compiti di carattere consultivo, formativo nei confronti degli incaricati del trattamento dei dati, nonché di punto di raccordo tra Titolare, interessato e autorità di controllo; per tali ragioni deve essere un soggetto con professionalità e conoscenza della legislazione della privacy.
- Principi privacy by desing e privacy by defaul:
Il Regolamento Europeo ha introdotto questi due nuovi principi alla base di un corretto approccio al trattamento dei dati i quali prevedono che:
privacy by desing: ovvero la tutela dei dati personali deve essere pensata ed organizzata fin dalla fase inziale di raccolta del dato;
privacy by default: ovvero prevede che occorre prevenire la raccolta dati non necessari per le finalità perseguite.
- Data breach:
Il Regolamento impone l'obbligo al titolare del trattamento di notificare al Garante della privacy entro 72 ore ed eventualmente anche agli interessati, l'eventuale violazione dei dati, intendendosi per violazione la violazione, la perdita, la modifica, l'accesso, illecito o accidentale, dei dati trasmessi elaborati o memorizzati.
- Consenso al trattamento:
il Regolamento esclude che il consenso debba essere prestato solo in forma scritta ed in effetti prevede che possa essere espresso con un'azione positiva inequivocabile con la quale l'interessato manifesta la propria intenzione che i dati personali che lo riguardano siano oggetto di trattamento; tale manifestazione può essere prestata in forma scritta, elettronica ma anche orale (ovviamente il titolare deve poter dimostrare di aver ricevuto il consenso al trattamento).
- Sanzioni:
Sono state inasprite le sanzioni previste in caso di violazione della normativa, ed in effetti sono previste sanzioni:
-fino a 20.000.000 di euro privati e imprese non facenti parte di gruppi;
- 4% del fatturato complessivo per gruppi societari.

Articolo del:


di Avv. Carlo Smargiassi

L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse