Home Scadenze fiscali ed informative varie Nuovo codice della privacy, obbligo di adeguamento entro 25.05.2018

Nuovo codice della privacy, obbligo di adeguamento  entro  25.05.2018

Il Regolamento (UE) 2016/679 del 27.04.2016 - General Data Protection Regulation (GDPR) entra in vigore il 25 05 2018, abroga la direttiva 95/46 CE, ritenendola ormai inidonea per la protezione dei dati personali a causa dell’evoluzione tecnologica e della globalizzazione dei mercati.

Le sanzioni arriveranno fino a 20 milioni di euro o al 4% del fatturato totale dei trasgressori.

 

Il 25.05.2018 acquisteranno efficacia in tutta Europa le disposizioni del GDPR relative alla protezione delle persone fisiche, con riguardo al trattamento e alla libera circolazione dei dati personali.

Il GDPR intende assicurare un più elevato livello di protezione dei dati delle persone fisiche, rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione e garantire un'applicazione omogenea delle norme sulla protezione dei dati personali.

Sebbene le disposizioni del GDPR non necessitino di una legge per il loro recepimento nel nostro Paese, essendo di efficacia immediata, è necessario che il Legislatore italiano armonizzi la nuova cornice regolamentare europea e le disposizioni nazionali. A tale fine, il Consiglio dei Ministri del 21.03.2018 ha approvato una bozza di decreto legislativo che introduce disposizioni per l’adeguamento della normativa nazionale alle prescrizioni del GDPR.

Il vigente Codice Privacy (D.Lgs 196/2003) sarà abrogato e la nuova disciplina in materia sarà costituita principalmente dalle disposizioni del GDPR e da quelle recate dal nuovo decreto.

Di seguito, alcune delle principali novità.

RPD-Responsabile della protezione dei dati: è introdotta la nuova figura del Responsabile Protezione Dati, con funzione di supporto e vigilanza sulla corretta applicazione delle norme. L'art. 37, par. 1, lett. a), del RGPD prevede che i titolari e i responsabili del trattamento designino un RPD «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali». Occorre, comunque, considerare che, nel caso in cui soggetti privati esercitino funzioni pubbliche, o trattino particolari dati sensibili, può risultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla designazione di un RPD.

Il suo nominativo sarà trasmesso al Garante della Privacy,  dovrà  pertanto essere un soggetto dotato di un'approfondita conoscenza della normativa e delle prassi in materia di privacy. Sarà designato dal titolare/responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento europeo . Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi.

Registro delle attività di trattamento: dovranno essere registrati i nomi e i dati di contatto del titolare del trattamento, del responsabile del trattamento e del responsabile della protezione dati e le finalità del trattamento. Analogo registro deve essere tenuto dal responsabile del trattamento. Sono esonerate dall’obbligo di tenuta di questi registri le imprese e le organizzazioni con meno di 250 dipendenti,  a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato,  o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10 del Regolamento Europeo

Data Breach : L’art. 33 impone al titolare, di notificare l’eventuale  violazione di dati personali,  all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.

DPIA,  Data Protection Impact Assessment: Una DPIA consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali (attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli). La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche a dimostrare l’adozione di misure idonee a garantire il rispetto ditali prescrizioni. In altri termini, la DPIA è una procedura che permette di realizzare e dimostrare la conformità con le norme. In base al regolamento, l’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte della competente autorità di controllo.

Informativa: deve essere concisa, trasparente, intellegibile e facilmente accessibile. Deve indicare come saranno utilizzati i dati, se saranno condivisi con altri soggetti, la durata della conservazione nelle banche dati, i dati di contatto con il RPD - Responsabile della protezione dei dati.

Consenso: il consenso deve essere prestato liberamente e in modo esplicito (invalidità del silenzio tacito o presunto), è revocabile in qualsiasi momento e il titolare del trattamento è obbligato a cancellare tutti i dati raccolti. Il consenso per i minori di 16 anni deve essere espresso dai genitori o da chi esercita la responsabilità genitoriale.

Diritto di rettifica: l'interessato può ottenere la rettifica dei dati inesatti e l'integrazione di quelli incompleti.

Diritto all’oblio: l’interessato può ottenere la cancellazione dei propri dati personali e il titolare del trattamento ha l’obbligo di cancellarli, se tali dati non sono più necessari per le finalità per le quali sono stati raccolti. Conservazione dei dati: non potrà più essere illimitata nel tempo e il periodo di conservazione sarà proporzionato alle finalità per le quali è stato richiesto il consenso.

Portabilità dei dati: limitatamente ai trattamenti automatizzati, gli interessati possono ottenere il trasferimento diretto dei propri dati personali da un titolare del trattamento ad altro titolare.