E’ tempo di iniziare a pianificare gli interventi privacy

02 dicembre 2016

A decorrere dal 25 maggio 2018, troverà applicazione il nuovo Regolamento Europeo, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ della libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

I titolari del trattamento dei dati sono chiamati quindi ad arrivare preparati all’ appuntamento, adottando per tempo le misure prescritte nel Regolamento.

Molte, infatti, sono le novità e le modiche che sono state introdotte rispetto all’attuale codice privacy, che troverà applicazione solo in merito alle disposizione che fanno riferimento alla Direttive 2002/58/CE, attinente al trattamento dei dati nel quadro della fornitura dei servizi di comunicazione elettronica.

Va rilevato che il citato Regolamento UE introduce una visione “privacy-centrica” nel modello aziendale, dove diventa essenziale per i titolari del trattamento dei dati, non solo l’implementazione di misure di sicurezza, ma anche quelle sulla privacy, stante l’incremento delle prescrizioni sanzionatorie.

Il nuovo Regolamento UE mira quindi ad indurre il Titolare del trattamento dei dati personali a rivedere i modelli di informativa privacy per ottenere il consenso al trattamento dei dati, tenuto altresì conto anche del rafforzamento del diritto di controllo e di accesso ai dati da parte dell’interessato.

Il Regolamento rafforza la responsabilità del Titolare del Trattamento, che e’ chiamato a mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento e’ effettuato a norma di legge. In particolare, viene disciplinato in dettaglio l’obbligo di tenuto del Registro dei Trattamenti.

Molte novità riguardano il Responsabile “esterno” del Trattamento dei dati, che dovra’ essere incaricato con uno specifico contratto o altro atto giuridico a norma del diritto UE, e dovra’ svolgere i compiti elencati nel Regolamento.

Non solo, i titolari del trattamento dei dati, quali gli organismi pubblici, societa’ le cui attività principali richiedono il “monitoraggio regolare e sistematico degli interessati su larga scala” (come possono essere le societa’ di servizi di comunicazione elettroniche), e le societa’ che trattano dati particolari (quali dati sensibili, dati genetici e biometrici, e dati ) e dati penali, saranno obbligati ad avere un Data Processor Officer (DPO) che dovra’  svolgere una funzione di garanzia per tutto cio’ che concerne le questione riguardanti la protezione dei dati personali. IL DPO puo’ essere un dipendente del Titolare del Trattamento o del Responsabile del Trattamento oppure assolvere i suoi compiti in base a un contratto di servizio.

Il Titolare del Trattamento dei dati dovra’ inoltre predisporre e/o rivedere le misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che comprendano la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità’ e l’accesso dei dati personali, in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento. Il livello di sicurezza va valutato anche tenendo conto dei rischi del trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso in modo accidentale, o illegale, a dati personali trasmessi, conservati o comunque trattati. L’uso di nuove tecnologie per il trattamento dei dati implica, inoltre, un obbligo del Titolare ad eseguire una valutazione di impatto dei trattamenti previsti, soprattutto se il trattamento concerne una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basati su trattamenti automatizzati, compresa la profilazione; il trattamento su larga scala di dati particolari e dati penali; e la sorveglianza su larga scala di una zona accessibile al pubblico.

Il Regolamento prevede inoltre un’estensione a tutti i titolari del trattamento dei dati - e non solo quindi agli operatori di servizi di comunicazione elettronica - l’obbligo di notifica al Garante in caso di violazione dei dati personali (data breach), e di documentazione di qualsiasi violazione dei dati, e l’obbligo di notifica all’interessato, se la violazione e’ suscettibile di presentare un rischio elevato per i diritti e le libera’ della persona fisica. Tale obbligo di comunicazione alla persona fisica viene a cadere se ad esempio il titolare ha predisposto le misure tecniche ed organizzative adeguate e tali misure sono state applicate ai dati personali oggetto della violazione.

In ogni modo, moltissime sono le novità introdotte dal Regolamento, e i titolari del trattamento devono quanto prima programmare interventi adeguati in termini di privacy aziendale.

Avv. Silvia Giampaolo

Archivio news

 

News dello studio

ott30

30/10/2024

Legittimo Interesse

EDPB avvia la consultazione pubblica su "Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) del GDPR: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en Le

ott7

07/10/2024

Calcio: alcune delle norme della FIFA in materia di trasferimenti internazionali di calciatori professionisti sono contrarie al diritto dell'Unione

La Sentenza della Corte di Giustizia dell'UE  nella causa C-650/22 | FIFA ha stabilito che le norme FIFA ostacolano la liberta` di circolazione dei giocatori e restringono la concorrenza

ott7

07/10/2024

Avvio della consultazione pubblica concernente il procedimento istruttorio di identificazione e analisi dei mercati della terminazione delle chiamate vocali su rete mobile

Si segnala che Agcom ha avviato con delibera 46/24/CONS, la consultazione pubblica nazionale sulla proposta di rimozione della regolamentazione ex ante dei servizi di terminazione delle chiamate

News Giuridiche

nov10

10/11/2024

Arbitrato: la convenienza economica per le aziende

Secondo i risultati della ricerca condotta

nov9

09/11/2024

Donazioni: profili tributari

L'imposizione italiana sulle donazioni

nov8

08/11/2024

Residenza fiscale persone fisiche, società, enti: le nuove regole

Modifiche a domicilio e residenza, smart