Nuovo Regolamento europeo su protezione dei dati
Mancano pochi mesi all'entrata in vigore del nuovo Regolamento europeo 2016/679 sulla protezione dei dati: come siamo messi?
Il nuovo Regolamento europeo n° 2016/679 sulla protezione dei dati, o GDPR General Data Protection Regulation, dovrà essere applicato a partire dal 25 maggio 2018 in tutti i paesi membri dell’Unione Europea. In Italia verrà emesso un nuovo decreto, in sostituzione del D.Lgs. 196/2003, per definire quanto il Regolamento non specifica.
Gli obiettivi del regolamento, che si applica solo al trattamento dei dati personali relativi a persone fisiche e non giuridiche, sono essenzialmente:
- Rafforzamento di diritti e doveri
- Semplificazione burocratica in cambio di una maggiore responsabilizzazione delle imprese
- Uniformità di tutele in tutta l’Unione Europea
Le novità introdotte sono le seguenti:
- Forte responsabilità del Titolare del trattamento (art. 24 RGPD)
- Accountability: approccio basato sul rischio del trattamento, con l’obiettivo di garantire e dimostrare la compliance del sistema adottato, documentando adeguatamente i processi di trattamento (anche attraverso meccanismi di certificazione, vedi art. 25)
- Inserimento della nuova figura del DPO Data Protection Officer, richiesta in determinati casi
- Dalle "misure minime" alle misure tecniche e organizzative "adeguate" (art. 32), scelte in base all’analisi del rischio (privacy by design/by default)
- Esecuzione di una valutazione d’impatto sulla protezione dei dati, o DPIA - Data Protection Impact Assesment (art. 35)
- Introduzione del Registro dei trattamenti (eliminata la notificazione al Garante)
- Nuovi diritti per gli interessati (oblio dei dati, limitazione del trattamento, portabilità)
- Obbligo di notificazione dei data breach
- Divieto di trasferimento dei dati verso Paesi Terzi (tranne quelli con livello di protezione adeguato)
- Sistema sanzionatorio uniforme in UE
Molte parti del nuovo Regolamento sono in linea con l’attuale legislazione italiana, le novità però sono comunque rilevanti.
I passi da compiere per l’adeguamento alle nuove disposizioni sono i seguenti:
- Partire dal lavoro che l’azienda ha fatto in questi anni per ottemperare alle disposizioni del D.Lgs. 196/2003
- Valutare il gap rispetto agli adempimenti richiesti dal Regolamento, verificando quanto già posto in essere e i documenti da aggiornare
- Avviare al più presto il percorso di aggiornamento, anche in assenza ad oggi di diversi tasselli a livello normativo (sia europeo che nazionale)
Si conferma che le aziende che hanno mantenuto il DPS Documento Programmatico sulla Sicurezza hanno fatto un’ottima scelta!
Gli obiettivi del regolamento, che si applica solo al trattamento dei dati personali relativi a persone fisiche e non giuridiche, sono essenzialmente:
- Rafforzamento di diritti e doveri
- Semplificazione burocratica in cambio di una maggiore responsabilizzazione delle imprese
- Uniformità di tutele in tutta l’Unione Europea
Le novità introdotte sono le seguenti:
- Forte responsabilità del Titolare del trattamento (art. 24 RGPD)
- Accountability: approccio basato sul rischio del trattamento, con l’obiettivo di garantire e dimostrare la compliance del sistema adottato, documentando adeguatamente i processi di trattamento (anche attraverso meccanismi di certificazione, vedi art. 25)
- Inserimento della nuova figura del DPO Data Protection Officer, richiesta in determinati casi
- Dalle "misure minime" alle misure tecniche e organizzative "adeguate" (art. 32), scelte in base all’analisi del rischio (privacy by design/by default)
- Esecuzione di una valutazione d’impatto sulla protezione dei dati, o DPIA - Data Protection Impact Assesment (art. 35)
- Introduzione del Registro dei trattamenti (eliminata la notificazione al Garante)
- Nuovi diritti per gli interessati (oblio dei dati, limitazione del trattamento, portabilità)
- Obbligo di notificazione dei data breach
- Divieto di trasferimento dei dati verso Paesi Terzi (tranne quelli con livello di protezione adeguato)
- Sistema sanzionatorio uniforme in UE
Molte parti del nuovo Regolamento sono in linea con l’attuale legislazione italiana, le novità però sono comunque rilevanti.
I passi da compiere per l’adeguamento alle nuove disposizioni sono i seguenti:
- Partire dal lavoro che l’azienda ha fatto in questi anni per ottemperare alle disposizioni del D.Lgs. 196/2003
- Valutare il gap rispetto agli adempimenti richiesti dal Regolamento, verificando quanto già posto in essere e i documenti da aggiornare
- Avviare al più presto il percorso di aggiornamento, anche in assenza ad oggi di diversi tasselli a livello normativo (sia europeo che nazionale)
Si conferma che le aziende che hanno mantenuto il DPS Documento Programmatico sulla Sicurezza hanno fatto un’ottima scelta!
Articolo del: