Ecco il nuovo regolamento Privacy della UE

Privacy 0 Comment
Nuovo regolamento Privacy

Nuovo regolamento inerente la protezione dei dati personali per tutta l’Europa.

image

È stato finalmente trovato l’accordo tra Parlamento Europeo e Consiglio sul nuovo regolamento inerente la protezione dei dati personali il quale sarà immediatamente applicabile in tutti i Paesi dell’Unione e porterà ad un superamento delle normative nazionali.

Due anni di tempo da adeguarsi e non poche novità da prendere in considerazione, prima fra quella del Data Protection Officer (DPO).

Il DPO è un supervisore indipendente che sarà designato da soggetti apicali sia dalle pubbliche amministrazioni che in ambito privato. Sarà pertanto obbligatorio nelle pubbliche amministrazione e negli enti pubblici, in ambito privato sarà obbligatorio in alcune circostanze quando per esempio tenuto conto dell’ambito applicativo, della natura e delle finalità, il trattamento riguarderà un monitoraggio regolare e sistematico dei dati personali dell’interessato su larga scala, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili oppure giudiziari.

Cosa dovrà fare il DPO: 1) sorvegliare sulla corretta applicazione della normativa sulla protezione dei dati europeo ed italiana, nonché l’osservanza del politiche interne dell’ente, anche compiendo attività di verifica, azioni formative ed informative; 2) fornire pareri e sorvegliare alla corretta esecuzione di una Data protection impact analysis (c.d. Dpia); 3) fungere da contact point e collaborare con l’Autorità Garante per la protezione dei dati personali anche nell’ambito delle verifiche preliminari.

 

Altre importanti prescrizioni:

  • le norme interesseranno tutti quei soggetti (anche extraeuropei) che sono chiamati a trattare (in maniera automatizzata o meno) i dati relativi, per esempio, a clienti, dipendenti, studenti, utenti, fornitori. In sostanza, viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti;
  • sarà necessario elaborare un sistema documentale di gestione della privacy contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità al Regolamento.!È l’applicazione operativa del principio di rendicontazione (o di “accountability”), secondo cui il Titolare del trattamento deve conservare la documentazione di tutti i trattamenti effettuati sotto la propria responsabilità
  • i Titolari dovranno effettuare una Valutazione degli impatti privacy (Data Protection Impact Analysis – DPIA) fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, nei casi in cui il trattamento alla base degli stessi, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati;
  • principio dell’incorporazione della privacy fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto, ovvero la messa in atto di meccanismi per garantire che siano trattati – di default – solo i dati personali necessari per ciascuna finalità specifica del trattamento (si tratta della riattualizzazione in chiave moderna del principio di necessità sancito dal Codice Privacy). I Titolari del trattamento dovranno, pertanto, prevedere meccanismi di protezione dei dati fin dalla progettazione delle attività e per l’intera gestione del ciclo di vita dei dati – dalla raccolta alla cancellazione – incentrandosi sistematicamente sulle garanzie procedurali in merito all’esattezza, alla riservatezza, all’integrità, alla sicurezza fisica ed alla cancellazione dei dati;
  • i Titolari del trattamento, in caso di una violazioni specifiche quali   la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati, dovranno mettere in atto due differenti azioni: la notificazione della violazione all’Autorità di controllo e la segnalazione al diretto interessato;
  • il Regolamento riconosce, sancendoli nel testo, nuovi diritti. In particolare si fa riferimento al Diritto all’oblio e Diritto alla portabilità del dato (rispettivamente, right to be forgotten / right to erasure e data portability).

Dott. Luigi Recupero

Luigi Recupero