office:  088 666 9939 – 088 675 1052

Лични данни България

dati personali Bulgaria

Regolamento europeo privacy : ecco cosa è cambiato 

Questi sono i documenti scaturiti da una consulenza GDPR per uno studio di avvocati

Il GDPR fonda le sue basi sull’art 5.2 “accountability” ovvero, il Titolare del Trattamento deve essere in grado di dimostrare la propria “responsabilizzazione” e, per poter essere in regola in caso di controllo, deve produrre la documentazione minima richiesta, ovvero il Registro dei Trattamenti, la Analisi del Rischio, le Misure di Sicurezza adottate, il Manuale Privacy e dimostrare la Formazione sua e del personale; oramai tutti sanno che in caso di mancato rispetto degli obblighi in materia di Privacy, il Regolamento Europeo (GDPR) prevede Sanzioni Amministrative fino a 20.000.000,00 € oppure fino al 4% del fatturato se maggiore di tale importo.

Per considerarsi in regola (essere compilant come prescritto dal Regolamento) non basta scaricare un modello documentale in internet o copiare i documenti rilasciati dai consulenti ad altri colleghi;

si devono formare agli autorizzati attraverso un Manuale della Privacy e sotto la guida di un consulente (altrimenti si incorre nel conflitto di interesse), si devono redigere e tenere i registri del trattamento e dei data breach, effettuare la valutazione dei rischi ed adottare le misure di sicurezza; questo è ciò che riesce difficile far comprendere! Essere compliant vuol dire sviluppare tutta l’attività di analisi e di governance dei dati personali effettuando una seria analisi dell’intera struttura.

Informative e consensi non bastano ad evitarvi multe salatissime!

1 – Individuazione dei soggetti a cui si applica il Regolamento

Vecchia regola = la normativa era applicabile nel luogo in cui aveva sede il Titolare del trattamento dei dati. Nuovo Regolamento Europeo = la legge applicabile è quella del soggetto a cui vengono raccolti i dati. Social network, piattaforme web e motori di ricerca saranno quindi soggetti alla normativa europea anche se sono gestiti da società con sede fuori dall’UE. Con il nuovo regolamento viene confermata la figura del Titolare del Trattamento e viene abolita quella del Responsabile Interno, sostituita dall’Incaricato

2 – Dovere di documentazione e informazione

Vecchia regola = la documentazione era importante. Nuovo Regolamento Europeo = vale il principio dell’accountability (responsabilità verificabile, ovvero responsabilizzazione), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere consci e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili. questa è la documentazione necessaria per una piccola-media impresa o un professionista con dipendeti

3 – L’informativa privacy

Vecchia regola = l’informativa era spesso lunga, incomprensibile e con richiami normativi complessi. Nuovo Regolamento Europeo = l’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto (oralmente va bene SOLO se l’interessato è d’accordo e la sua identità deve comunque essere comprovata con altri mezzi). Varrà anche l’utilizzo di icone, per rendere l’informativa leggibile anche da parte di chi non conosce la lingua.

4 – Cambia il consenso

Vecchia regola = il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati. Nuovo Regolamento Europeo = il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo NON equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.

5 – Valutazione d’impatto sulla protezione dei dati

Vecchia regola = si preparava il DPS.  https://www.depositprotection.com/ Nuovo Regolamento Europeo = si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi; occorrerà quindi affidarsi alla consulenza di un esperto del settore.

6 – Abolizione della notificazione

Vecchia regola = si doveva informare il Garante che un soggetto sta trattando dati per una particolare finalità. (ex art. 37 D.lgs. 196/2003) Nuovo Regolamento Europeo = non si dovrà più notificare il Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera effettuata la notifica.

7 – Il Data Protection Officer

Prima = il DPO non era una figura contemplata. Nuovo Regolamento Europeo = per tutti gli enti pubblici, per aziende il cui core business coinvolge trattamenti di natura rischiosa, per le aziende con più di 250 dipendenti, adesso vige l’obbligo di istituire la figura di un DPO, ovvero il responsabile per la protezione dei dati. Il DPO sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.

8 – Privacy by design e Privacy by default

Vecchia regola = la privacy era un elemento conclusivo e finale. Nuovo Regolamento Europeo = la privacy deve essere vista come un elemento iniziale: devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati, che potranno essere abbassati dal diretto interessato.

9 – Obbligo di segnalazione in caso di violazione dei dati

Vecchia regola = non era necessario comunicare violazioni nel trattamento dati. Nuovo Regolamento Europeo = nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach.

10 – Riconoscimento di nuovi diritti

Vecchia regola = erano pochi i diritti che tutelavano l’interessato in merito alla gestione dei suoi dati. Nuovo Regolamento Europeo = nuovi diritti:
  1. diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore)
  2. diritto a essere totalmente dimenticato da chi ha raccolto i miei dati.

Inoltre vi sono altre importati novità:

  • Introdotte le definizioni di “Dato Generico” e “Dato Biometrico”
  • Introdotta la categoria del trattamento dati dei minori
  • Introduzione della Cotitolarità nel trattamento dei dati
  • Introduzione del Diritto all’Oblio
  • Introduzione della figura del Joint Controller
  • Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi
  • Introduzione del principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni e servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’UE  molto importante !