Embed Size (px)
Citation preview
Regolamento Europeo sulla protezione
dei dati personali
PREMESSA
Il 15 dicembre 2015 è stato raggiunto l’accordo in merito al nuovo Regolamento Europeo sulla
Privacy, definito anche GDPR (General Data Protection Regulation) che in Italia abrogherà
la direttiva 95/46/CE, (detta “Direttiva Madre”) e andrà a sostituire l’attuale Codice Privacy del 2003
(Dlgs. 196/03).
Il successivo 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea
la versione definitiva del testo del Regolamento Europeo 2016/679, relativo alla protezione e al
trattamento dei dati personali delle persone fisiche, nonché alla libera circolazione di tali dati.
Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati
Membri a partire dal 25 maggio 2018, termine entro il quale le aziende/organizzazioni dovranno
adeguarsi alla nuova “legge sulla privacy”.
Doveroso ricordare che i regolamenti emanati dall’Unione Europea sono immediatamente
esecutivi, non devono quindi essere recepiti dagli Stati membri (come succede invece per le
direttive). L’immediatezza dell’esecutività, garantisce quindi una maggiore armonizzazione a livello
dell’Unione.
L’entrata in vigore del Regolamento permetterà che una unica normativa
sia contemporaneamente in vigore in tutti gli stati membri UE uniformandoli sotto una unica
disciplina.
QUALI SONO LE NOVITÀ DEL REGOLAMENTO EUROPEO
Il Regolamento Europeo Privacy introdurrà nuove tutele a favore degli interessati, e
inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali
che però potranno beneficiare di alcune semplificazioni conseguenti alla applicazione delle
disposizioni contenute nel Regolamento Europe.
E’ stato introdotto il diritto dell’interessato alla “portabilità del dato” (ad. es. nel caso in cui si
intendesse trasferire i propri dati da un social network ad un altro o da una compagnia telefonica
ad un’altra) e del diritto all’oblio tramite il quale ogni individuo potrà richiedere la cancellazione
dei propri dati in possesso di terzi (per motivazioni legittime).
Parecchie le novità per i Titolari e Responsabili del trattamento.
Il principio della Responsabilità (accountability) comporterà l’onere di dimostrare l’adozione, di
tutte le misure privacy adottate in conformità al Regolamento Europeo. Dovranno essere
predisposte, redatte e efficacemente conservate opportune documentazioni, quali i Registri delle
attività di trattamento (art. 30) in cui vengano riportare tutte le attività di trattamento dati svolte
sotto la responsabilità del titolare o del responsabile.
Viene richiesto di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati
personali alla stessa e al diretto interessato (art. 32-34).
IL PRIVACY IMPACT ASSESSMENT
Come ormai consolidato in altri ambiti (sistemi di gestione qualità, sicurezza, ecc.) saranno
necessarie opportune “valutazioni del rischio” o meglio valutazioni d’impatto sulla protezione
dei dati, o Privacy Impact Assessment (art. 35) in caso di trattamenti rischiosi, oppure a seguito di
verifiche preliminari per diverse circostanze da parte del Garante.
Si dovrà quindi implementare in azienda un vero e proprio “sistema di gestione della protezione
dei dati”, dove si andranno a prevedere azioni mirate da implementare nell’Organizzazione,
finalizzate al trattamento dei dati in completa sicurezza.
Si valicherà, peraltro, la prassi di notificazione all’autorità, con notevole semplificazione per le
attività dell’Azienda/Organizzazione.
IL DATA PROTECTION OFFICER
La designazione del Data Protection Officer sarà obbligatoria nel caso in cui:
a) il trattamento venga effettuato da un’autorità pubblica o da un organismo
pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni
giurisdizionali);
b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in
trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il
monitoraggio regolare e sistematico degli interessi su larga scala;
c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga
scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati
giudiziari).
Il Data Protection Officer potrà essere interno o esterno; dovrà possedere un’ampia conoscenza
della normativa e sarà in relazione diretta con i vertici aziendali, gli verrà affidato il compito
di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati
personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti.
Il Data Protection Officer deve possedere un’adeguata conoscenza della normativa privacy e delle
prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria
per elaborare, verificare e regolamentare un sistema di gestione dei dati personali, mediante
l’elaborazione di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza
del Regolamento Europeo e assicurino riservatezza e sicurezza.
ENTRO IL 24 MAGGIO 2018 TUTTE LE AZIENDE
DOVRANNO ADEGUARSI AL NUOVO
REGOLAMENTO EUROPEO PRIVACY
Alcune informazioni direttamente dal Garante…
..e ancora
..e per finire, ma non meno importante…..
Contattateci, non lasciate passare il tempo senza affrontare l’adeguamento al nuovo
Regolamento Europe, Maggio 2018 è dietro l’angolo, siamo in grado di offrirvi un
servizio completo di gestione della protezione di dati, sia normativo, che fisico
(protezione delle strutture dove vengono archiviati i dati) che informatico mediante
valutazioni specifiche relative a architettura e configurazione del sistema di
protezione (antivirus, antispam, anti-malware, anti-phishing, ecc.).
