Lun - Ven : 09:00 - 18:00
segreteria@svslex.it
+39.0721.856172

News

Il nuovo Regolamento Europeo sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679)

/
Date21 Nov 2017

 

Il 25 maggio 2018 è il giorno in cui il nuovo Regolamento UE 2016/679 sarà direttamente applicato in tutti i Paesi dell’Unione Europea e andrà a sostituire l’attuale Codice della Privacy (d.lgs. n. 196/2003) oggi vigente in Italia. Il regolamento diventerà immediatamente applicabile senza bisogno di essere recepito con provvedimenti nazionali; avremmo quindi un testo unico valido in tutti i paesi UE che mirerà a rendere omogeneo ed elevato il livello di protezione dei dati personali e a favorire la circolazione degli stessi all’interno dell’Unione Europea.

Adempimenti del Titolare del Trattamento

In capo al Titolare del Trattamento sono posti obblighi di trasparenza più stringenti rispetto alla precedente normativa. Tali principi implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. L’interessato inoltre dovrà essere informato dell’esistenza di una profilazione e delle conseguenze della stessa. Il regolamento, con forte innovazione rispetto alla normativa precedente, disciplina che l’adesione ai codici di condotta (art. 40) o a un meccanismo di certificazione (art. 42) può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Principio di accountability

Fino ad oggi gli adempimenti in materia di dati personali erano basati su criteri formali e sulla logica dell’effettivo abuso dei dati raccolti. Ora invece diventa obbligatorio elaborare un sistema documentale di gestione della privacy contenente tutti gli atti, regolarmente aggiornati ed elaborati per soddisfare i requisiti di conformità al regolamento. Il nuovo quadro normativo è quindi incentrato sui doveri e sulle responsabilità (accountability) del titolare del trattamento che, in base a tale principio dovrà provare di aver adottato tutte le politiche privacy e le misure adeguate conformi al regolamento; in caso contrario lo stesso titolare sarà punito, a prescindere dall’abusivo utilizzo dei dati che ne possa derivare o meno.

Privacy by design e privacy by default

La gestione dei dati personali non sarà più solo un adempimento ma diventa un processo aziendale che influisce sull’organizzazione delle imprese. Il testo impone alle imprese e alle pubbliche amministrazioni, come esplicato agli articoli 3 e 11, una forte responsabilizzazione, un cambio di passo, un approccio proattivo, la protezione dei dati personali diventa, finalmente, un asset strategico delle pubbliche amministrazioni e delle società private che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi (principi “data protection by design” e “data protection by default).

Privacy Impact Assessment

Con il nuovo regolamento europeo si dovrà imparare inoltre a destreggiare un nuovo strumento, il Privacy Impact Assessment (PIA), ovvero il documento di valutazione di impatto nel trattamento dati.

A seguito delle nuove disposizioni i titolari del trattamento hanno l’obbligo, prima di procedere al trattamento, di effettuare una valutazione dell’impatto dei trattamenti previsti dal regolamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerando che la natura, l’oggetto, il contesto e le finalità del trattamento possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione di impatto privacy richiede una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati.

La figura del Data Privacy Officer (DPO)

Nasce la nuova figura del Data Protection Officer (DPO) che è il manager dei data base, cioè la persona che deve garantire la correttezza del processo produttivo basato sul trattamento dei dati personali. Il regolamento riconosce al DPO un ruolo chiave nel sistema di gestione dei dati e all’art. 30 stabilisce le condizioni per la sua nomina, posizione e compiti. Il DPO sarà una figura obbligatoria nel caso in cui:

– chi tratta i dati è un soggetto pubblico;

– si trattano rilevanti quantità di dati personali;

– si trattano sistematicamente dati sensibili o giudiziari.

Privacy nell’ambito lavorativo

Al fine di dare una disciplina uniforme il Garante Privacy Italiano ha emanato delle Linee guida riguardati l’utilizzo della posta elettronica e di internet. Con esso il Garante ha previsto espressamente che compete ai datori di lavoro assicurare la funzionalità e il corretto impiego della posta elettronica aziendale e di internet da parte dei lavoratori, definendone le modalità d’uso nell’organizzazione dell’attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali. Pertanto spetta ai medesimi adottare idonee misure di sicurezza per assicurare la disponibilità e l’integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità.

Le sanzioni

Il testo prevede inoltre un rafforzamento dei poteri delle Autorità Garanti nazionali e un inasprimento delle sanzioni amministrative a carico di imprese e pubbliche amministrazioni, le quali avranno più responsabilità, ma potranno beneficiare di semplificazioni ed, in caso di inosservanza delle regole, saranno previste sanzioni che saranno più elevate: fino al 4% del fatturato complessivo (consolidato) per i gruppi societari multinazionali e fino a 20 milioni di euro per i privati e le imprese non facenti parte di gruppi.

Leave a Reply

News più lette

SVS LEX nella cessione del 100% di Europan Sud S.r.l. al fondo di Private Capital Italian Fine Food
0 Comment
Rivoluzione nel diritto di famiglia e nella definizione dell’assegno di divorzio
0 Comment
Svizzera, condannato per aver messo dei Like su Facebook
0 Comment