Privacy: nuovo regolamento europeo
Principi del nuovo regolamento. Diritti degli interessati. Registro dei trattamenti. Sanzioni
Mancano pochi giorni all’entrata in vigore delle nuove regole europee sulla privacy, il cui Regolamento, approvato il 14.4.2016 dal Parlamento europeo, automaticamente applicato in tutti i Paesi dell’Unione europea andrà subito applicato senza che venga recepito da norme interne, annullando ogni altra normativa al riguardo.
Le basi del nuovo regolamento sono costituite dai seguenti principi:
· fondamenti di liceità del trattamento:
(l’interessato deve aver espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità, es. l’esecuzione di contratto; un obbligo legale ecc. Il consenso deve essere libero, specifico, informato ed inequivocabile)
· informativa:
le informazioni che il titolare del trattamento deve fornire all’interessato riguardo alle modalità di trattamento dei propri dati, devono essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, indicando, ove esistente, i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer).
· diritti degli interessati:
(diritto: a ricevere informazioni sui propri dati trattati dal titolare/responsabile del trattamento, di accesso ai propri dati personali, alla rettifica dei dati o alla loro cancellazione, di limitare il trattamento dei propri dati personali, di ricevere le «notifiche» dal titolare, della «portabilità» dei dati personali; di opposizione al trattamento per specifici e documentati motivi).
· titolare, responsabile, incaricato del trattamento;
· approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
· trasferimenti internazionali di dati.
Titolare, responsabile, incaricato del trattamento
Il Regolamento Ue:
· disciplina la contitolarità del trattamento ed impone ai titolari di definire in modo specifico il rispettivo ambito di responsabilità ed i compiti assegnati;
· l’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti deve essere un contratto che disciplina le garanzie di natura, durata e finalità del trattamento, le categorie di dati, le misure adottate per garantire il rispetto delle istruzioni impartite dal titolare.
· consente la nomina di sub-responsabili del trattamento da parte di un responsabile;
· prevede l'obbligo specifico in capo ai responsabili del trattamento della tenuta del registro dei trattamenti svolti, l’adozione di idonee misure tecniche ed organizzative per garantire la sicurezza dei trattamenti; la designazione di un RPD-DPO.
Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili
Il Regolamento Ue pone attenzione sulla «responsabilizzazione» (accountability) di titolari e responsabili, ossia, sull’adozione di comportamenti tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Si tratta di una rilevante novità per la protezione dei dati poiché viene affidato ai titolari il compito di decidere autonomamente le modalità, garanzie e limiti del trattamento dei dati personali, nel rispetto delle norme e particolarmente dei criteri indicati nel Regolamento Ue.
Registro dei trattamenti
Tutti i titolari ed i responsabili di trattamento, esclusi gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, dovranno tenere un registro delle operazioni di trattamento.
Il Garante privacy precisa che la tenuta del registro dei trattamenti non costituisce un adempimento formale ma fa parte integrante di un sistema di corretta gestione dei dati personali.
Tale registro, tenuto anche in formato elettronico, contiene le seguenti informazioni:
· nome e dati di contatto del titolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
· finalità del trattamento;
· descrizione delle categorie di interessati e di dati personali;
· categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
·termini ultimi previsti per la cancellazione delle diverse categorie di dati;
· descrizione generale delle misure di sicurezza tecniche e organizzative.
Dal 25.5.2018 non potranno sussistere obblighi generalizzati di adozione di misure minime di sicurezza poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.
b>Notifica delle violazioni di dati personali
A partire dal 25.5.2018, tutti i titolari dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore.
Responsabile della protezione dei dati
Viene previsto che tra i compiti del responsabile della protezione dei dati (RPD) rientrano la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto.
Quando è obbligatorio nominare il responsabile della protezione dei dati
Il titolare ed il responsabile del trattamento procedono a designare un responsabile della protezione dei dati nel momento in cui:
· il trattamento sia effettuato da un’Autorità pubblica (o da un organismo pubblico);
· le attività principali del titolare del trattamento (o del responsabile) consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
· le attività principali del titolare (o del responsabile) consistono nel trattamento, su larga scala, di dati personali sensibili o di dati relativi a condanne penali ed a reati.
Sanzioni amministrativa
Per la violazione degli obblighi del titolare del trattamento e del responsabile del trattamento, l’art. 83 del Regolamento prevede la sanzione fino a € 10.000.000; per le imprese, tale sanzione è calcolata fino al 2% del fatturato totale annuo dell’esercizio precedente.
Per altre violazioni si applica la sanzione fino a € 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Le basi del nuovo regolamento sono costituite dai seguenti principi:
· fondamenti di liceità del trattamento:
(l’interessato deve aver espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità, es. l’esecuzione di contratto; un obbligo legale ecc. Il consenso deve essere libero, specifico, informato ed inequivocabile)
· informativa:
le informazioni che il titolare del trattamento deve fornire all’interessato riguardo alle modalità di trattamento dei propri dati, devono essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, indicando, ove esistente, i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer).
· diritti degli interessati:
(diritto: a ricevere informazioni sui propri dati trattati dal titolare/responsabile del trattamento, di accesso ai propri dati personali, alla rettifica dei dati o alla loro cancellazione, di limitare il trattamento dei propri dati personali, di ricevere le «notifiche» dal titolare, della «portabilità» dei dati personali; di opposizione al trattamento per specifici e documentati motivi).
· titolare, responsabile, incaricato del trattamento;
· approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
· trasferimenti internazionali di dati.
Titolare, responsabile, incaricato del trattamento
Il Regolamento Ue:
· disciplina la contitolarità del trattamento ed impone ai titolari di definire in modo specifico il rispettivo ambito di responsabilità ed i compiti assegnati;
· l’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti deve essere un contratto che disciplina le garanzie di natura, durata e finalità del trattamento, le categorie di dati, le misure adottate per garantire il rispetto delle istruzioni impartite dal titolare.
· consente la nomina di sub-responsabili del trattamento da parte di un responsabile;
· prevede l'obbligo specifico in capo ai responsabili del trattamento della tenuta del registro dei trattamenti svolti, l’adozione di idonee misure tecniche ed organizzative per garantire la sicurezza dei trattamenti; la designazione di un RPD-DPO.
Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili
Il Regolamento Ue pone attenzione sulla «responsabilizzazione» (accountability) di titolari e responsabili, ossia, sull’adozione di comportamenti tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Si tratta di una rilevante novità per la protezione dei dati poiché viene affidato ai titolari il compito di decidere autonomamente le modalità, garanzie e limiti del trattamento dei dati personali, nel rispetto delle norme e particolarmente dei criteri indicati nel Regolamento Ue.
Registro dei trattamenti
Tutti i titolari ed i responsabili di trattamento, esclusi gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, dovranno tenere un registro delle operazioni di trattamento.
Il Garante privacy precisa che la tenuta del registro dei trattamenti non costituisce un adempimento formale ma fa parte integrante di un sistema di corretta gestione dei dati personali.
Tale registro, tenuto anche in formato elettronico, contiene le seguenti informazioni:
· nome e dati di contatto del titolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
· finalità del trattamento;
· descrizione delle categorie di interessati e di dati personali;
· categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
·termini ultimi previsti per la cancellazione delle diverse categorie di dati;
· descrizione generale delle misure di sicurezza tecniche e organizzative.
Dal 25.5.2018 non potranno sussistere obblighi generalizzati di adozione di misure minime di sicurezza poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.
b>Notifica delle violazioni di dati personali
A partire dal 25.5.2018, tutti i titolari dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore.
Responsabile della protezione dei dati
Viene previsto che tra i compiti del responsabile della protezione dei dati (RPD) rientrano la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto.
Quando è obbligatorio nominare il responsabile della protezione dei dati
Il titolare ed il responsabile del trattamento procedono a designare un responsabile della protezione dei dati nel momento in cui:
· il trattamento sia effettuato da un’Autorità pubblica (o da un organismo pubblico);
· le attività principali del titolare del trattamento (o del responsabile) consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
· le attività principali del titolare (o del responsabile) consistono nel trattamento, su larga scala, di dati personali sensibili o di dati relativi a condanne penali ed a reati.
Sanzioni amministrativa
Per la violazione degli obblighi del titolare del trattamento e del responsabile del trattamento, l’art. 83 del Regolamento prevede la sanzione fino a € 10.000.000; per le imprese, tale sanzione è calcolata fino al 2% del fatturato totale annuo dell’esercizio precedente.
Per altre violazioni si applica la sanzione fino a € 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Articolo del: