Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento UE 679/2016 e introdurrà importanti novità in materia di privacy.
Il Regolamento è direttamente esecutivo in tutti gli Stati membri senza la necessità di una normativa nazionale di recepimento.
1. Nuovi criteri per l’applicazione delle norme
Il Regolamento Europeo sulla Privacy si applica a tutti coloro che trattano dati di cittadini europei, indipendentemente dall’ubicazione della sede del titolare del trattamento dei dati e si rivolge a tutti i soggetti che effettuano trattamenti, cartacei o digitali, di dati personali.
2. Nuovo approccio: accountability, privacy by design e privacy by default
Per molti anni siamo stati abituati a concepire la privacy come una serie di adempimenti formali.
Con il nuovo Regolamento, la privacy sarà invece oggetto di un processo aziendale da gestire sin dalla fase ideativa mediante un modello organizzativo specifico. Il GDPR attribuisce, infatti, un ruolo centrale alla responsabilizzazione, c.d. accountability, del titolare e del responsabile del trattamento e introduce i concetti di privacy by design e privacy by default.
3. Rafforzamento del diritto di accesso degli interessati
Risulta rafforzato e maggiormente dettagliato il diritto di accesso dell’interessato al trattamento di dati personali Il diritto di accesso si configura quale diritto del soggetto interessato di richiedere e ottenere dal titolare del trattamento informazioni sul trattamento di dati personali che viene effettuato. A tale diritto si applica il principio della gratuità.
4. Nuova informativa
Diremo addio alle vecchie informative, lunghissime e dense di riferimenti legislativi. Il nuovo Regolamento Europeo sulla Privacy impone testi molto semplici, comprensibili e senza riferimenti normativi, da comprendere a prima vista in modo che il consenso sia realmente ‘informato’.
L’informativa conterrà nuovi elementi, come l’origine dei dati e il tempo di conservazione previsto.
5. Consenso
Scompare il consenso basato su rigidi formalismi e si introduce il principio dell’inequivocabilità del consenso.
6. Registro delle attività del trattamento
Scompare la notificazione al Garante della Privacy e si introduce il Registro delle attività del trattamento che il titolare o il responsabile del trattamento dovranno mettere a disposizione dell’autorità di controllo.
7. Documento di valutazione di Impatto
Il Regolamento introduce la DPIA, Data Protection Impact Assessment, un’analisi dei rischi generati dal trattamento dei dati a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati.
L’analisi dei rischi generati dal trattamento dei dati deve necessariamente essere svolta in una fase preliminare alla raccolta del dato, prima dell’inizio di ogni operazione di trattamento o comunque già in fase di sviluppo della tecnologia che si occuperà di trattare dati personali, in modo da rispettare il principio della privacy by design.
8. Data Protection Officer (DPO)
Il Regolamento prevede una nuova figura: il Data Protection Officer (DPO), cioè del Responsabile della protezione dei dati personali, obbligatorio quando chi tratta i dati sia un soggetto pubblico e, per i privati, quando le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e quando consistono nel trattamento, su larga scala, di dati sensibili o giudiziari.
9. Data Breach Notification
Il Data Breach Notification è obbligo di informare tempestivamente (entro 72 ore dall’accaduto) le autorità delle eventuali violazioni dei sistemi di sicurezza che possano determinare in maniera accidentale o illecita la distruzione e conseguente perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati.
10. Sanzioni
Le nuove sanzioni saranno:
– fino a €20.000.000 per i privati e le imprese non facenti parte di gruppi;
– fino al 4% del fatturato complessivo (consolidato) su base mondiale per i Gruppi societari multinazionali.
Per non incorrere in eventuali sanzioni, aziende e PA dovranno adeguare i propri sistemi IT e di sicurezza informatica alle nuove disposizioni entro e non oltre il 28 maggio 2018.
Vuoi approfondire questo argomento? Clicca [QUI]
Clicca su Mi piace o Condividi questo articolo se ti è piaciuto, grazie!