6 settembre 2017

Consulenza Privacy

Nuovo Regolamento Europeo (GPDR)

Sono passati circa vent’anni dall’emanazione della prima direttiva Europea in tema di Privacy (Dir. 95/46/CE) e adess0 cambiano le regole in Europa: in data 14 Aprile 2016 è stato approvato dal Parlamento Europeo il nuovo Regolamento Europeo 2016/679, che è entrato in vigore il 25 Maggio 2016: le imprese e le pubbliche amministrazioni hanno ad oggi un anno (sino al 25 maggio 2018) per adeguarsi alle nuove regole.

Il periodo di un anno non è poi così ampio: gli adempimenti previsti dal Regolamento Europeo Privacy, infatti, sono numerosi ed impegnativi e comportano la riformulazione delle strategie di business, la riorganizzazione dei processi aziendali, la riprogettazione del sistema informativo e la revisione di contratti, deleghe e nomine.

È importante mettersi subito all’opera: il Regolamento, infatti, prevede l’obbligo per il Titolare ed il Responsabile del trattamento di adottare misure sia tecniche sia organizzative idonee ed adeguate a garantire un livello di sicurezza dei dati che tenga conto della continua evoluzione tecnologica in uno con la natura, l’oggetto e le finalità del trattamento.

Qui di seguito una sintesi delle principali novità:

Il Data Protection Officer OFFICER (DPO)

Il Regolamento (UE) 2016/679 si basa sul concetto di ‘accountability’, intesa come responsabilizzazione del titolare, a cui verranno demandate alcune funzioni che tradizionalmente erano svolte dal Garante.

Tra le tante novità introdotte dal nuovo Regolamento (UE) 2016/679 sulla Privacy, la figura del Responsabile della protezione dei dati, o Data Protection Officer (DPO) riveste un ruolo cruciale.

Il Regolamento (UE) 2016/679 si basa infatti sul concetto di “accountability”, intesa come responsabilizzazione del titolare, a cui verranno demandate alcune funzioni che tradizionalmente erano svolte dal Garante per la protezione dei dati personali. Una delle attività di maggior rilievo che il titolare dovrà compiere è la valutazione d’impatto sulla protezione dei dati prima di effettuare operazioni di trattamento (art. 35 del Regolamento), e la consultazione dell’Autorità nei casi di rischio particolarmente elevato per gli interessati (art. 36 del Regolamento).

Affidando a Consilia la nomina del tuo Data Protection Officer (DPO), garantirai alla tua azienda il pieno rispetto della normativa in materia di protezione dei dati personali prevista dal Regolamento Europeo Privacy.

In particolare i ns. Consulenti Esperti in Privacy gestiranno in outsourcing tutti gli adempimenti previsti dal Regolamento Europeo Privacy per la figura del Responsabile della Protezione dei Dati tra cui:

  • informazione e consulenza privacy
  • monitoraggio del rispetto della normativa in materia privacy
  • supervisione dello svolgimento di valutazioni d’impatto sulla protezione dei dati
  • punto di contatto e cooperazione con le Autorità Garanti Privacy

 Il registro delle attività di trattamento

Il Titolare o il Responsabile avrà l’obbligo di tenuta di un registro delle attività di trattamento effettuate al fine di dimostrare la conformità alle disposizioni del Regolamento.

Il registro, che potrà avere anche formato elettronico, dovrà contenere una descrizione delle misure di sicurezza tecniche e organizzative e, su richiesta, dovrà essere messo a disposizione dell’autorità di controllo.

Il Privacy Impact Assessment

In determinati casi, le imprese pubbliche e private, prima di procedere al trattamento, dovranno effettuare una valutazione dell’impatto (privacy impact assessment).

Il Privacy Impact Assessment (Documento di valutazione d’impatto nel trattamento dei dati) è una vera e propria analisi di rischio effettuata su elementi concreti.

In tale documento occorre considerare quali dati verranno trattati, quali sono i rischi concreti dati dall’utilizzo di tali dati e quali cautele possono essere messe in atto per prevenire e risolvere tali criticità. Il documento comprende una lista di potenziali rischi o criticità e un programma per la loro gestione e risoluzione.

Il Diritto all’Oblio

Riconosciuto sino ad oggi solo a livello giurisprudenziale (sentenza emessa contro Google dalla Corte di Giustizia europea), è ora istituzionalizzato a livello normativo: l’interessato può decidere che siano cancellati e non ulteriormente sottoposti a trattamento i propri dati mediante revoca del consenso, se i dati non sono più necessari alle finalità per le quali sono stati raccolti, quando il trattamento non è conforme al Regolamento.

Privacy by design, portabilità dei dati, accountability, privacy by data breach, privacy by default

Il Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a dare un maggiore controllo al cittadino sull’utilizzo dei suoi dati. In particolare, è riconosciuto:

  • il diritto di essere informati in modo trasparente e dinamico sui trattamenti effettuati sui dati e l’adozione di politiche privacy e misure adeguate in conformità al Regolamento (principio di accountability- obbligo di rendicontazione);
  • il diritto di essere informati sulle violazioni dei propri dati personali (data breach notification);
  • il diritto di ricevere in un formato di uso comune, e leggibile da dispositivo automatico, i dati personali forniti a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti (portabilità dei dati).

La protezione dei dati personali deve essere valutata già nel momento di progettazione di nuove procedure con l’attuazione, quindi, di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento (data protection by design).

I dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario (privacy by default).

Non più notifica preventiva

Abrogato l’adempimento della notificazione al Garante privacy preliminare all’attività di trattamento di dati particolarmente riservati quali i dati genetici, quelli, biometrici, i dati idonei a rivelare lo stato di salute, i dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica.

Sul nostro sito usiamo cookies. We are using cookies on our website.

Per favore confermare se accettate i nostri cookies.Avete la possibilità di negare la tranciabilità, quindi potete continuare a visitare il nostro sito senza che i vostri dati vengano trasmessi a servizi terzi.

Please confirm, if you accept our tracking cookies. You can also decline the tracking, so you can continue to visit our website without any data sent to third party services.