Novità del Nuovo Regolamento Europeo per la gestione della Privacy

01/02/2018

C’è tempo fino al 24 Maggio 2018 per adeguarsi.

Dovere di documentazione e informazione

Principio dell’accountability (responsabilità verificabile), secondo cui tutti i soggetti che partecipano al trattamento dati devono essere informati e formati del loro ruolo e devono redigere la documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni: a prescindere dall’utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.

L’informativa privacy

Rimane l’obbligo di informare l’interessato del trattamento, l’informativa deve essere leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice con dei limitati riferimenti normativi.

Consenso

Il consenso deve essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo non equivoco, anche con un’azione positiva: non ci deve essere per forza la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all’informativa.

Valutazione d’impatto sulla protezione dei dati

Si deve effettuare una valutazione degli impatti privacy analizzando i rischi, definendo i limiti rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi. Il DPS viene sostituito dal PIA: Privacy Impact Assessment.

Abolizione della notificazione

Non si dovranno più effettuare notifiche al Garante, ma ogni anno l’azienda dovrà redigere il privacy impact assessment, con il quale si considera effettuata la notifica.

Il Data Protection Officer

E’ una nuova figura prevista nel Regolamento Europeo il quale prevede che bisogna istituire (per tutti gli enti pubblici e per aziende il cui core business coinvolge trattamenti di natura rischiosa) un responsabile per la protezione dei dati. Il DPO (o RPD) sarà una figura manageriale con rinnovo periodico, sarà referente del Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore esterno con regolare contratto.

Privacy by design e Privacy by default

Con il nuovo regolamento la privacy deve essere vista come un elemento iniziale: alla gestione ed alla tutela del dato devo pensarci appena decido di raccogliere dati e predisporre alti livelli di privacy nel trattamento dati.

Obbligo di segnalazione in caso di violazione dei dati

Nel caso di violazione del trattamento dati bisogna effettuare una segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, bisogna informare anche i diretti interessati. Il mancato rispetto di quest’obbligo comporta sanzioni penali. È possibile prevedere delle assicurazioni per coprire il costo di comunicare la violazione a tutti gli interessati, definito Data Breach.

Nuovi diritti

Diritto alla portabilità dei dati: e possibile pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore,
Diritto all’oblio: diritto ad essere totalmente dimenticato da chi ha raccolto i miei dati.

A cura dell’Avvocato, esperto di Privacy, Verusca Grendene