Regolamento EU 2016/679
Ora si parla di protezione delle persone con riguardo al trattamento dei dati.
Nell’era dell’informatizzazione delle imprese sia pubbliche che private l’Unione europea ha cambiato i vecchi criteri su cui si basava la legge sulla privacy, uniformando la regolamentazione per tutti gli Stati membri.
Il Regolamento UE 2016/679 del 27 Aprile 2016 ha concesso 2 anni di tempo alle imprese per mettersi in regola con le nuove disposizioni comunitarie, che stanno per scadere.
Cosa cambia rispetto alla vecchia legge sulla privacy?
Diminuzione adempimenti formali
In passato le aziende sia pubbliche che private erano tenute a degli obblighi formali e a informare il Garante nel caso del trattamento dei dati sensibili.
Con l’ abolizione di questo passaggio il risparmio per le PMI sarà di circa 130 milioni di euro annui eliminando la notifica dei trattamenti al Garante.
TRATTAMENTI
Consenso
Il consenso dell’interessato deve essere effettivo e inequivocabile, può essere formulato ad esempio mediante dichiarazione scritta e anche attraverso mezzi elettronici o anche in forma verbale.
Impatto del trattamento
Valutazione dell’impatto dei trattamenti sulla protezione dei dati e le eventuali verifiche delle prescrizioni da adottare presso le autorità di controllo.
Privacy by Design
Il regolamento impone di progettare sistemi o applicativi tarati sul principio dell’uso minimo dei dati personali ( Pseudominimizzazione).
Privacy by Default
Il regolamento impone di progettare misure e sistemi che abbiamo come impostazione predefinita l’uso dei soli dati necessari per una certa finalità-
Valutazione dei rischi
Con il nuovo regolamento saranno semplificate anche le procedure negli adempimenti per le PMI e si prediligerà la tutela dei soggetti interessati nonché la valutazione dei rischi, già prima che una società venga avviata. Lo stesso vale anche in fase di progettazione di un software o di un prodotto. (Privacy by design e by default)
Legittimo Interesse
Il principio di responsabilizzazione in linea con la valorizzazione del legittimo interesse del titolare, quale requisiti sufficiente per procedere al trattamento;
Registri dei trattamenti
Il titolare ed il responsabile del trattamento devono redigere i registri in cui indicare le caratteristiche , modalità e finalità del trattamento.
Il Data Protection Officer o Responsabile Privacy
La nuova regolamentazione europea prevede che le piccole e medie imprese (sotto ai 250 dipendenti e/o che trattano molti dati sensibili) possano facoltativamente eleggere un responsabile per la protezione dei dati personali, il “data protection officer“, mentre per le pubbliche amministrazioni è obbligatorio.
Si tratta di una persona individuata tra i dipendenti in base a qualità professionali e alla conoscenza del regolamento comunitario.
Una recente indagine condotta da Federprivacy sulla gestione dei dati personali e sulla protezione della privacy nelle imprese, ha evidenziato che molte ancora non hanno provveduto a tale nomina. Nel 58% dei casi, pur avendo individuato un dipendente che assolva al compito, questo non risulta avere nessuna preparazione professionale specifica o certificazione in materia.
Il rilascio delle certificazioni, nonostante stia crescendo, rimane basso e molti dei professionisti designati lavorano nel settore informatico. Si rischia, in tal caso, di creare un conflitto d’interesse o peggio una violazione della legge stessa.
La violazione dell’attuale regolamento comunitario sul trattamento dei dati sensibili e sulla privacy prevede severe sanzioni pecuniarie e, in rapporto alla gravità, anche penali con giusto processo. Molte imprese non sanno ancora se devono o meno dotarsi di questa figura di tutela e neppure chi designare
DIRITTI
Portabilità dei dati (link del Garante)
All’interessato viene riconosciuto il diritto di ottenere la restituzione dei propri dati personali trasmessi ad un’azienda ( o servizio) per trasmetterli ad altri ( social network, servizi internet etc…).
Diritto all’oblio (attivo da tempo)
Con la nuova legge sarà più semplice far valere il diritto all’oblio ovvero il diritto all’interessato d chiedere ai motori di ricerca di deindicizzare una pagina web o chiedere ad un sito di cancellare informazioni.
Profilazione
Il regolamento sancisce il diritto di non subire profilazione inconsapevoli.
Sportello unico
l’interessato può rivolgersi all’autorità del proprio paese per segnalare eventuali violazioni, qualunque sia il luogo in cui il trattamento è effettuato.
SANZIONI
Sanzioni pecuniarie e amministrative
calcolate anche in misura di percentuale ( dal 2% al 4%) sul fatturato globale annuo mondiale ( del gruppo).
AUTORITA’
Comitato di controllo europeo
Organo europeo che assicura l’applicazione uniforme del regolamento
Autorità di controllo
E’ l’autorità pubblica indipendente istituita da uno stato membro. il codice della privacy Italiano ha definito il Garante per la protezione dei dati personali.
Gli obblighi delle imprese
Di fronte alle nuove disposizioni comunitarie le imprese hanno l’obbligo di arrivare preparate alla scadenza di maggio 2018
Per tale motivo e in considerazione dell’alta specializzazione che il ruolo richiede, Agile offre la propria consulenza in materia di privacy e di organizzazione.
In tal modo eviterete di arrivare con grande ritardo all’adeguamento richiesto dall’Unione europea e sarete certi di aver seguito tutte le procedure nel modo esatto.
Eviterete anche le sanzioni previste per chi non è in regola o risulta inadempiente agli obblighi.