Nuovo regolamento europeo sulla Privacy: il GDPR

GDPR è la sigla che sta per General Data Protection Regulation, ovvero il Regolamento UE 2016/679Si tratta del nuovo regolamento europeo in tema di Privacy, che entrerà ufficialmente in vigore il 25 maggio 2018. 

Dal punto di vista prettamente normativo, è importante notare che si tratta appunto di un regolamento, direttamente applicabile in tutti gli Stati membri UE e come tale sostituisce il D.Lgs. 196/2003 (il cosiddetto Codice Privacy).

  

Le novità 

  • nuovi diritti per gli utenti come portabilità e cancellazione,
  • rafforzamento dei requisiti per l’ottenimento del consenso,
  • introduzione del Data protection impact assessment,
  • introduzone della figura del DPO (Data protection Officer),
  • introduzione del Registro del trattamento
  • regole specifiche in caso di data breach.

In particolare, gli utenti possono richiedere che i loro dati in possesso del titolare del trattamento vengano cancellati, o che siano loro consegnati per essere trasferiti ad altro titolare (principio della portabilità del dato).

Inoltre, il testo chiarisce che il consenso deve essere fornito in maniera libera, specifica, informata e inequivocabile e che il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito. 

  

Il Data protection impact assessment (DPIA)

Il DPIA (Data Protection Impact Assessment) è una relazione da redigere in forma scritta e viene descritto dalla normativa come segue: "Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio. L’esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo" (GDPR , n. 84)

Dunque, con l’introduzione del GDPR, la procedura della notificazione preventiva al Garante viene abolita.

 

Il Data Protection Officer (DPO)

Il DPO o Responsabile della protezione dei dati è una nuova figura prevista dalla normativa e si può descrivere come una persona fisica, gruppo di persone o persona giuridica che si occupa della gestione delle questione della protezione dei dati all’interno di un’organizzazione.

Non è una figura certificata e non esiste un apposito albo. Secondo il GDPR, la nomina è obbligatoria quando il trattamento è effettuato da autorità o organismo pubblico oppure quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e, infine, quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari.

 

 Il Registro del trattamento

Il GDPR prevede, all’articolo 30, un importante strumento di compliance aziendale in materia di dati personali: il registro delle attività di trattamento dei dati personali. Tale obbligo riguarda però le aziende oltre i 250 dipendenti.

Queste devono quindi redigere e tenere aggiornato un registro contenente le seguenti specifiche:

  • quali dati vengono trattati,
  • le finalità del trattamento,
  • chi accede ai dati (all’interno e all’esterno),
  • se c’è trasferimento all’estero,
  • termini di cancellazione dei dati (data retention),
  • misure di sicurezza adottate.

 

 Sanzioni

Le sanzioni sono del tutto significative, potendo giungere al maggior valore fra 20 milioni di euro ed il 4% del fatturato globale.

Andrea Menegotto

www.andreamenegotto.it