ELENCO NEWS
Venerdì 09 Febbraio 2018

REGOLAMENTO PRIVACY (Reg. 2016/679) – Siete pronti?

privacy
reg 679

Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo generale sulla protezione dei dati denominato GDPR: General Data Protection Regulation. Sarà applicato a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea. L’impronta del regolamento si orienta verso un maggior rigore, che si manifesta nella previsione di sanzioni più pesanti e di adempimenti più articolati, e comporta una maggiore cautela nel trattamento dei dati.

UNA BREVE SINTESI DELLE NOVITÀ INTRODOTTE DAL REG. 2016/679:

L’ambito di applicazione della disciplina europea in materia di Privacy viene esteso, per esempio:

  • i requisiti formali richiesti per la validità del consenso al trattamento dei dati personali da parte degli interessati diventano più rigorosi (anche on line); si ricorda che è esclusa ogni forma di consenso tacito;
  • vengono riconosciuti il diritto all’oblio (art. 17 Reg. eu.), cioè la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali, e il diritto alla portabilità dei dati (art. 20 Reg. eu.);
  • vengono introdotti dei concetti della protezione dei dati personali “by design” (ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che durante l’esecuzione del trattamento) e “by default” (ossia che i dati vengano trattati solo per le finalità previste e per il periodo necessario a tali fini);
  • viene disposto l’obbligo di notifica in caso di violazione dei dati personali (“Data Breach”).

ULTERIORI IMPORTANTI NOVITÀ

  • obbligo di ACCOUNTABILITY (cd. obbligo di responsabilizzazione e obbligo di rendicontazione) per il titolare del trattamento dei dati, che deve poter dimostrare di aver adottato misure adeguate ed efficaci e il proprio grado di conformità delle attività di trattamento con il Regolamento europeo, compresa l’efficacia delle misure impiegate;
  • obbligo di DPIA –(Data Protection Impact Assessment)- (art. 35 Reg. eu.), ossia valutazione d’impatto sulla protezione dei dati, che il titolare del trattamento deve compiere qualora i trattamenti, prevedano in particolare l'uso di nuove tecnologie, o possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche., Tale valutazione permette al titolare di realizzare e dimostrare la conformità del trattamento dei dati alle norme del Regolamento europeo;
  • obbligo di DPO (Data Protection Officer), ossia Responsabile della protezione dei dati, quale soggetto incaricato ad assicurare una corretta gestione dei dati personali nelle imprese e negli enti.

Si ricorda che è prevista la designazione obbligatoria (art. 37 Reg. eu.) del DPO quando:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle loro funzioni;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 Reg. eu. (ex dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10 Reg. eu..

Un esempio della portata di tale regolamento è il nuovo livello di sanzioni che può arrivare sino al 4% del fatturato globale o a 20 milioni di euro.
Si ricorda che tutti questi adempimenti devono essere attuati entro il 25 maggio 2018