NUOVO REGOLAMENTO EUROPEO PRIVACY
NUOVE REGOLE SULLE PRIVACY E NUOVI ADEMPIMENTI PER LE IMPRESE E I PROFESSIONISTI
Il nuovo Regolamento Europeo Generale sulla protezione dei dati, approvato il 14 aprile 2016, diventerà efficace a partire dal 25 maggio 2018.
DI COSA SI TRATTA?
Si tratta di un insieme di regole nate con l’obiettivo di uniformare e armonizzare le discipline in vigore nei diversi Paesi, eliminando numerose discrepanze che ostacolavano la circolazione dei dati all’interno dell’Unione, e di adeguare le norme sulla privacy ai cambiamenti dovuti all’evoluzione delle tecnologie e al conseguente mutamento socio-culturale.
Chi lo deve fare?
Tutte le imprese e i professionisti che raccolgono dati personali (dei dipendenti, dei clienti etc..)
In questa sede si intende dar conto sinteticamente delle principali modifiche e novità e dei conseguenti adempimenti che dovranno essere intrapresi da tutti i titolari del trattamento di dati (e portati a termine entro maggio 2018) per allinearsi alla normativa europea.
INFORMATIVA (artt. 13 e ss.)
Espressione del principio di trasparenza, come già nel Codice Privacy, l’informativa rappresenta una garanzia indispensabile per un corretto trattamento, consentendo all’interessato di conoscere le intenzioni del titolare. Rispetto al Codice Privacy cambia il contenuto degli atti di informazione, con l’inserimento di alcune novità.
Cosa si deve fare?
Occorre rivedere le informative in uso e pianificare le modifiche necessarie per adeguarle alle novità. Va effettuata una ricognizione dei diversi trattamenti e individuata la base giuridica per poterla inserire e documentare.
CONSENSO (art. 7)
Il consenso costituisce una base di liceità del trattamento dei dati e va richiesto soltanto quando necessario.
Cosa si deve fare?
Occorre verificare i precedenti consensi ottenuti e, se dal caso, riacquisirli. Va predisposta una nuova modulistica chiara e semplice che preveda dei distinti consensi per ciascuna diversa finalità, e vanno verificate le modalità di conservazione dei consensi.
I DIRITTI DELL’INTERESSATO
Ai diritti di controllo sui dati precedentemente previsti dal Codice Privacy, il GDPR ne aggiunge 3:
DIRITTO ALL’OBLIO
DIRITTO DI LIMITAZIONE
DIRITTO DELLA PORTABILITA’ DEI DATI
Cosa si deve fare?
Occorre predisporre, o aggiornare, le proprie procedure interne di gestione delle istanze di accesso da parte degli interessati, e dotarsi di strumenti necessari per ottemperare alle richieste.
IL PRINCIPIO DELL’ ACCOUNTABILITY (art. 24)
Responsabilizzazione e obbligo di prova. Si tratta di un principio nuovo per il nostro ordinamento, che va inteso sia come “responsabilizzazione” che come “obbligo di fornire la prova”.
Cosa si deve fare?
Il titolare dovrà quindi precostituire tutta la documentazione necessaria a dimostrare di aver compiuto le valutazioni preventive sui rischi, di aver adottato misure adeguate, predisposto policy interne per la gestione delle istanze o delle violazioni d’accesso (data breach), e quindi dovrà in concreto dotarsi di un apparato di strumenti tecnici che consentano la protezione effettiva dei dati. Ciò comporta un’attività di continua revisione e adeguamento.
PRIVACY BY DESING E PRIVACY BY DEFAULT (art. 25)
Al fine di dimostrare la conformità alla normativa europea al titolare del trattamento è richiesto di adottare policies interne e attuare misure che soddisfino i principi della protezione dei dati fin dalla progettazione, e attraverso impostazioni predefinite.
Cosa si deve fare?
Occorre che il titolare dia dimostrazione, fin dal momento della progettazione e sviluppo di prodotti, servizi o applicazioni, di aver valutato i rischi, adottato misure tecniche e organizzative adeguate e meccanismi predefiniti per garantire il rispetto della privacy delle persone. Si dovranno rivedere le procedure interne, le nomine a incaricato del trattamento con una corretta definizione degli ambiti, inserendo una impostazione predefinita per l’inserimento dei dati, la conservazione e l’accessibilità.
IL CONTRATTO DI TRATTAMENTO DATI CON IL RESPONSABILE DEL TRATTAMENTO (art. 28)
Il Responsabile del trattamento è il soggetto che tratta dati per conto del Titolare. Il nostro Codice della privacy prevedeva la figura del Responsabile “interno” (che era opzionale) ovvero della persona fisica di alto profilo o competenza che coadiuva il titolare negli obblighi in ambito privacy. Il Regolamento disciplina invece i rapporti del titolare con il Responsabile “esterno”, ovvero la persona fisica o giuridica terza cui il titolare affida (esternalizza) alcune attività connesse al trattamento dei dati: ad esempio, predisposizione buste paga, gestione sistema informatico, call center, agenti.
Cosa si deve fare?
La norma riguarda tutte le ipotesi in cui un’attività venga esternalizzata, sicché sarà necessario predisporre i nuovi contratti o modificare quelli in essere con tutti gli outsourcers.
REGISTRO DEI TRATTAMENTI (art. 30)
Il Regolamento impone al titolare, e al responsabile esterno, di tenere un registro che deve contenere l’indicazione delle attività di trattamento dei dati, in forma scritta, anche elettronica, e che va tenuto a disposizione del Garante.
Cosa si deve fare?
Se si predisponeva il DPS e si è continuato a predisporlo nonostante il venir meno dell’obbligo, per adeguarsi sarà sufficiente aggiornare il documento con le novità. Diversamente, occorrerà innanzitutto procedere con la mappatura delle attività e poi con la redazione del documento.
ANALISI DEI RISCHI E MISURE DI SICUREZZA (art. 32)
Mentre il Codice Privacy individuava delle misure minime di sicurezza (Allegato B) che dovevano essere adottate a pena di sanzioni, il Regolamento, in ossequio al principio di accountability, non prevede delle misure minime, ma impone al titolare di applicare delle misure adeguate, indicandone alcune all’art. 32, a titolo di esempio, lasciandogli libertà di scelta.
Cosa si deve fare?
Occorre effettuare una valutazione dei rischi inerenti al trattamento e realizzare le misure per limitarli.
VALUTAZIONE D’IMPATTO (art. 35) – DPIA
Qualora il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve svolgere una Valutazione d’impatto (DPIA) sulla protezione dei dati per determinare l’origine, la natura, la particolarità e la gravità di tale rischio.
Cosa si deve fare?
Dopo aver effettuato l’analisi dei rischi e compreso che sussiste un rischio elevato per i diritti e le libertà degli interessati, occorre procedere con la redazione della DPIA secondo le indicazioni fornite dal Regolamento e dalle Linee Guida WP 248 dell’aprile 2017 disponibili sul sito del Garante.
DATA BREACHES (art. 33)
In caso di eventi che comportano la perdita, la distruzione o la diffusione indebita di dati, il Regolamento impone alcuni obblighi in capo al titolare.
Cosa si deve fare?
Si dovrà prestare massima attenzione alla sicurezza, dalla raccolta dei dati alla distruzione. Occorrerà adottare delle policies interne scritte per la gestione dei casi e individuare i soggetti che dovranno trattarle.
DATA PROTECTION OFFICER – DPO (art. 37)
Il Regolamento introduce una nuova figura professionale di garanzia che dovrà coadiuvare il titolare nella gestione del sistema privacy: il Responsabile della protezione dei dati (DPO).
Cosa si deve fare?
Occorre valutare se si rientra nei casi previsti dalla normativa per la designazione di un DPO e se nominare un soggetto interno o rivolgersi a un consulente esterno. Nel caso in cui la nomina non sia obbligatoria, si potrà valutare l’opportunità di nominarlo comunque per ottimizzare la gestione del sistema privacy.
ULTERIORI NOVITA’…
CERTIFICAZIONI/MARCHI (art. 42)
Ulteriore novità è la possibilità di chiedere certificazioni o marchi che attestino la qualità sotto il profilo della protezione dei dati, per consentire agli interessati una valutazione rapida del livello di protezione offerto dal prodotto/servizio.
RAFFORZAMENTO DELLE SANZIONI (art. 83 e ss.)
Il Regolamento prevede alcune novità anche in ambito sanzionatorio.
CLICCA SUL LINK DELLA COMUNITA' EUROPEA PER ULTERIORI INFORMAZIONI
CONTATTACI PER UNA CONSULENZA DEDICATA