Nuovo codice della privacy: cosa cambia - Webmanager Consulenza web e ICT
2082
post-template-default,single,single-post,postid-2082,single-format-standard,ajax_fade,page_not_loaded,,select-theme-ver-3.7,menu-animation-underline,wpb-js-composer js-comp-ver-5.0.1,vc_responsive
In Nuovo codice della privacy

Nuovo codice della privacy: cosa cambia

Manca poco più di un anno all’adeguamento obbligatorio alla rispetto alla privacy infatti le imprese e le pubbliche amministrazioni hanno due anni (sino al 25 maggio 2018) per adeguarsi alle nuove regole.

Le imprese devono, infatti, mettersi subito all’opera tenuto conto anche delle nuove possibili sanzioni: il Regolamento prevede, infatti, un inasprimento delle sanzioni amministrative a carico delle imprese private e pubbliche; nel caso di violazioni dei principi e disposizioni del Regolamento, le sanzioni, in casi particolari possono arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Non basterà soltanto prevedere un documento ma il Regolamento prevede l’obbligo per il Titolare ed il Responsabile del trattamento di adottare misure sia tecniche sia organizzative idonee ed adeguate a garantire un livello di sicurezza dei dati che tenga conto della continua evoluzione tecnologica in uno con la natura, l’oggetto e le finalità del trattamento.

Ecco una utile Guida al nuovo Regolamento europeo in materia di protezione dati.

Qui di seguito una sintesi delle principali novità. (fonte http://www.diritto24.ilsole24ore.com/art/dirittoCivile/2016-06-01/privacy-e-iniziato-conto-rovescia-le-aziende-110743.php)

Il DATA PROTECTION OFFICER (DPO).
Le aziende pubbliche e private avranno l’obbligo di nominare un DPO – il Responsabile della protezione dei dati. Potrà trattarsi di un professionista competente in tema di protezione dati, dipendente della società titolare del trattamento o, in alternativa, un collaboratore esterno.
In ogni caso, dovrà essere in possesso di specifici requisiti quali competenza, esperienza, indipendenza e autonomia di risorse.
Le società facenti parte di uno stesso gruppo, a livello nazionale o transfrontaliero, potranno nominare un unico DPO.
Il DPO dovrà essere contattabile da tutti i soggetti interessati e comunicare con il Garante per la protezione dei dati personali; riferirà direttamente ai vertici gerarchici della società, con autonomia e indipendenza rispetto agli altri dirigenti.
I principali compiti del DPO saranno:
-verificare l’attuazione e l’applicazione della normativa;
-informare e consigliare il Titolare o il Responsabile del trattamento ed i dipendenti in merito agli obblighi derivanti dal Regolamento;
-fornire pareri in merito alla protezione dei dati;
-sorvegliare sugli adempimenti previsti dalla legge in materia di trattamento;

Il REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO.
Il Titolare o il Responsabile avrà l’obbligo di tenuta di un registro delle attività di trattamento effettuate al fine di dimostrare la conformità alle disposizioni del Regolamento.
Il registro, che potrà avere anche formato elettronico, dovrà contenere una descrizione delle misure di sicurezza tecniche e organizzative e, su richiesta, dovrà essere messo a disposizione dell’autorità di controllo.

Il PRIVACY IMPACT ASSESSMENT.
In determinati casi, le imprese pubbliche e private, prima di procedere al trattamento, dovranno effettuare una valutazione dell’impatto (privacy impact assessment).
Tale adempimento sarà richiesto, ad esempio, se l’uso di nuove tecnologie per il trattamento dei dati, tenuto conto del contesto, della natura e della finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche: trattamenti automatizzati su larga scala di categorie particolari di dati (sensibili); dati raccolti tramite sorveglianza sistematica e su larga scala di zone accessibili al pubblico etc.
Il Garante Privacy redigerà l’elenco delle tipologie di trattamenti soggetti a tale adempimento.

■ Il DIRITTO ALL’OBLIO.
Riconosciuto sino ad oggi solo a livello giurisprudenziale (sentenza emessa contro Google dalla Corte di Giustizia europea), è ora istituzionalizzato a livello normativo: l’interessato può decidere che siano cancellati e non ulteriormente sottoposti a trattamento i propri dati mediante revoca del consenso, se i dati non sono più necessari alle finalità per le quali sono stati raccolti, quando il trattamento non è conforme al Regolamento.

PRIVACY BY DESIGN, PORTABILITÀ DEI DATI, ACCOUNTABILITY, PRIVACY BY DATA BREACH, PRIVACY BY DEFAULT
Il Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a dare un maggiore controllo al cittadino sull’utilizzo dei suoi dati. In particolare, è riconosciuto:

-il diritto di essere informati in modo trasparente e dinamico sui trattamenti effettuati sui dati e l’adozione di politiche privacy e misure adeguate in conformità al Regolamento (principio di accountability- obbligo di rendicontazione);
– il diritto di essere informati sulle violazioni dei propri dati personali (data breach notificaztion);
-il diritto di ricevere in un formato di uso comune, e leggibile da dispositivo automatico, i dati personali forniti a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti (portabilità dei dati).
La protezione dei dati personali deve essere valutata già nel momento di progettazione di nuove procedure con l’attuazione, quindi, di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento (data protection by design).
I dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario (privacy by default).

■ NON PIÙ NOTIFICA PREVENTIVA
Abrogato l’adempimento della notificazione al Garante privacy preliminare all’attività di trattamento di dati particolarmente riservati quali i dati genetici, quelli, biometrici, i dati idonei a rivelare lo stato di salute, i dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica, etc.

Tags: