Regolamento Europeo sulla protezione dei dati personali

Transcript

1 Regolamento Europeo sulla protezione dei dati personali

2 PREMESSA Il 15 dicembre 2015 è stato raggiunto l accordo in merito al nuovo Regolamento Europeo sulla Privacy, definito anche GDPR (General Data Protection Regulation) che in Italia abrogherà la direttiva 95/46/CE, (detta Direttiva Madre ) e andrà a sostituire l attuale Codice Privacy del 2003 (Dlgs. 196/03). Il successivo 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell Unione Europea la versione definitiva del testo del Regolamento Europeo 2016/679, relativo alla protezione e al trattamento dei dati personali delle persone fisiche, nonché alla libera circolazione di tali dati. Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende/organizzazioni dovranno adeguarsi alla nuova legge sulla privacy. Doveroso ricordare che i regolamenti emanati dall Unione Europea sono immediatamente esecutivi, non devono quindi essere recepiti dagli Stati membri (come succede invece per le direttive). L immediatezza dell esecutività, garantisce quindi una maggiore armonizzazione a livello dell Unione. L entrata in vigore del Regolamento permetterà che una unica normativa sia contemporaneamente in vigore in tutti gli stati membri UE uniformandoli sotto una unica disciplina. QUALI SONO LE NOVITÀ DEL REGOLAMENTO EUROPEO Il Regolamento Europeo Privacy introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali che però potranno beneficiare di alcune semplificazioni conseguenti alla applicazione delle disposizioni contenute nel Regolamento Europe. E stato introdotto il diritto dell interessato alla portabilità del dato (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro o da una compagnia telefonica ad un altra) e del diritto all oblio tramite il quale ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime). Parecchie le novità per i Titolari e Responsabili del trattamento. Il principio della Responsabilità (accountability) comporterà l onere di dimostrare l adozione, di tutte le misure privacy adottate in conformità al Regolamento Europeo. Dovranno essere predisposte, redatte e efficacemente conservate opportune documentazioni, quali i Registri delle attività di trattamento (art. 30) in cui vengano riportare tutte le attività di trattamento dati svolte sotto la responsabilità del titolare o del responsabile. Viene richiesto di cooperare con l autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato (art ).

3 IL PRIVACY IMPACT ASSESSMENT Come ormai consolidato in altri ambiti (sistemi di gestione qualità, sicurezza, ecc.) saranno necessarie opportune valutazioni del rischio o meglio valutazioni d impatto sulla protezione dei dati, o Privacy Impact Assessment (art. 35) in caso di trattamenti rischiosi, oppure a seguito di verifiche preliminari per diverse circostanze da parte del Garante. Si dovrà quindi implementare in azienda un vero e proprio sistema di gestione della protezione dei dati, dove si andranno a prevedere azioni mirate da implementare nell Organizzazione, finalizzate al trattamento dei dati in completa sicurezza. Si valicherà, peraltro, la prassi di notificazione all autorità, con notevole semplificazione per le attività dell Azienda/Organizzazione. IL DATA PROTECTION OFFICER La designazione del Data Protection Officer sarà obbligatoria nel caso in cui: a) il trattamento venga effettuato da un autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala; c) nell ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari). Il Data Protection Officer potrà essere interno o esterno; dovrà possedere un ampia conoscenza della normativa e sarà in relazione diretta con i vertici aziendali, gli verrà affidato il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all interno di un azienda, secondo le direttive imposte dalle normative vigenti. Il Data Protection Officer deve possedere un adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema di gestione dei dati personali, mediante l elaborazione di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza. ENTRO IL 24 MAGGIO 2018 TUTTE LE AZIENDE DOVRANNO ADEGUARSI AL NUOVO REGOLAMENTO EUROPEO PRIVACY

4 Alcune informazioni direttamente dal Garante

5 ..e ancora

6 ..e per finire, ma non meno importante.. Contattateci, non lasciate passare il tempo senza affrontare l adeguamento al nuovo Regolamento Europe, Maggio 2018 è dietro l angolo, siamo in grado di offrirvi un servizio completo di gestione della protezione di dati, sia normativo, che fisico (protezione delle strutture dove vengono archiviati i dati) che informatico mediante valutazioni specifiche relative a architettura e configurazione del sistema di protezione (antivirus, antispam, anti-malware, anti-phishing, ecc.).