Privacy e trattamento dati

Con l’arrivo del Regolamento Europeo 2016/679, lo scenario Privacy sta per cambiare notevolmente. Sono state infatti introdotte importanti novità che andranno ad impattare su Aziende, Studi Professionali, Amministrazioni Pubbliche, Associazioni ed Enti di vario genere. Il nostro team di consulenti è qui per accompagnarvi in questa transizione e per consentire alla vostra azienda di adeguarsi al nuovo Regolamento entro maggio 2018.

L’impronta del regolamento si orienta verso un maggior rigore, che si manifesta nella previsione di sanzioni più pesanti e di adempimenti più articolati, e comporta una maggiore cautela nel trattamento dei dati.

UNA BREVE SINTESI DELLE NOVITÀ INTRODOTTE DAL REG. 2016/679:

L’ambito di applicazione della disciplina europea in materia di Privacy viene esteso, per esempio:

• i requisiti formali richiesti per la validità del consenso al trattamento dei dati personali da parte degli interessati diventano più rigorosi (anche on line); si ricorda che è esclusa ogni forma di consenso tacito;
• vengono riconosciuti il diritto all’oblio (art. 17 Reg. UE), cioè la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali, e il diritto alla portabilità dei dati (art. 20 Reg. UE);
• vengono introdotti dei concetti della protezione dei dati personali “by design” (ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che durante l’esecuzione del trattamento) e “by default” (ossia che i dati vengano trattati solo per le finalità previste e per il periodo necessario a tali fini);
• viene disposto l’obbligo di notifica in caso di violazione dei dati personali (“Data Breach”).

Ulteriori importanti novità:

• obbligo di ACCOUNTABILITY (cd. obbligo di responsabilizzazione e obbligo di rendicontazione) per il titolare del trattamento dei dati, che deve poter dimostrare di aver adottato misure adeguate ed efficaci e il proprio grado di conformità delle attività di trattamento con il Regolamento europeo, compresa l’efficacia delle misure impiegate;
• obbligo di DPIA - (Data Protection Impact Assessment)- (art. 35 Reg. UE), ossia valutazione d’impatto sulla protezione dei dati, che il titolare del trattamento deve compiere qualora i trattamenti, prevedano in particolare l'uso di nuove tecnologie, o possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche., Tale valutazione permette al titolare di realizzare e dimostrare la conformità del trattamento dei dati alle norme del Regolamento europeo;
• obbligo di DPO (Data Protection Officer), ossia Responsabile della protezione dei dati, quale soggetto incaricato ad assicurare una corretta gestione dei dati personali nelle imprese e negli enti. Si ricorda che è prevista la designazione obbligatoria (art. 37 Reg. UE) del DPO quando:

1. - il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle loro funzioni;
2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’art. 9 Reg. UE (ex "dati sensibili") o di dati relativi a condanne penali e a reati di cui all’art. 10 Reg. UE.