Come mettersi in regola

Cosa cambia rispetto a prima (D.Lgs. 196/2003)

Le caratteristiche fondamentali sulle quali si basa il nuovo Regolamento sono Responsabilità, Consapevolezza e Capacità di Risoluzione del Titolare, del Responsabile e degli Incaricati del trattamento che dovranno dimostrare di saper gestire il trattamento dei dati

Ecco alcuni punti che elencano le sostanziali novità:

  • Si rende necessario eseguire e gestire la Valutazione del Rischio e la Valutazione d'Impatto
  • Andranno designati tutti i Ruoli chiave degli addetti al trattamento dei dati
  • Verrà redatto un Registro dei Trattamenti
  • Nasce una nuova figura obbligatoria per alcune organizzazioni, il DPO (Data Protection Officer)
  • Verrà finalmente riconosciuto il Diritto all'Oblio
  • Sarà possibile la Portabilità dei Dati
  • L'interessato avrà il diritto di essere informato su eventuali Violazioni
  • I Consensi e le Informative verranno creati in modo molto più trasparente, leale e dinamico
  • La sicurezza dei dati dovrà essere valutata già in fase di Progettazione e verranno gestiti solo i dati personali necessari per ogni specifica finalità
  • La Formazione giocherà un ruolo chiave nella gestione del Regolamento.
  • E’ richiesta una più attenta e rigida gestione della Profilazione
  • Sono previste garanzie più rigorose per il trattamento dei dati al di fuori dell'UE
  • E’ prevista la possibilità di certificare il processo di gestione della Privacy al fine di tutelare l’azienda
Accountability
Le caratteristiche fondamentali sulle quali si basa la norma sono la Responsabilità, Consapevolezza e Capacità di Risoluzione del Titolare, dei Responsabli e degli Incaricati da qui deriva il termine “Accountability”, cioè responsabilità. Ai titolari del trattamento del settore pubblico e privato sarà richiesto non semplicemente di rispettare le norme ma dovranno dimostrare di aver distribuito responsabilità al prorpio interno, di avere una risposta per i vari problemi, di aver valutato i rischi e le possibili conseguenze e di aver quindi una strategia articolata e trasparente nei confronti dei soggetti cui si riferiscono le informazioni.
Valutazione del rischio
Un indicazione relativamente rivoluzionaria del GDPR riguarda il fatto che, prima di un trattamento di dati personali, è obbligatorio condurre un certo numero di valutazioni preventive, per l'appunto una valutazione del rischio, seguendo un processo di identificazione, analisi, ponderazione, trattamento e rischio residuo.
Valutazione d'impatto
In determinati casi, le imprese pubbliche e private, prima di procedere al trattamento, dovranno effettuare una valutazione d'impatto tecnicamente denominata PIA (Privacy Impact Assessment). Tale adempimento sarà richiesto, ad esempio, se l'uso di nuove tecnologie per il trattamento dei dati, tenuto conto del contesto, della natura e della finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche; trattamenti automatizzati su larga scala di categorie particolari di dati (sensibili); dati raccolti tramite sorveglianza sistematica e su larga scala di zone accessibili al pubblico, etc. Il Garante Privacy redigerà l'elenco delle tipologie di trattamenti soggetti a tale adempimento.
Nomine
All'interno dell'azienda dovranno essere ben definiti e designati i ruoli chiave degli addetti che trattano dati personali. Il nuovo Regolamento impone la registrazione e, tramite modelli cartacei o digitali, la semplice ed immediata reperibilità delle nomine del Titolare dei trattamenti, dei Responsabili e di tutti gli incaricati ben specificando il loro ruolo, le loro mansioni, l'ubicazione, i trattamenti utilizzati ed il modus operandi degli stessi in riguardo ad ogni trattamento.
Registro dei trattamenti
Il Titolare e/o il Responsabile dovranno tenere e gestire un registro dei trattamenti effettuati al fine di dimostrare la conformità alle disposizioni del Regolamento. Il registro, che potrà essere anche in formato elettronico, dovrà contenere una descrizione delle misure di sicurezza tecniche ed organizzative e, su richiesta, dovrà essere a disposizione dell'autorità di controllo. Per le imprese con uguale o oltre i 250 dipendenti è d'obbligo la gestione di tale registro, al di sotto l'obbligatorietà scatta quando presente un trattamento non occasionale dei dati, un rischio per i diritti e la libertà dell'interessato o la presenza di dati sensibili o giudiziari.
Data Protection Officier (DPO)
Viene designato sistematicamente dal Titolare o dal Responsabile del trattamento in tre occasioni:
  • Quando il trattamento è effettuato da una autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni).
  • Quando i trattementi consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
  • Quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
In ogni caso, dovrà essere in possesso di specifici requisiti quali competenza, esperienza, indipendenza e autonomia di risorse. Le società facenti parte di un gruppo, a livello nazionale o transfrontaliero, potranno nominare un unico DPO. Il DPO dovrà essere contattabile da tutti i soggetti interessati e comunicare con il Garante per la protezione dei dati personali; riferirà direttamente ai vertici gerarchici della società con autonomia e indipendenza rispetto agli altri dirigenti. I principali compiti del DPO saranno :
  • Verificare l'attuazione e l'applicazione della Normativa.
  • Informare e consigliare il Titolare o il Responsabile del trattamento e gli incaricati in merito agli obblighi derivanti del Regolamento.
  • Fornire pareri in merito al Privacy Impact Assessment.
  • Sorvegliare sugli adempimenti previsti dalla legge in materia di trattamento.
  • Collaborare con le attività competenti.
  • Verificare la corretta applicazione della protezione dei dati sin dalla progettazione degli applicativi (privacy by design), controllando che gli stessi abbiano impostazioni privacy predefinite (privacy by default).
  • Controllare, documentare e notificare le violazioni dei dati (Data Breach).
Diritto all'oblio
Riconosciuto sino ad oggi solo a livello giurisprudenziale (sentenza emessa contro Google dalla Corte di Giustizia Europea), è ora istituzionalizzato a livello normativo; l'interessato può decidere che siano cancellati e non ulteriormente sottoposti a trattamento i propri dati mediante revoca del consenso se i dati non sono più necessari alle finalità per le quali sono stati raccolti.
Portabilità dei dati
Il diritto di ricevere in un formato di uso comune, leggibile da dispositivo automatico, i dati personali forniti a un titolare del trattamento e di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti.
Violazioni
Il diritto di essere informati sulle violazioni dei propri dati personali si identifica nel termine tecnico Data Breach Notification. Il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l'obbligo di comunicazione (all'Autorità di controllo se possibile entro 72 ore dal fatto e al diretto interessato senza ingiustificato ritardo) nei casi in cui, a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità, si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.
Consensi ed informative
Con il nuovo Regolamento si avrà il diritto di ricevere un informativa sulla Privacy preventiva e chiara, semplice e comprensibie ed il diritto di poter esprimere attivamente il proprio consenso e di poterlo in ogni momento revocare.
Progettazione e gestione dei dati
La protezione dei dati personali deve essere valutata già nel momento di progettazione di nuove procedure con l'attuazione, quindi, di adeguate misure tecniche e organizzative sia all'atto della progettazione che dell'esecuzione del trattamento (privacy by design). Inoltre i dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario (privacy by design).
Formazione
La Privacy non è più materia delegabile ad un determinato dipendente, al responsabile IT o ad un ufficio esterno, l'Azienda stessa deve creare e gestire, in maniera totalitaria, tutti i processi che definiscono i trattamenti dei dati personali e la libera circolazione degli stessi e quindi la formazione sarà determinante per istruire e rendere consapevoli tutti i soggetti, che tratteranno i dati, delle rispettive procedure da seguire, i rischi e le possibili soluzioni da intraprendere.
Profilazione
Le attività di profilazione non dovranno venir effettuate in maniera automatizzata e senza il preventivo ed espresso consenso dell'interessato (diritto alla Profilazione consenziente).
Trasferimento dati fuori dall'UE
La protezione dei trattamenti in riguardo al traferimento all'estero dei dati personali è garantita dal nuovo Regolamento attraverso garanzie adeguate quali le decisioni di adeguatezza, le BCR, le Clausole Tipo, l'adesione a codici di condotta ed il consenso dell'interessato dopo essere stato informato dei possibili rischi.
Certificazione del processo
Gli Stati Membri, le Autorità di Controllo, il comitato e la commissione incoraggiano l'istituzione di meccanismi di certificazione nonché di Sigilli e Marchi allo scopo di dimostrare la conformità al regolamento. Grazie a questa certificazione volontaria, tutte le imprese ed i loro rispettivi Titolari e Responsabili del trattamento possono, senza mai venire meno alla gestione delle procedure dei trattamenti, assicurarsi che la propria azienda sta operando in un Sistema Privacy controllato e a norma.

La normativa in dettaglio

Scopri di più

Scopri tutti i nostri servizi

Scopri di più

Richiedi più informazioni

Contattaci