Informativa sul nuovo Regolamento europeo in materia di privacy.

03 maggio 2018

Circolare n. 6 del 3 maggio 2018 

Oggetto: Informativa sul nuovo Regolamento europeo in materia di privacy.                     

A distanza di 19 anni dall'entrata in vigore della prima legge sulla privacy il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 che entrerà in vigore il prossimo 25 maggio 2018.

Con l’avvento di tale regolamento le aziende, necessariamente, dovranno affrontare il tema della “compliance” privacy avendo come mercato di riferimento non solo l’Italia ma tutti gli Stati dell’Unione Europea in cui operano.

In particolare i nuovi adempimenti privacy previsti dalla normativa europea saranno numerosi ed impegnativi e dovranno comportare la riformulazione delle strategie di business, la riorganizzazione dei processi aziendali, la riprogettazione del sistema informativo e la revisione di contratti, deleghe e nomine.

Pertanto, le imprese -così come le pubbliche amministrazioni- avranno tempo fino al 24 Maggio 2018 per ripensare i processi di trattamento dei dati adattandosi a novità come le valutazioni di impatto e i sistemi di certificazione e di notificazione delle violazioni. Nei casi in cui sarà necessario, le aziende dovranno inoltre dotarsi di un privacy officer (Responsabile della protezione dei dati).

Ecco in sintesi le novità di maggior rilievo:

 

1) individuazione dei soggetti a cui si applica il Regolamento.

A differenza del passato ove la legge applicabile era quella del luogo in cui aveva sede il Titolare del trattamento dei dati a partire dal 25 maggio 2018 la competenza sarà determinata dal luogo in cui risiederà il soggetto i cui dati verranno raccolti. Pertanto, social network, piattaforme web e motori di ricerca saranno soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’Unione Europea.

 

2) dovere di documentazione e informazione.

Con il Nuovo Regolamento Europeo viene sancito il principio dell’accountability (c.d. responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non sarà in grado di documentare potrà essere sottoposto a sanzioni altamente afflittive.

 

3) l’informativa ed il consenso.

L’informativa dovrà essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto.

Il consenso dovrà essere libero, specifico, informato e inequivocabile. Il consenso sarà valido se la volontà verrà espressa in modo NON equivoco, anche con un’azione positiva: non ci dovrà essere per forza la casella di spunta, basterà un testo in cui si informa che proseguendo si accetterà il trattamento dati con link all’informativa.

 

4) viene richiesta l'effettuazione di una “valutazione di impatto sulla protezione dei dati” nel caso di trattamenti automatizzati, ivi compresa la profilazione, nel trattamento su larga scala di categorie particolari di dati o per i dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico;

 

5) viene inserita una nuova figura – e professionalità – che va ad affiancarsi agli altri soggetti già presenti nel Codice Privacy (titolare, responsabile ed incaricato del trattamento dei dati).

Tale figura è quella del c.d. Data Protection Officer (D.P.O.) ossia il responsabile della protezione dei dati. Il D.P.O. dovrà essere obbligatoriamente presente all'interno di tutte le aziende pubbliche nonché in tutte quelle private con più di 250 dipendenti od ove i trattamenti presentino specifici rischi (monitoraggio su larga scala o trattamento dei dati sensibili).

Il D.P.O. potrà essere un dipendente della società titolare del trattamento o, in alternativa, assolvere i propri compiti in base ad un contratto di servizi. Ogni azienda dovrà fornire i dati di contatto agli interessati ed al Garante (per i compiti specifici del D.P.O. si rinvia alla scheda informativa pubblicata sul sito del Garante della Privacy “http://www.garanteprivacy.it/rpd");

 

6) viene inserito l'obbligo per ogni azienda titolare del trattamento dei dati di tenere un “registro delle attività di trattamento” svolte sotto la propria responsabilità sarà quindi necessaria la presenza di un documento ove rendicontare tutte le attività in materia di protezione e circolazione dei dati personali che lo riguardano. La ratio evidentemente è quella di dimostrare la conformità del titolare o del responsabile del trattamento alle disposizioni del Regolamento;

 

7) viene riconosciuto il “diritto all'oblio” ovvero la possibilità per l'interessato di decidere che siano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali non più necessari per le finalità per le quali erano stati raccolti;

 

8) viene stabilito il diritto alla “portabilità” dei dati in virtù del quale l'interessato ha il diritto di ricevere in un formato strutturato i dati personali che lo riguardano forniti inizialmente ad un titolare del trattamento;

 

9) viene introdotto il principio della “privacy by desing e by default” per il quale si dovranno adottare sin dalla fase della progettazione adeguate misure tecniche organizzative ed i dati dovranno essere trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini.

 

Da ultimo, ma non per ordine di importanza, vale la pena ricordare il regime sanzionatorio disciplinato dal nuovo Regolamento. Il “costo” di una mancata compliance normativa è infatti destinato a salire notevolmente rispetto al passato (nei casi più gravi fino a 20 milioni di euro, o se superiore, fino al 4% del fatturato annuo mondiale).

 

In considerazione di tutto quanto precede l'entrata in vigore del Regolamento Europeo dovrà essere considerata un'opportunità per rivedere ed aggiornare le procedure interne e verificare che la sicurezza del sistema informatico di ogni singola azienda sia in linea con i parametri degli altri stati membri dell'Unione; ciò deve essere fatto da consulenti specializzati in materia e nel caso in cui desideriate approfondire l’argomento possiamo mettervi a disposizione un team di consulenti in materia.

A disposizione porgiamo cordiali saluti.

Archivio news

 

News dello studio

apr12

12/04/2024

DL 30.12.2023 n. 215 (c.d. “Milleproroghe”), conv. L. 23.2.2024 n. 18 - Principali novità

Circolare n. 9 del 12 aprile 2024   Oggetto:     DL 30.12.2023 n. 215 (c.d. “Milleproroghe”), conv. L. 23.2.2024 n. 18 - Principali novità   Con il

apr11

11/04/2024

DL 29.3.2024 n.39 (c.d. “DL agevolazioni fiscali”) - Principali novità

Circolare n. 8 del 11 aprile 2024  Oggetto:     DL 29.3.2024 n.39 (c.d. “DL agevolazioni fiscali”) - Principali novità    Il DL 29.3.2024 n. 39,

apr10

10/04/2024

Il concordato preventivo biennale (DLgs. 12.2.2024 n. 13) - Analisi della disciplina

 Circolare n. 7 del 10 aprile 2024   Oggetto:     Il concordato preventivo biennale (DLgs. 12.2.2024 n. 13) - Analisi della disciplina Il nuovo concordato preventivo

News