Il nuovo Regolamento europeo n. 679/16 sulla protezione dei dati personali è entrato in vigore il 25 Maggio 2016 e a partire dal 25.05.2018 sostituirà l’attuale normativa italiana in materia di trattamento dei Dati Personali (D.lgs. 196/03). Vengono sostanzialmente confermati i concetti di dati personali e dati sensibili (che ora si chiamano particolari); vengono convalidate anche le figure del titolare del trattamento, dei responsabili, degli incaricati con il relativo obbligo di formazione. Rammentando che il Regolamento Europeo Privacy trova applicazione in tutte le aziende, associazioni, professionisti, ecc., con un impatto maggiore in presenza di personale dipendente, illustriamo in breve le principali novità.
Privacy by design
E’ l’obbligo di pianificare fin dall’inizio del processo un’attenta analisi dei rischi, al fine di assicurare la correttezza, l’integrità, la riservatezza e la sicurezza dei dati, nonché l’effettiva cancellazione quando richiesta.
Privacy by default
Il principio della privacy by default mette in rilievo che il titolare deve mettere in atto misure atte a garantire che siano trattati, per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento.
Data Breaches
Scatta in caso di violazione dei dati, accesso abusivo o, comunque, perdita degli stessi: i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo e, nei casi di particolare gravità, anche i diretti interessati entro 72 ore.
Portabilità dei dati
Una novità importante è il principio di portabilità dei dati che consente all’interessato la trasmissione diretta dei suoi dati personali da un titolare del trattamento a un altro.
Diritto all’oblio
L’interessato potrà richiedere la cancellazione dei propri dati in possesso di terzi per motivazioni legittime.
Accountability
Comporterà l’onere per il Titolare di dimostrare l’adozione effettiva e concreta di tutte le misure adottate nel rispetto del Regolamento Europeo. Sarà necessario redigere e conservare idonea documentazione che dimostri le misure tecniche organizzative sono adeguate.
Registro delle attività del trattamento
Deve riportare i trattamenti effettuati e le procedure di sicurezza adottate.
Data Protection Officer
Per supportare il Titolare è stata istituita la figura del Data Protection Officer il quale dovrà informare, fornire consulenza, sorvegliare l’osservanza del regolamento. La nomina del Data Protection Officer è obbligatoria per le Pubbliche Amministrazioni e per le aziende che trattano particolari tipologie di dati
Comunicazioni al Garante
Il Regolamento non prevede l’obbligo di comunicare al Garante il trattamento di determinate tipologie di dati (ad esempio la profilazione e la geolocalizzazione).
Sanzioni
Sono previste multe fino a 20 milioni di euro o al 4% del fatturato.
La scrivente, forte della sua esperienza decennale in materia di privacy, offre ai propri clienti:
- Consulenza e stesura di tutta la nuova documentazione necessaria
- Svolgimento, laddove previsto, del ruolo di Responsabile Protezione dei dati (Data Protection Officer)
Dal mese di gennaio riprenderanno i corsi di formazione anche in materia di privacy.
