Nuovo Regolamento per il Trattamento dei Dati Personali: Come e cosa fare

USCITO IL NUOVO REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI REG. UE 679/16

Pubblicato nella Gazzetta Ufficiale dell’Unione Europea n. 119/2016 il 4 Maggio 2016 il Regolamento inerente la protezione dei dati delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di dati.
Tale Regolamento diventerà effettivamente applicabile senza necessità di recepimento da parte degli Stati in tutti i paesi della UE il 25 Maggio 2018.
Per quanto riguarda l’Italia, il Regolamento sostituirebbe (non integralmente) il Codice Privacy in vigore ma sarà necessario comunque un coordinamento normativo. Il Garante privacy ha in corso una ricognizione normativa per verificare quali parti del Codice privacy e quali provvedimenti generali del Garante sopravvivranno alla riforma.

N.B. Si tratta di un cambio importante perchè coloro che non si adeguano al nuovo regolamento rischiano SANZIONI pari a:

– Sanzioni amministrative pecuniarie fino a 20 milioni di euro.
– Per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

CHE COSA CAMBIA?

L’approccio.

Con il regolamento UE l’Impresa dovrà essere in grado di dimostrare, in sede di contestazione, che ha previsto:
– Misure tecniche e organizzative adeguate alla pianificazione e progettazione del trattamento dei dati (privacy by design).
– Misure tecniche e organizzative adeguate volte alla impostazione predefinita, del massimo livello di protezione per il trattamento dei soli dati personali necessari per ogni specifica finalità del trattamento e ha previsto tutto il possibile per la segregazione dei dati (privacy by default).

PRINCIPALI NOVITA’:

Principio di liceità del trattamento: il trattamento dei dati è lecito quando è espressamente definito dall’interessato (o in altri casi specifici definiti all’art.9 del Regolamento).
Il consenso viene esplicitato tramite l’informativa. L’informativa dovrà contenere alcuni elementi fondamentali come:

– i dati trattati,

– le finalità,

– le modalità di trattamento

– i responsabili definiti come già in essere con Codice della Privacy – D.lgs. 196/03.

Dovranno però essere comunicate all’interessato i nuovi diritti quali:

– diritto all’oblio (cancellazione dei dati da parte del Titolare),

– revoca del consenso,

– portabilità (possibilità di trasmissione dei dati da un Titolare all’altro)

– tempi di conservazione.

Inoltre, viene introdotta la figura del Data Protection Officer: soggetto di collegamento tra l’azienda e l’autorità garante dei dati nazionale. Può essere un dipendente od un esterno e si occuperà di Informare e consigliare il Titolare del trattamento in merito agli obblighi legislativi, sorvegliandone l’applicazione nei confronti degli interessati.

Viene introdotto il Registro dei trattamenti; registro delle attività necessari per tenere traccia di:
•  finalità del trattamento;
•  categorie di interessati;
•  categorie di dati personali;
•  categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali);
•  i trasferimenti di dati personali verso un paese terzo (ove applicabile);
•  i termini ultimi previsti per la cancellazione delle diverse categorie di dati
•  una descrizione generale delle misure di sicurezza tecniche e organizzative.

Viene introdotta la valutazione dei rischio. Il regolamento impone ai titolari di mettere in atto misure idonee a garantire “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”. È prevista pertanto la gestione del rischio quale insieme coordinato delle attività finalizzate a guidare e monitorare scenari di eventi e delle relative conseguenze, che sono stimate in termini di gravità e probabilità.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *