0

Regolamento Europeo 2016/679 Privacy

Il 25 maggio 2018 è entrato in vigore il Regolamento europeo sulla Privacy N. 2016/679.  Vediamo le principali novità:

  1. I Soggetti interessati dal Regolamento (UE) 2016/679

“Non solo Europa”. La normativa era applicabile ai soggetti del luogo in cui aveva sede il Titolare del trattamento dei dati. Con il nuovo regolamento viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE. Conseguenza di tale principio è ad esempio che le piattaforme Web, comprese i Social Network e quelli di E-Commerce saranno soggette alla normativa europea anche se sono gestiti da società con sede fuori dall’UE.

  1. Privacy by design

“Prevenire è meglio che correggere”. Il nuovo Regolamento ha introdotto il principio della privacy by design, cioè l’obbligo di pianificare già al momento della progettazione di un processo di lavoro o sistema IT al fine di garantire in ogni caso che siano trattati solo i dati necessari per ogni specifica finalità. L’impresa deve effettuare un’attenta analisi dei rischi, la cosiddetta Privacy Assessment, al fine di assicurare la correttezza, l’integrità, a riservatezza e la sicurezza dei dati, nonché la effettiva cancellazione quando richiesta.

  1. Privacy by default

“Impostazione predefinita della tutela”: Il principio della privacy by default,  intende sottolineare la necessità che la protezione dei dati personali sia garantita “per impostazione predefinita”.

  1. Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO)

Tale figura non era contemplata nella normativa abrogata. Con il nuovo regolamento bisogna istituire (per tutti gli enti pubblici e per aziende che trattano dati particolari  ed in situazioni specifici),  il RPD (o DPO se vogliamo usare la terminologia inglese), il quale dovrà effettuare, in pratica una analisi dei rischi,   l fine di valutare le misure e gli accorgimenti da suggerire alle aziende per rispettare le norme del Regolamenti. Il DPO sarà  referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare incarico.

.

  1. Data Breach

Con la normativa abrogata non era necessario comunicare violazioni nel trattamento dati. Con il nuovo regolamento è stato introdotto il cosiddetto principio di Data Breach, che scatta in caso di violazione dei dati personali. I titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo e, nei casi previsti, anche i diretti interessati entro i termini previsti dal regolamento.

  1. Portabilità dei dati

Tale principio non era contemplato nella normativa abrogata. Una novità importante è il principio di portabilità dei dati (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro), nei casi in cui si ha la necessità di trasferire i propri dati da un gestore ad un altro e che dovrà essere reso più agevole da parte delle aziende.

  1. Semplificazioni nelle comunicazioni al Garante (Abolizione della notificazione)

La normativa abrogata prevede di informare il Garante che un soggetto sta trattando dati per una particolare finalità. (ex art. 37 D.lgs. 196/2003). Il nuovo regolamento libera le imprese dall’obbligo di comunicare al Garante il trattamento di determinate tipologie di dati (ad esempio la profilazione e la geolocalizzazione). L’impresa dovrà redigere la privacy impact assessment, con il quale si considera effettuata la notifica.

  1. Valutazione d’Impatto sulla protezione dei dati

La normativa abrogata prevede la preparazione, in alcuni casi del DPS. Il nuovo regolamento prevede la valutazione del rischio da trattamento dati. Necessita di alcune attività come la mappatura dei dati e dei trattamenti e una valutazione degli impatti, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi

  1. diritto all’oblio

Con il nuovo regolamento scatta anche il diritto all’oblio, ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca);

  1. Accountability

“Carta Canta”.  Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, in caso di controversie, di aver attuato tutte le norme previste per ridurre al minimo i rischi di perdita dei dati o loro violazione, mettendo a punto le procedure necessarie alla risoluzione dei problemi e attuando criteri di trasparenza nei confronti dei soggetti a cui si riferiscono le informazioni.

  11.  Informativa e consenso

Con la normativa abrogata l’informativa era a volte non chiara e con richiami normativi complessi il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati. Con il nuovo regolamento, al fine di rendere più semplice la lettura dell’informativa da consegnare all’interessato del trattamento, è previsto il ricorso ad icone esplicative e l’uso di un linguaggio semplice e chiaro. Il consenso deve essere libero, specifico, informato ed è valido se la volontà espressa non è equivoca.

  1. Registro delle attività del trattamento

Il Regolamento istituisce il Registro dei trattamenti contenente l’elenco dei dati trattati, delle finalità del trattamento, delle categorie di interessati, dei destinatari di comunicazione e delle misure di sicurezza adottate

  1. Trattamento e consenso per i minori di anni 16

Il regolamento, prevede, in caso di offerta diretta di servizi della società dell’informazione ai minori, che il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore, tale trattamento è lecito soltanto se il consenso è prestato o autorizzato dal titolare della potestà genitoriale.

  1. Sanzioni parametrate sul fatturato

Le sanzioni applicabili in caso di violazioni saranno aumentate fino a 20 milioni di euro o il 4% del fatturato mondiale della società che commette la violazione.

  1. Altre novità
  • Vengono introdotte le definizioni di “Dato Generico” e “Dato Biometrico”
  • Introduzione della Contitolarità nel trattamento dei dati
  • Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi
  • Istituzione del Comitato Europeo per la protezione dei Dati

Scarica il regolamento UE 2016/679 arricchito con riferimento ai considerando

Regolamento Europeo 2016/679 Privacy

Post Views: 566
Share This Post