Gdpr: il nuovo Regolamento Privacy 22 mag 2018

Dal 25 maggio 2018 entrerà in vigore la nuova normativa UE sulla protezione dei dati personali (GDPR).

Il Regolamento UE 2016/679 relativo alla protezione dei dati personali, nonché alla loro libera circolazione, entrerà appunto in vigore dal 25 maggio 2018 (ma considerato le innumerevoli novità ci sarà una tolleranza da parte delle autorità competenti al controllo di 6 mesi).

Tale Regolamento (noto anche come Gdpr, cioè General Data Protection Regulation) è direttamente applicabile senza un necessario recepimento da parte dell’Italia.

L’Italia tuttavia, ha ritenuto doveroso un intervento legislativo di “raccordo” tra la nuova normativa europea e quella interna. Detto “raccordo” è stato effettuato con decreto legislativo che, in primis, abroga la previgente normativa privacy europea da cui ha avuto origine il nostro Codice della Privacy (quello che abbiamo utilizzato fino ad oggi).

L’approccio del nuovo Regolamento rivoluziona quello adottato dalla Direttiva, infatti, si passa da un modello di trattamento autorizzatorio a un regime basato sull’accountability cioè sulla responsabilizzazione.

Il titolare di trattamento diventa primario centro di responsabilità e deve dimostrare di avere adottato misure giuridiche, organizzative, tecniche, adeguate per la protezione dei dati personali.

Così sono stati introdotti nuovi diritti a tutela dell’interessato che si aggiungono a quelli già previsti dalla normativa vigente, come, ad esempio, il diritto di cancellazione (meglio conosciuto come diritto all’oblio), il diritto di limitazione del trattamento e il diritto alla portabilità dei dati.

E’ stato previsto un Registro dei trattamenti (diviso tra registro del titolare e quello del responsabile) per le aziende con più di 250 dipendenti e per coloro che trattano dati che comportino un rischio per i diritti e le libertà dell’interessato o abbia oggetto categorie particolari di dati o dati personali relativi a condanne penali e a reati.

Tra i soggetti che si occupano del trattamento dei dati è stato introdotto il Data Protection Officer (Dpo) che, nominato dal titolare o dal responsabile del trattamento, si occupa principalmente di vigilare sull’applicazione delle norme sulla privacy. Tale nuova figura è obbligatoria quando il trattamento:

a)   È svolto da un soggetto pubblico;

b)   Richiede il monitoraggio sistematico degli interessati su larga scala;

c)   È effettuato su larga scala di particolari categorie di dati.

Le novità non finiscono qui, infatti il Gdrp (il nuovo Regolamento) adotta un nuovo approccio di analisi e governance (gestione) del rischio. Si predilige ora un impianto di sicurezza proattiva, basato su strumenti a carattere preventivo e anticipatorio della tutela dei dati. Tra questi, la valutazione d’impatto da effettuare prima dell’inizio del trattamento che è obbligatorio quando il trattamento consiste in valutazioni sistematiche su larga scala, di categorie particolari di dati personali o di dati relativi a condanne e a reati, oppure, una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Le sanzioni sono state aumentate rispetto a quelle previste con il vecchio Codice sulla Privacy e possono arrivare fino ad un massimo di 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente per le violazioni degli obblighi del titolare e del responsabile; arrivano invece a 20 milioni di euro o al 4% del fatturato in caso di violazioni dei principi fondamentali in materia di protezione dei dati personali, dei diritti dell’interessato e per l’inosservanza degli ordini dell’autorità di controllo.

In caso di “Data Breach” (violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati) il titolare è tenuto a notificare l’evento al Garante privacy entro 72 ore.

Comunque e in ogni caso, fatte le dovute considerazioni sul tipo di dati che l’azienda tratta, la sua dimensione, gli obblighi e le esenzioni previste dal nuovo Regolamento Gdpr, tutte le aziende che trattano dati personali di clienti, fornitori, dipendenti, collaboratori, dovranno adottare le misure necessarie a garantire il rispetto delle norme in materia di tutela dei dati personali e a modificare e/o integrare la modulistica fino ad ora adottata a cominciare dall’ INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DEL REGOLAMENTO UE 679/16 che si dovrà rilasciare agli interessati.

Il Garante della privacy, anche se informalmente, ha condiviso l’impostazione del Cnil (il Garante della Privacy francese) che adotterà una ragionevole tolleranza nel primo semestre di applicazione della nuova normativa sempre che venga riscontrata un’effettiva diligenza dei titolari del trattamento nel processo di messa in regola.

Lo Studio Aquilino rimane a disposizione per ogni e ulteriore informazione riguardo gli esatti adempimenti e misure da adottare e, per le aziende che trattano dati particolari o di particolari dimensioni, anche con professionisti esperti in gestione e controllo trattamento dati che forniscono consulenza specifica e vigilanza come Dpo.

Studio Aquilino, Count on it.


Condividi:

Nome (richiesto)

Cognome (richiesto)

Azienda

Telefono

Email

Tipo di servizio richiesto

Richiesta

Inviando il seguente modulo acconsento al trattamento dei dati ex legge 193/2006

Inserisci il seguente codice: captcha