nuovoregolam

 

E’ entrato in vigore. Dal 14 Aprile 2016 è entrato in vigore il nuovo Regolamento UE 2016/679 sulla protezione dei dati personali, che tra due anni sarà l’unico testo direttamente applicabile in tutti i Paesi membri dell’UE, ma che ad oggi professionisti e addetti ai lavori devono ancora metabolizzare nonostante la costante presenza del virus ramsonware Cryptoloker che imperversa facendo perdere i dati ai server e non solo.

Sanzioni. Il testo prevede inoltre un rafforzamento dei poteri delle Autorità Garanti nazionali e un inasprimento delle sanzioni amministrativo a carico di professionisti, imprese e pubbliche amministrazioni: nel caso di violazioni dei principi e disposizioni del regolamento, le sanzioni, in casi particolari possono arrivare fino a 10 milioni di euro o per le imprese fino al 2%-4% del fatturato globale totale annuo dell’esercizio precedente, se superiore.

Sanzioni amministrative fino a 10 milioni di euro, o in caso di un’impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui agli articoli che riguardano

  • 8 (consenso dei minori),
  • 10 (trattamenti che non richiedono l’identificazione degli interessati),
  • 23 (privacy by design e privacy by default),
  • 24 (cotitolarità del trattamento),
  • 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
  • 26 (Responsabili del trattamento),
  • 27 (istruzioni e autorità del Titolare),
  • 28 (documentazione relativa a ciascun trattamento di dati personali),
  • 29 (cooperazione con l’autorità di vigilanza),
  • 30 (sicurezza del trattamento),
  • 31 (notificazione dei data breach all’autorità),
  • 32 (comunicazione dei data breach agli interessati),
  • 33 (DPIA – Data Protection Impact Assessment),
  • 34 (consultazione preventiva dell’autorità di vigilanza),
  • 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
  • 39 e 39a (processi di certificazione).

Sanzioni amministrative fino a 20 milioni di euro, o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di principi base del trattamento, condizioni per il consenso, diritti degli interessati,  trasferimento di dati personali all’estero, mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall’autorità di vigilanza.

Perché è importante. Ottemperare alla legge sulla privacy significa avere l’impianto informatico aziendale aggiornato a tal punto da essere protetto contro qualunque   incidente di percorso possa capitare  

Avere ottemperato alla legge sulla privacy è importante la protezione delle banche dati e degli interessati del trattamento passa anche attraverso l’obbligo di segnalazione delle violazioni di dati personali, sia nei confronti del Garante, che nei confronti degli interessati.

I Titolari del trattamento dovranno quindi obbligatoriamente adottare idonee misure, tecniche ed organizzative, anche funzionali alla gestione del nuovo obbligo previsto dal Regolamento Privacy.

Il nuovo Regolamento Privacy – che sarà applicabile a decorrere dal 25 maggio 2018 ma sino ad allora sarà sempre in vigore l’attuale D.lg. 196 del 30 Giugno 2003 – l’obbligo di notifica al Garante della violazione di dati personali (definita quale “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”) diventa invece un obbligo generale per tutti i Titolari del trattamento, indipendentemente dal fatto che rientrino nelle casistiche sopra richiamate dai provvedimenti specifici del Garante italiano.In caso di violazione dei dati personali, il Titolare deve quindi notificare la violazione al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.Qualora la notifica non sia effettuata entro 72 ore,  dovrà essere giustificata ed  accompagnata dai motivi del ritardo.

La notifica dovrà almeno contenere : 

1. la descrizione della natura della violazione dei dati personali compresi, ove possibile, sia le categorie e il numero approssimativo di interessati in questione che le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

2. la comunicare con il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni.

3. la descrizione delle probabili conseguenze della violazione dei dati personali;

4. la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Il  cambiamento di prospettiva infatti che implica la nuova normativa comunitaria ha rivoluzionato completamente di fatto il concetto meramente burocratico che hanno avuto finora le aziende italiane : la protezione dei dati personali, costituisce, alla luce del nuovo regolamento, una pietra angolare nella progettazione dei servizi, programmi, software e dei processi aziendali anche delle pubbliche amministrazioni.

PRIVACY BY DESIGN, PORTABILITÀ DEI DATI, ACCOUNTABILITY, PRIVACY BY DATA BREACH, PRIVACY BY DEFAULT

Il Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a dare un maggiore controllo al cittadino sull’utilizzo dei suoi dati. In particolare è riconosciuto:

 • il diritto di essere informati in modo trasparente e dinamico sui trattamenti effettuati sui dati e l’adozione di politiche privacy e misure adeguate in conformità al Regolamento (principio di accountability- obbligo di rendicontazione);

• il diritto di essere informati sulle violazioni dei propri dati personali (data breaches notification);

• -il diritto di ricevere in un formato di uso comune, e leggibile da dispositivo automatico, i dati personali forniti a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti (portabilità dei dati).

• La protezione dei dati personali deve essere valutata già nel momento di progettazione di nuove procedure con l’attuazione, quindi, di adeguate misure tecniche e organizzative sia all’atto della progettazione che dell’esecuzione del trattamento (Privacy by design).

• I dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario (Privacy by default).

Il Diritto all’OBLIO. Riconosciuto sino ad oggi solo a livello giurisprudenziale (sentenza emessa contro Google dalla Corte di Giustizia europea), è ora istituzionalizzato a livello normativo: l’interessato può decidere che siano cancellati e non ulteriormente sottoposti a trattamento i propri dati mediante revoca del consenso, se i dati non sono più necessari alle finalità per le quali sono stati raccolti, quando il trattamento non è conforme al Regolamento.