Questo sito utilizza cookies propri e di terzi al fine di consentirti la migliore esperienza nel suo utilizzo. Se procedi con la navigazione accetti la loro presenza.

Policy dei cookies

Privacy: Nuovo regolamento Europeo

PREMESSA

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento sulla protezione dati personali e la libera circolazione dei dati personali, che si applicherà a decorrere dal 25 maggio 2018.

Il Regolamento abroga la Direttiva 95/46/CE, attuata in Italia prima con la legge 675/96 e successivamente con il Codice Privacy (d lgs 196 2003), e si applicherà direttamente in tutti gli Stati Membri senza necessità di un intervento legislativo dei medesimi a tal fine.

La Direttiva Privacy fu adottata quando Internet non era ancora diffuso, i social network, le app o l’Internet of Things (cioè la possibilità per oggetti comuni di essere connessi a Internet e raccogliere enormi quantità di dati relativi ai comportamenti delle persone) non esistevano. Le tecnologie che si sono diffuse negli ultimi anni e la internazionalizzazione dei flussi di dati hanno significativamente aumentato il rischio per gli individui di diminuire o perdere il controllo sui propri dati.

CAMPO DI APPLICAZIONE DEL REGOLAMENTO

Il Regolamento si applica a tutti i trattamenti che siano effettuati da un titolare stabilito nel territorio dell’Unione Europea, nonché da tutti i soggetti (titolari o responsabili) stabiliti fuori dall’Unione Europea nel caso in cui il trattamento dati personali riguardi l’offerta di beni o servizi nell’Unione Europea, indipendentemente dalla obbligatorietà del pagamento, o il monitoraggio di comportamenti che hanno luogo nell’Unione.

ASPETTI INTRODOTTI DAL REGOLAMENTO

Analizziamo, ora, alcune delle novità di maggior rilievo.
Tra le prime, merita sicuramente attenzione particolare una nuova figura – e professionalità – che va ad affiancarsi alla nomenclatura già conosciuta nel nostro Codice Privacy, ovvero al "titolare", al "responsabile" e all' "incaricato" del trattamento dei dati.
Tale nuova figura è quella del. Data Protection Officer ("DPO"), il "responsabile della protezione dei dati".
Il DPO dovrà essere obbligatoriamente presente all'interno di tutte le aziende pubbliche nonché in tutte quelle ove i trattamenti presentino specifici rischi, come ad esempio le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli "interessati", su larga scala, e quelle che trattano i c.d. "dati sensibili".
Le società facenti parte di uno stesso gruppo, a livello nazionale o transfrontaliero, potranno nominare un unico DPO, a condizione che lo stesso sia facilmente raggiungibile da ciascuna società del gruppo stesso.

codice privacy

Altra novità di rilievo, è l'introduzione dell'obbligo, per ogni azienda titolare del trattamento dei dati, di tenere un "registro delle attività di trattamento", svolte sotto la propria responsabilità, nonché quello di effettuare una "valutazione di impatto sulla protezione dei dati".

Quest'ultimo adempimento, in particolare, è richiesto ad esempio in relazione ai trattamenti automatizzati, ivi compresa la profilazione, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico. Sarà ad ogni modo il Garante Privacy (per quanto riguarda l'Italia), a redigere e rendere pubblico l'elenco delle tipologie di trattamenti soggetti al requisito della "valutazione di impatto sulla protezione dei dati".

Il Regolamento  introduce anche una serie di obblighi per le imprese che trattano dati personali, in una ottica di maggiore tutela per gli interessati: vanno in questa direzione  l’obbligo di protezione dei dati fin dalla progettazione (Privacy by Design) e di protezione per impostazione predefinita (Privacy by Default).

L’informativa privacy e il consenso espresso dell’interessato restano i principi cardine per la protezione dei dati personali, se pure con alcune specificazioni: ad esempio, nel caso in cui esista un processo decisionale automatizzato che riguardi l’interessato (ad esempio in caso di profilazione) l’informativa dovrà contenere anche i dettagli sulla logica utilizzata e le conseguenze di tale trattamento per l’interessato,

Il regolamento contiene previsioni sul diritto degli interessati di accesso e rettifica dei dati personali che li riguardano, e  introduce nuovi diritti che non erano previsti espressamente dalla Direttiva:

il "diritto all'oblio", ovvero la possibilità per l'interessato di decidere che siano cancellati e non sottoposti ulteriormente a trattamento i propri dati personali non più necessari per le finalità per le quali sono stati raccolti, nel caso di revoca del consenso o quando si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento;
il diritto alla "portabilità dei dati", in virtù del quale l'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora l'interessato abbia fornito il proprio consenso al trattamento o se questo sia necessario per l'esecuzione di un contratto;

Inoltre il Regolamento sancisce il principio di "accountability", per cui il titolare dovrà dimostrare l'adozione di politiche privacy e misure adeguate in conformità al Regolamento; introduce il principio della "privacy by design" (dal quale discende l'attuazione di adeguate misure tecniche e organizzative sia all'atto della progettazione che dell'esecuzione del trattamento) nonché quello della "privacy by default" (che ricalca il principio di necessità di cui all'attuale disciplina, stabilendo che i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini).

CONCLUSIONI

Le imprese che si occupano del trattamento dati personali avranno un anno per adeguarsi ad una nuova normativa che si inserisce su quella esistente, la quale, a meno che non sia oggetto di una specifica abrogazione, continuerà ad esistere ed essere applicabile. Nei prossimi mesi lo sforzo sarà quello di prepararsi a queste nuove previsioni e dissipare i dubbi interpretativi dovuti alla coesistenza di norme diverse che regolano gli stessi fenomeni, anche tenendo conto dei provvedimenti adottati dal Garante nei venti  anni di protezione dei dati personali in Italia.

Vuoi sapere di più rispetto alla privacy? 

Iscriviti subito al corso di formazione!

Hai bisogno di consulenza per quanto riguarda la privacy? Ecco i nostri servizi di consulenza

 

  • All
  • Consulenza
  • Corsi Sicurezza
  • Formazione
  • Default
  • Title
  • Date
  • Random
load more hold SHIFT key to load all load all