Il 25 maggio 2018 entrerà in vigore il nuovo regolamento sulla Privacy.

Il General Data Regulation, regolamento Europeo per il trattamento dei dati personali, dal entrerà in vigore il 25 maggio 2018.

Ci teniamo a precisare che le aziende inadempienti potranno essere sottoposte a sanzioni amministrative fino a un valore massimo pari al 4% del fatturato dell’esercizio fiscale precedente.

Per questi motivi diventa necessario aggiornarsi su tutte le richieste introdotte nel regolamento.

Il GDPR si basa su diversi principi fondamentali, tra i quali:

 L’autodeterminazione informativa.

Secondo cui è il singolo a determinare se e entro quali limiti rendere noti i fatti legati alla propria vita personale. Nella pratica questo si traduce con un aumento dei diritti dei cittadini ad avere accesso ai propri dati personali, ma soprattutto con un più stringente obbligo di informazione da parte di coloro che trattano i dati, che dovranno fornire al singolo la corretta informazione su quali siano i dati trattati, con quali finalità, su quali basi giuridiche e quali siano i suoi diritti e le modalità per esercitarli.

Le finalità della raccolta dei dati è il punto fondamentale di questo principio, poiché essi devono essere raccolti in modo coerente e non eccedente alla finalità del loro utilizzo.

 Il diritto alla portabilità dei dati.

Ovvero la possibilità da parte del cittadino di trasferire i propri dati personali da un titolare a un altro con una procedura semplice e veloce. Questo principio garantisce una maggiore concorrenza tra i servizi telematici alimentando l’innovazione e lo sviluppo.

 Il diritto alla cancellazione, secondo cui l’individuo ha diritto alla cancellazione dei propri dati personali senza ingiustificato ritardo, quando non sono più necessari, quando revoca il consenso o si oppone al trattamento e quando i dati sono trattati illecitamente.

Il principio di stabilimento.

Impone che le società che si trovano al di fuori dell’Unione europea, ma che trattano i dati dei cittadini residenti in UE siano soggetti alla legislazione europea. Dal momento, però, che ogni stato europeo ha la facoltà di adattare il Regolamento alle proprie leggi interne, per ridurre la complessità del decreto, con il Principio dello Sportello Unico è stato deciso che la società, per il trattamento dei dati deve rispettare la legislazione del paese in cui ha la sede principale.

Il Principio di Responsabilizzazione.

Uno dei pilastri della normativa, esprime il dovere di “rendere conto del proprio operato” da parte delle aziende che trattano i dati. Il titolare dei dati personali deve dimostrare di aderire alla norma in modo sostanziale e non solo formale. L’approccio al regolamento è risk-based e considera il “rischio” come il possibile impatto negativo sui diritti dell’individuo. La valutazione del suddetto è delegata alla società ma si consiglia di attenersi al parere del gruppo di lavoro dell’Articolo 29.

Il Privacy by Design, il principio secondo cui la privacy e la tutela dei dati, insieme agli strumenti e alle misure adeguate, devono essere previsti sin dall’inizio della progettazione, piuttosto che corretti in un secondo momento.

 Il Data Breach, altro pilastro della normativa, prevede che in caso di violazione dei dati (come l’attacco informatico, la divulgazione, la distruzione, la perdita, la modifica o l’accesso non autorizzato) deve essere comunicata all’Autorità di Controllo nel caso in cui si ritenga che da questa violazione vi possano derivare danni ai diritti degli interessati. La comunicazione deve avvenire entro 72 ore e deve essere documentata per consentire il controllo della corretta implementazione delle norme.

Il DPO (Data Protection Officer), è la nuova figura prevista dal regolamento europeo per facilitare l’attuazione delle norme.Il DPO ha il compito di informare titolare e dipendenti sugli obblighi previsti dalle norme, verificare che le suddette vengano implementate correttamente e rappresenta, inoltre, il punto di contatto tra la società e le autorità di controllo.Il DPO è designato dal titolare e non deve avere una formazione specifica, ma occorre che abbia una conoscenza approfondita della materia. La designazione di questa figura è obbligatoria per le società che trattano dati sensibili e per le pubbliche amministrazioni.

 

Come prepararsi al GDPR?

Si suggeriscono di seguito i passi essenziali:

  • Aggiornamento delle regole interne e verifica della preparazione del personale, eventuale adeguamento.
  • Controllo dei dati trattati, verifica della finalità del trattamento e delle basi giuridiche.
  • Redazione del registro dei trattamenti e valutazione dei rischi.
  • Aggiornamento dell’informativa, con specificazione dei dati trattati, della finalità, della base giuridica e dei diritti degli interessati.
  • Verifica delle modalità di ottenimento del consenso.
  • Instaurazione di una procedura per la verifica dell’età degli interessati.
  • Verifica e adeguamento delle procedure per l’esercizio dei diritti degli interessati.
  • Eventuale designazione di un Data Protection Officer.