DLService di Daniele Lorefice - Software e Consulenza per l'Informatica e la Sicurezza - Siracusa

Software e Consulenza
per l'Informatica e la Sicurezza

GDPR Torna alla pagina precedente


 
GDPR Privacy

(General Data Protection Regulation)

Dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri dell’Unione Europea il Regolamento UE 2016/679 o GDPR Privacy (General Data Protection Regulation).

La nuova legge sul trattamento dei dati personali avrà pesanti implicazioni sull’organizzazione delle aziende, ma ancora molte imprese ed enti pubblici non sono pronti ad accogliere le novità del nuovo provvedimento.

Nei prossimi paragrafi rivediamo insieme perché è stata introdotta la nuova norma ed una sintesi delle principali novità previste dal GDPR privacy.
 

Nuovi obblighi per il Titolare del trattamento, più diritti per chi lascia i propri dati personali
Il Regolamento, che sostituisce l’attuale Direttiva sulla Privacy, è la normativa europea più importante degli ultimi 20 anni in materia di protezione dei dati personali. Ha l’obiettivo di rendere omogenee le leggi nazionali e di adeguare il quadro normativo al nuovo contesto digitale che in pochi anni ha fatto balzi da gigante, ma che ha portato con sé molti più rischi per i dati sensibili delle persone. Si applica sia alle aziende che si trovano in uno degli Stati membri dell’UE, sia a quelle extra-UE che vendono prodotti e servizi all’interno del mercato unico europeo.

Dal 25 maggio, imprese ed enti avranno più responsabilità e potranno incorrere in pesanti sanzioni se non rispettano gli obblighi imposti dal GDPR privacy, infatti, la nuova norma:

  • introduce regole più chiare su informativa e consenso al trattamento dei dati

  • definisce i limiti al trattamento automatizzato dei dati personali

  • introduce nuovi diritti per chi lascia i propri dati

  • stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Unione Europea

  • in caso di violazione dei dati (data breach) impone nuovi obblighi a carico del Titolare del trattamento

GDPR privacy: una sintesi in 5 punti
 

1) Nuovi princìpi: accountability, privacy-by-design, privacy by default

Il principio di accountability o “responsabilizzazione” impone a Titolare e Responsabile del trattamento di adottare concretamente tutte le misure necessarie alla protezione dei dati: devono quindi rendere ogni trattamento conforme al GDPR, analizzare i rischi, garantire (e dimostrare) il rispetto della norma comunitaria. Le aziende devono, inoltre, rispettare anche il principio di privacy by default (proteggere il dato per impostazione predefinita) e di “privacy-by-design”: il dato va protetto fin dal primo momento in cui viene acquisito, perciò organizzazione, processi interni e struttura IT dell’impresa devono essere predisposti per mettere in sicurezza i dati personali fin da subito.
Per poter tutelare i diritti dell’interessato, le aziende devono adottare misure tecniche e organizzative, e dimostrare per quale motivo il dato viene conservato e trattato.

Maggiori informazioni: Nuovo GDPR sulla Privacy e sicurezza dei dati sanitari!
 

2) Data Breach (Violazione di dati personali): gli obblighi del titolare

In caso di violazione dei dati, il Titolare dovrà informare il Garante entro 72 ore dal momento in cui viene a conoscenza del data breach. Se la violazione rappresenta una minaccia per i diritti e le libertà delle persone, dovrà informare anche gli interessati in modo chiaro, semplice e immediato. Tuttavia, se riterrà che la violazione non abbia rischi elevati o se dimostrerà di aver adottato le necessarie misure di sicurezza, potrà anche decidere di non informarli.

Si è in presenza di un Data Breach quando :

  • vi è un accesso accidentale o abusivo ai dati personali

  • quando vi è una perdita o distruzione accidentale oppure non autorizzata dei dati personali

  • quando vi è un'alterazione accidentale o non autorizzata dei dati personali

3) Pesanti sanzioni per chi trasgredisce

La sanzione per chi viola il nuovo regolamento può arrivare fino al 4% del fatturato mondiale annuo e fino a 20 milioni di euro.

 

4) Nuovi diritti per chi lascia i propri dati

Diritto di accedere ai propri dati, correggerli, integrarli, modificarli, chiederne la cancellazione e opporsi al loro trattamento: alcuni dei diritti riconosciuti dal GDPR privacy sono già noti, in più dal 25 maggio:

  • chi lascia i propri dati personali può chiedere di essere “dimenticato” dalla struttura che ha trattato in precedenza i suoi dati, con la loro cancellazione “fisica” (diritto all’oblio), ma entro i limiti previsti dall’ordinamento, per cui, se il titolare del trattamento ha l’obbligo di conservare alcuni dati per legge, il diritto all’oblio non può essere completamente esercitato

  • può chiedere al titolare che ha raccolto i suoi dati di trasferirli “fisicamente” ad un nuovo titolare indicato dall’interessato (diritto alla portabilità dei dati)

5) DPO Data Protection Officer

Il GDPR privacy introduce una nuova figura: il Data Protection Officer. È un professionista che può essere interno all’azienda o esterno ed ha il compito di osservare, valutare e organizzare le attività di trattamento dei dati personali raccolti, e proteggerli, nel rispetto delle norme europee e nazionali sulla privacy.

Non tutte le aziende devono necessariamente nominarlo, ma in alcuni casi è obbligatorio.
 

Va nominato:

  1. se chi tratta i dati personali è un’autorità pubblica o un organismo pubblico

  2. se le attività principali di chi tratta i dati (il Titolare o il Responsabile del trattamento) riguardano trattamenti dei dati personali che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

  3. se le attività principali di chi tratta i dati consistono nel trattamento su larga scala dei dati personali elencati all’art. 9 del Regolamento, cioè i dati sensibili (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), oppure i dati relativi a condanne penali e reati elencati all’art. 10 del Regolamento.

Maggiori informazioni: Chi è il Data Protection Officer e quando è obbligatorio?

 

Fonti:
Il Data Protection Officer nelle linee guida del WP 29, Studio Delli Ponti, gennaio 2017
Il Garante privacy dà indicazioni per la nomina del DPO, Studio Legale Stefanelli, gennaio 2018
Data Protection Officer: le linee guida sulla nuova figura introdotta dal Regolamento UE 679/2016, Diritto 24, Il Sole 24ore

Non preoccuparti ci pensiamo noi...

DLService offre anche un servizio di assistenza per rendere agevole l'adempimento alle Normative appena descritte.

Per ulteriori informazioni non esitate a contattarci:
indirizzo e-mail: Info@dlservice.it
recapito telefonico: Tel./Fax +39 0931 783411 - Cell. +39 349 1748004

 
DLService Software e Consulenza per l'Informatica e la Sicurezza - P.Iva: 01734990896
Copyright © 2010/2018 DLService (Release 3.2 Luglio 2018)