Con l’entrata in vigore il 25 Maggio 2018 del Regolamento UE 2016/679 in materia di protezione dei dati personali sono state introdotte alcune novità ed adempimenti per tutte le imprese ed aziende che trattano dati personali.

L’aspetto più significativo è sicuramente il cambio di approccio rispetto al Codice Privacy in vigore in Italia fino al 24 Maggio 2018, in particolare all’Allegato B (Disciplinare Tecnico delle Misure Minime di Sicurezza). Il nuovo Regolamento Europeo sulla Privacy non definisce requisiti specificati in termini precisi ma sposta la responsabilità di definire le misure di sicurezza idonee a garantire la Privacy dei dati personali trattati sul Titolare o Responsabile del trattamento. La definizione delle misure deve avvenire dopo un’attenta analisi dei rischi.

Dunque non ci sono più misure minime, ma solo misure di sicurezza. Queste misure devono essere progettate dal Titolare oppure dal Responsabile del trattamento a seguito l’analisi dei rischi che incombono sui dati personali.

Naturalmente questa analisi deve essere condotta in relazione alle proprie esigenze ed alle particolari caratteristiche dei dati e del loro trattamento. Sottolineiamo quest’ultimo aspetto: le misure di prevenzione vanno poste in atto prima di iniziare il trattamento.

Poiché a livello nazionale la legislazione italiana ed il Garante per la Protezione dei Dati Personali hanno seguito il percorso europeo, a partire dalla Direttiva Europea 46/95, a livello di principi sulla privacy non ci sono differenze significative tra normativa italiana e Regolamento Europeo. Infatti, alcune regole già imposte dal Codice Privacy e dalle successive disposizioni del Garante restano valide, anche se con contorni un po’ meno definiti da criteri oggettivi. In sostanza:

  • Viene regolamentato solo il trattamento di dati personali di persone fisiche (non giuridiche) per scopi diversi dall’uso personale.
  • Resta una distinzione fra trattamento di dati personali comuni (nome, cognome, etc) e trattamento di dati c.d. sensibili (sesso, condizione familiare, dati su salute, etc). Questa distinzione, introdotta dal D. Lgs 196/2003, non viene utilizzata nel Regolamento UE 679. Viene lasciata però la possibilità agli Stati membri di stabilire una disciplina particolare in merito.
  • Rimangono gli obblighi di informare l’interessato sull’uso che verrà fatto dei suoi dati personali.
  • Permangono gli obblighi di ottenere il consenso per i trattamenti non necessari o per i trattamenti di particolari tipi di dati (ad esempio quelli idonei a rivelare lo stato di salute delle persone, le origini razziali, le idee religiose, ecc.)

Tra gli elementi che cambiano vi sono sicuramente:

  • La denominazione ed i ruoli degli attori: il Titolare del trattamento rimane tale. Il Responsabile del trattamento è ora responsabile in solido con il titolare per i danni derivanti da un trattamento non corretto. L’incaricato (ex. D. Lgs 196/2003, “sub-responsabile” secondo il nuovo Regolamento) rimane il soggetto che fisicamente tratta i dati, ma tale ruolo non è delegabile, se non attraverso uno specifico accordo contrattuale. Il responsabile può individuare un proprio rappresentante.
  • I dati personali trattati devono essere protetti con misure organizzative e tecniche adeguate a garantirne la riservatezza e l’integrità.
  • I diritti dell’interessato sono più ampi e maggiormente tutelati.
  • Il Responsabile del Trattamento deve mettere in atto misure tecniche ed organizzative tali da consentirgli di dimostrare che tratta i dati personali in conformità al Regolamento. Tali misure devono seguire lo stato dell’arte e devono derivare dall’analisi dei rischi che incombono sui dati, secondo relativa gravità e probabilità.
  • Privacy by default: devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso. Non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.
  • Privacy by design: ogni nuovo trattamento di dati personali dovrà essere progettato in modo da garantire la sicurezza richiesta in base ai rischi a cui è sottoposto prima di essere implementato. Anche i sistemi informatici dovranno essere progettati secondo tale principio.
  • Possono esserci più responsabili per un medesimo trattamento che risulteranno corresponsabili di eventuali trattamenti non conformi. Si dovranno stabilire congiuntamente le rispettive responsabilità.
  • Le imprese con sede al di fuori dell’Unione Europea che trattano dati personali di interessati residenti nella UE dovranno eleggere una propria organizzazione o entità (all’interno della UE) che sarà responsabile di tali trattamenti.
  • Devono essere mantenuti registri dei trattamenti di dati effettuati con le informazioni pertinenti e le relative responsabilità.
  • Il Responsabile del Trattamento deve notificare all’Autorità competente — e, in casi gravi, anche all’interessato — ogni violazione dei dati trattati (data breach) entro 72 ore dall’evento.
  • Quando un trattamento presenta dei rischi elevati per i dati personali degli interessati, il Responsabile del Trattamento deve effettuare una Valutazione di Impatto Preventiva (DPIA), prima di iniziare il trattamento.
  • È richiesta la designazione di un Responsabile della Protezione dei Dati (Data Protection Officer o RPD nell’accezione italiana). Il RPD deve essere individuato nelle Aziende Pubbliche e nelle organizzazioni che trattano dati sensibili o giudiziari su larga scala. Inoltre deve essere designato nel caso in cui la tipologia di dati trattati e la loro finalità richieda il monitoraggio regolare e sistematico degli interessati su larga scala.

La nostra società è in grado di offrire i seguenti servizi:

  • Consulenza per la gestione della Sicurezza dei Dati (Privacy)
  • Assistenza al Titolare del trattamento per la realizzazione della Valutazione di Impatto Preventiva (DPIA)
  • Consulenza al Titolare del trattamento per la realizzazione del Registro dei trattamenti
  • Assunzione dell’incarico di Responsabile di Protezione dei Dati (RPD) e conseguente assolvimento dei compiti previsti dal Regolamento
  • Formazione ed informazione al personale coinvolto nelle attività, in funzione della complessità dell’azienda

Per maggiori informazioni, manda una email a info@qes.toscana.it oppure metti mi piace alla nostra pagina Facebook “FAQ D.Lgs 81/08 e DPGR Privacy

Menu