Privacy: nuovo regolamento in vigore dal 25 maggio 2018

Il GDPR, il nuovo regolamento in materia di privacy, dovrà essere applicato in tutta Europa dal 25 maggio 2018. Introduce maggiori tutele per i consumatori e maggiori responsabilità per le imprese.

Il regolamento coinvolge chiunque abbia a che fare con dati personali. Le novità principali riguardano le regole sul trattamento dei dati personali, che non dovrà essere limitato nel tempo ma funzionale al motivo per il quali dati sono stati raccolti.

Il consenso del consumatore\cliente, inoltre, dovrà essere esplicito e le modalità di utilizzo dei dati dovranno essere spiegate in modo chiaro e semplice.

Sono inoltre previste nuove sanzioni per chi non si adeguerà alle nuove regole sulla privacy: potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

Di seguito le linee guida :

Dati personali trattati in azienda:

In questo contesto il regolamento ha cambiato la definizione di dato personale ampliandolo: ogni informazione che riconduca alla persona, anche solo un indirizzo di posta elettronica è considerato dato personale. Effettuare un vero e proprio inventario di ciò che in azienda viene trattato in termini di dati personali è certamente un primo utile passo per comprendere quali azioni a tutela porre in essere. Il focus del Regolamento infatti è garantire il diritto alla protezione dei dati della persona. I principi applicabili al trattamento di dati personali sono: liceità, correttezza e trasparenza-limitazione della finalitàminimizzazione dei dati- esattezza-limitazione della conservazione- integrità e riservatezza. Occorre adottare le misure tecniche ed organizzative adeguate affinché l’interessato non solo venga informato in modo chiaro e trasparente sul tipo di trattamento e sulle finalità che esso si prefigge di raggiungere ma garantire anche, in linea generale, i nuovi diritti introdotti dal Regolamento (es. diritto all’oblio, diritto alla portabilità del dato quando applicabili, ecc.). L’interessato ha diritto inoltre a sapere se i propri dati valicano i confini europei e con quali garanzie.

Accountability:

Il titolare del trattamento è considerato competente per il rispetto dei principi applicabili al trattamento dei dati personali e deve essere in grado di comprovarlo (responsabilizzazione). Ciò significa che le decisioni del titolare sulle misure che adotta a protezione dei dati personali dovranno essere documentate opportunamente e comprovabili come tecnologicamente logiche ed in generale “di buon senso” al tempo in cui sono state adottate.

Protezione dei dati by design e by default :

Per privacy by design si intende la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo.

Il concetto di privacy by default introdotto nel Regolamento intende sottolineare la necessità della tutela della vita privata dei cittadini “di default” appunto, cioè come impostazione predefinita. Questo implica che i dati personali devono essere trattati sempre attraverso un percorso di politica aziendale o amministrativa interna che ne tuteli la diffusione.

Valutazione d’impatto :

Effettuare una valutazione preventiva sul trattamento di dati personali in azienda è certamente considerata buona prassi. In alcuni casi il regolamento impone l’adozione della valutazione d’impatto sulla rischiosità dei trattamenti di dati personali in termini di diritti e libertà degli interessati, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali” (data protection impact assessment).

DPO (Data Privacy Officer):

Questa nuova figura (responsabile della protezione dati) prevista dall’art. 37 del regolamento è da designare in alcuni delimitati casi riportati nel medesimo articolo ma la sua designazione è comunque considerata buona prassi, utile a supportare il titolare nell’applicazione del GDPR.

Si tratta di uno specialista nella protezione dei dati personali che deve compiere alcuni determinati compiti (ex art. 39) ma che soprattutto deve essere adeguatamente coinvolto in tutto ciò che è trattamento di dati personali in azienda in modo da poter ben espletare il proprio mandato, in modo indipendente e professionale.

Registro dei trattamenti:

In linea generale tutti i titolari ed i responsabili lo devono tenere a disposizione in caso di controlli da parte dell’Autorità (eccezione fatta per gli  organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio).

Trasferimento dati personali all’estero:

È contemplato solo se lo Stato estero in questione segue regole adeguate agli standard di sicurezza di cui al GDPR. Inoltre nel caso in cui si trattino dati personali in più stabilimenti anche europei occorre evidenziare quale sia l’autorità capofila cui fare riferimento.

Segnalazione violazioni (data breaches):

“Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo” (entro 72 ore). Occorre assicurarsi di adottare adeguate procedure per individuare, segnalare (ed eventualmente investigare) su una eventuale violazione dei dati personali. In caso di violazioni infatti il nuovo regolamento impone la notifica all’autorità di controllo ed eventualmente anche ai soggetti interessati.

 

Print Friendly, PDF & Email