Regolamento Europeo sulla protezione dei dati n. 2016/679

Di seguito riportate le principali novità introdotte dal Regolamento Europeo n. 2016/679 in materia di protezione dei dati:

 Entrata in vigore

Il Regolamento è entrato in vigore il 24 maggio 2016 e si applica a tutti i soggetti che trattano dati personali di persone fisiche. Anche chi sta correttamente applicando il D.lgs. 196/2003 dovrà adeguarsi al Regolamento, entro il termine ultimo del 25 maggio 2018

 Nuove Sanzioni

Le sanzioni penali rimangono di competenza di ogni singolo Stato, le sanzioni amministrative sono state completamente ridisegnate. Nella maggior parte dei casi le sanzioni arrivano fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente (con un massimale di 10 milioni di euro). Nei casi più gravi (condizioni per il consenso, diritti degli interessati,  trasferimento di dati personali all’estero,) il 4% del fatturato (con un massimale di 20 milioni di euro).

 Informativa (contenuti nuovi)

Per facilitare la comprensione dei contenuti, nell’informativa si potrà fare ricorso anche a icone, identiche in tutta l’Unione europea. Gli interessati dovranno sapere se i loro dati sono trasmessi al di fuori dell’Ue e con quali garanzie; cosi come dovranno sapere che hanno il diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto.

Diritto all’oblio

Grazie all’introduzione del cosiddetto «diritto all’oblio», gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento. A questo diritto si accompagna l’obbligo per il titolare del trattamento di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile.

Diritto alla portabilità

Il Regolamento introduce il diritto alla «portabilità» dei propri dati personali per trasferirli da un titolare del trattamento ad un altro. Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.

Obbligo di comunicazione di dati violati (data breach)

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati.

Privacy by design

In relazione alla sicurezza dei dati scompare il concetto di misura minima e viene rafforzato il concetto di misura idonea. Va effettuata a priori una valutazione dei rischi in relazione al trattamento da porre in essere, ed in relazione a QUELLA valutazione approntare le misure idonee. La valutazione del rischio non è altro che la determinazione del valore quantitativo o qualitativo dei rischi connessi ad una situazione concreta o minaccia conosciuta. La conseguenza pratica è che le aziende dovranno attuare un modello di valutazione dell’impatto privacy.

Data Protection Officer (DPO)

Viene inoltre introdotta la figura del “Responsabile della protezione dei dati”, un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi, figura richiesta quando:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);
  2. i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

Il DPO deve possedere requsiti di competenza e professionalità tali da permettergli di svolgere il proprio incarico. Non esistono certificazioni riconosciute, ma in assenza di precedenti esperienze in materia di privacy è opportuno frequentare appositi corsi di formazione che consentano di provare le competenze richieste dal Regolamento.

Formazione

Il nuovo regolamento privacy, all’art. 29, introduce l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori). La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

Per maggiori informazioni sulla consulenza per l’adeguamento al Regolamento Europeo n. 2016/679

Categorie: News

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra.
SE NON ACCETTI I COOKIE POTRESTI NON VEDERE TUTTI I CONTENUTI DEL SITO
Più info

Per migliorare la tua navigazione su questo sito, utilizziamo cookies ed altre tecnologie che ci permettono di riconoscerti. Leggi la Privacy Policy e la Cookie Policy Continuando con la navigazione si acconsente all'utilizzo dei cookie.

Chiudi