Privacy – GDPR

Il General Data Protection Regulation (GDPR), ovvero il Regolamento UE n. 679/2016 sulla protezione dei dati personali (o Regolamento sulla privacy), ? entrato in vigore Il 24 maggio 2016, per divenire pienamente applicabile dal 25 maggio 2018, abrogando la Direttiva 95/46/CE. \r\nIl testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i Titolari del trattamento dei dati (anche con sede legale fuori dall’Unione Europea) che trattano dati di residenti nell’unione europea ad osservare ed adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l’UE.[1] Dal 25 maggio 2018, il GDPR andr? a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC)[2] istituita nel 1995, abrogher? le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili. Ci? potr? generare confusione per alcuni ma si attende una normativa italiana “di raccordo” che metta ordine e inserisca le norme del Codice privacy non incompatibili all’interno dell’impianto normativo del Regolamento. Con Direttiva UE 2016/680, in aggiunta a questo nuovo regolamento sar? applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell’Autorit? Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell’istituto della direttiva europea tali trattamenti dei dati (Autorita’ Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale\r\nAlcune novit? del GDPR impongono un?attenta pianificazione fin da subito, potendo comportare modifiche organizzative significative e investimenti di natura tecnologica. Inoltre il GDPR rovescia completamente la prospettiva della disciplina di riferimento, istituendo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del Titolare del trattamento (principio di ?accountability?). La nuova disciplina impone a tale soggetto di garantire il rispetto dei principi in essa contenuti, ma anche di essere in grado di comprovarlo, adottando una serie di strumenti che lo stesso GDPR indica.\r\nIn primis, il registro delle attivit? di trattamento, che deve contenere una serie di informazioni, tra cui le finalit? del trattamento, la descrizione delle categorie di interessati e di dati personali che vengono trattati, oltre che l?indicazione delle misure di sicurezza adottate. La tenuta del registro costituisce un adempimento di fondamentale importanza nell?ottica del principio di accountability, in quanto permette di monitorare in maniera approfondita le operazioni di trattamento all?interno dell’organizzazione. Esso costituisce dunque sia uno strumento operativo di lavoro con cui censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un sano ?ciclo di gestione? dei dati personali, sia un vero e proprio documento di carattere probatorio mediante il quale il Titolare del trattamento pu? dimostrare di aver adempiuto alle prescrizioni del Regolamento.\r\nA tal fine, pu? risultare utile indicare nel registro una serie di elementi non espressamente imposti dall?art. 30 del GDPR, ma comunque importanti per tener traccia delle operazioni di trattamento effettuate. Tra questi, ad esempio, la base giuridica del trattamento (ricompresa tra gli elementi che devono essere contenuti nell?informativa da consegnare all?interessato), o gli applicativi e/o database utilizzati, la cui elencazione pu? risultare necessaria per mappare con esattezza le misure di sicurezza implementate/da implementare, oltre che per condurre efficacemente la valutazione dei rischi.\r\nQuest?ultima assume carattere imprescindibile per poter stabilire quali misure tecniche e organizzative adottare in azienda per garantire un livello di sicurezza appropriato al rischio stesso. La nuova normativa, infatti, abbandona il concetto di ?misure minime? del Codice Privacy, sostituendolo con quello di ?misure adeguate?. Tale maggiore discrezionalit?, tuttavia, ? accompagnata, come sopra precisato, dall?onere in capo al Titolare del trattamento di poter dimostrare le ragioni che hanno portato a una determinata decisione.\r\nTitolare del trattamento che potr? nominare un Data Protection Officer (DPO), ovvero una figura specialistica e altamente qualificata che supporti l?applicazione degli obblighi della nuova normativa, e funga da punto di contatto con le Autorit? di controllo e gli interessati. La designazione del DPO ? obbligatoria solo in alcuni casi (trattamenti effettuati su larga scala, posti in essere da un?Autorit? pubblica/organismo pubblico, o che ricomprendono categorie particolari di dati personali). Tuttavia costituisce una buona prassi anche per le aziende che sarebbero esenti da tale adempimento.\r\nIn sostanza, l?ampio spettro di novit? introdotte dal GDPR impone di definire un piano di adeguamento alla nuova normativa, coinvolgendo le diverse funzioni aziendali coinvolte in operazioni di trattamento di dati personali. ? fondamentale sfruttare appieno il periodo transitorio a disposizione, per garantire la conformit? alle nuove disposizioni entro il 25 maggio 2018.\r\n

Share

Condividi su facebook
Condividi su twitter
Condividi su linkedin

News recenti