Regolamento UE 2016/679 privacy
Le nuove regole in materia di privacy
La nuova normativa in materia di privacy introdotta dal Regolamento Ue 2016/679 trova completa applicazione dal 25 maggio 2018 abrogando interamente la precedente normativa.
Art 5 (trattamento dei dati personali) - Sancisce che i dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, e le finalità del trattamento devono essere determinate, esplicite e legittime, al trattamento deve essere garantita adeguata sicurezza.
Secondo il principio di trasparenza ai titolari dei dati sensibili deve essere garantita l’informazione delle modalità attraverso cui avviene l’utilizzazione, la consultazione e il trattamento dei dati personali che li riguardano.
Art 6 (liceità del trattamento e consenso) - Per la liceità del trattamento la norma richiama interamente la precedente normativa, ma sottolinea che deve essere formalmente richiamata nel consenso.
Art 7 (Consenso) - Il consenso deve essere prestato in maniera chiara e semplice, in forma comprensibile e facilmente accessibile, non è previsto l’obbligo della forma scritta per il consenso, ma il titolare del trattamento è onerato di "dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali" quindi si consiglia sempre di acquisire il consenso per iscritto.
Il consenso raccolto prima del 25 maggio 2019 resta valido se lo stesso risponde ai requisiti della normativa precedente.
Nel consenso obbligatorio si deve evincere chiaramente:
- Che l’interessato ha acconsentito al trattamento;
- Che l’interessato ha prestato il consenso nella piena consapevolezza della misura e delle modalità con le quali il trattamento avviene;
- Forma accessibile e linguaggio semplice ed inequivocabile;
- L’indicazione dell’identità del titolare del trattamento dei dati; -Le finalità del trattamento cui sono destinati dati personali;
- La specifica indicazione del diritto alla revoca del consenso;
- La separazione tra i consensi prestati rispetto ai dati ed alle finalità di trattamento, laddove distinti
Il consenso è facoltativo e quindi non è necessario ma basta la consegna dell’informativa, con ricevuta che attesti la presa visione da parte dell’interessato, nei seguenti casi: - Nell’ambito di un contratto o ai fini della sua conclusione o esecuzione; -Per adempiere ad un obbligo legale;- Per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; - Per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Art 12-14 (informativa) - L’informativa deve essere concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Deve contenere il periodo di conservazione dei dati e le modalità tecniche attraverso le quali questa avviene, e deve contenere indicazioni riguardanti il diritto di accesso ai dati, diritto di rettifica, diritto alla cancellazione, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione.
Art 24-26 (Adeguatezza delle misure adottate) - Il titolare del trattamento deve essere in ogni momento in grado di dimostrare che il trattamento è conforme al regolamento. Il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi del Regolamento e la tutela dei diritti degli interessati "privacy by design". Il titolare fa in modo che siano trattati solo i dati personali necessari per ciascuna finalità del trattamento "privacy by default".
Art 28 (nomina responsabili esterni) - Non vi è l’obbligo di nomina di responsabili esterni, ma nel caso siano nominati questi devono garantire l’applicazione delle misure tecniche e organizzative per soddisfare i requisiti del regolamento ue e garantire la tutela dei diritti dell’interessato.
L’incaricato è colui che effettua materialmente le operazioni di trattamento sui dati personali sotto l’autorità diretta del titolare o del responsabile.
Art 30 (registri delle attività di trattamento) - Il registro serve a monitorare gli adempimenti e la garanzia dei diritti previsti, ma è obbligatorio solo per le aziende che occupano più di 250 dipendenti, diventa però obbligatorio nei casi in cui i dati trattati includono dati sensibili, genetici, biometrici, giudiziari.
Art 35 (data breach) - In caso di violazione dei dati il titolare del trattamento deve notificare la violazione alle autorità competenti entro 72 ore.
Art37 (Data Protection Officer) - Il responsabile DPO deve avere adeguata conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.
Art 5 (trattamento dei dati personali) - Sancisce che i dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, e le finalità del trattamento devono essere determinate, esplicite e legittime, al trattamento deve essere garantita adeguata sicurezza.
Secondo il principio di trasparenza ai titolari dei dati sensibili deve essere garantita l’informazione delle modalità attraverso cui avviene l’utilizzazione, la consultazione e il trattamento dei dati personali che li riguardano.
Art 6 (liceità del trattamento e consenso) - Per la liceità del trattamento la norma richiama interamente la precedente normativa, ma sottolinea che deve essere formalmente richiamata nel consenso.
Art 7 (Consenso) - Il consenso deve essere prestato in maniera chiara e semplice, in forma comprensibile e facilmente accessibile, non è previsto l’obbligo della forma scritta per il consenso, ma il titolare del trattamento è onerato di "dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali" quindi si consiglia sempre di acquisire il consenso per iscritto.
Il consenso raccolto prima del 25 maggio 2019 resta valido se lo stesso risponde ai requisiti della normativa precedente.
Nel consenso obbligatorio si deve evincere chiaramente:
- Che l’interessato ha acconsentito al trattamento;
- Che l’interessato ha prestato il consenso nella piena consapevolezza della misura e delle modalità con le quali il trattamento avviene;
- Forma accessibile e linguaggio semplice ed inequivocabile;
- L’indicazione dell’identità del titolare del trattamento dei dati; -Le finalità del trattamento cui sono destinati dati personali;
- La specifica indicazione del diritto alla revoca del consenso;
- La separazione tra i consensi prestati rispetto ai dati ed alle finalità di trattamento, laddove distinti
Il consenso è facoltativo e quindi non è necessario ma basta la consegna dell’informativa, con ricevuta che attesti la presa visione da parte dell’interessato, nei seguenti casi: - Nell’ambito di un contratto o ai fini della sua conclusione o esecuzione; -Per adempiere ad un obbligo legale;- Per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; - Per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Art 12-14 (informativa) - L’informativa deve essere concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Deve contenere il periodo di conservazione dei dati e le modalità tecniche attraverso le quali questa avviene, e deve contenere indicazioni riguardanti il diritto di accesso ai dati, diritto di rettifica, diritto alla cancellazione, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione.
Art 24-26 (Adeguatezza delle misure adottate) - Il titolare del trattamento deve essere in ogni momento in grado di dimostrare che il trattamento è conforme al regolamento. Il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi del Regolamento e la tutela dei diritti degli interessati "privacy by design". Il titolare fa in modo che siano trattati solo i dati personali necessari per ciascuna finalità del trattamento "privacy by default".
Art 28 (nomina responsabili esterni) - Non vi è l’obbligo di nomina di responsabili esterni, ma nel caso siano nominati questi devono garantire l’applicazione delle misure tecniche e organizzative per soddisfare i requisiti del regolamento ue e garantire la tutela dei diritti dell’interessato.
L’incaricato è colui che effettua materialmente le operazioni di trattamento sui dati personali sotto l’autorità diretta del titolare o del responsabile.
Art 30 (registri delle attività di trattamento) - Il registro serve a monitorare gli adempimenti e la garanzia dei diritti previsti, ma è obbligatorio solo per le aziende che occupano più di 250 dipendenti, diventa però obbligatorio nei casi in cui i dati trattati includono dati sensibili, genetici, biometrici, giudiziari.
Art 35 (data breach) - In caso di violazione dei dati il titolare del trattamento deve notificare la violazione alle autorità competenti entro 72 ore.
Art37 (Data Protection Officer) - Il responsabile DPO deve avere adeguata conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.
Articolo del: