Nuovo Regolamento europeo sulla protezione dei dati: cosa conoscere e come prepararsi

02 Mar 2017

Il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR) sarà applicato, in tutti i Paesi UE, a decorrere dal 25 maggio 2018. In questo post ti descrivo i dettagli e le misure da adottare per prepararsi al meglio.

La nuova Legge sulla privacy dei dati (GDPR) ha introdotto importanti novità e cambiamenti. Definisce un quadro comune in materia di tutela dei dati personali e comprende anche la Direttiva in materia di trattamento dati nei settori di prevenzione, contrasto e repressione dei crimini.

I documenti del GDPR

Lo scorso 13 dicembre 2016 il Gruppo dei Garanti UE (WP29) ha pubblicato tre documenti contenenti indicazioni e raccomandazioni su importanti novità del Regolamento, in vista della sua applicazione:

  1. il diritto alla portabilità dei dati;
  2. ha istituito il D.P.O., ovvero il responsabile per la protezione dei dati;
  3. ha definito L’Autorità capofila.

Con il nuovo GDPR il legislatore europeo intende rafforzare la tutela dei dati personali dei cittadini dell’Unione di fronte ai nuovi rischi di un mondo in forte evoluzione digitale.

Il diritto alla portabilità dei dati

In capo all’interessato, nel primo documento, troviamo:

  • il diritto alla portabilità dei dati: la possibilità di richiedere al titolare una copia dei dati, oggetto del trattamento.
  • la semplice trasmissione dei dati: l’interessato deve essere in grado di trasmettere i dati ad un altro titolare del trattamento, senza alcun impedimento al trasferimento.

Il titolare è tenuto a fornire all’interessato la copia dei dati che deve essere resa in un formato idoneo a soddisfare alcuni requisiti.

Copia dei dati e formato da utilizzare

I titolari del trattamento dovrebbero offrire diverse implementazioni del diritto alla portabilità dei dati. I dati devono soddisfare le seguenti proprietà:

  • essere resi in un formato “strutturato”, “di uso comune” e “leggibile da dispositivo automatico”. Non in formato cartaceo, ma digitale. (art.20 del Regolamento);
  • il formato mediante il quale i dati oggetto del trattamento sono forniti all’interessato dovrebbe essere interoperabile, per consentire la piena portabilità. (art n. 68 del Regolamento).

Tale diritto determinerà quindi una notevole semplificazione del processo mediante il quale l’interessato può copiare, spostare o trasmettere i propri dati da un Titolare del trattamento ad un altro.

Il ruolo del responsabile per la protezione dei dati (DPO, Data Protection Officer)

Il DPO (Responsabile della Protezione dei dati) è un professionista, interno o esterno all’azienda, che deve avere competenze giuridiche, informatiche, di risk management, di analisi dei processi.

Il DPO ha il compito di facilitare il rispetto, da parte delle singole organizzazioni, delle disposizioni dettate dal nuovo Regolamento Europeo. Affinché il D.P.O. possa assolvere le proprie funzioni, è necessario:

  • che venga consultato ogniqualvolta debbano essere adottate decisioni che comportino implicazioni in tema di protezione dei dati personali;
  • che tale figura sia posta nelle condizioni di operare in modo del tutto indipendente e non si trovi, tra l’altro, in una situazione di conflitto d’interessi rispetto ad eventuali posizioni ricoperte all’interno della medesima organizzazione.

L’Autorità capofila

Il terzo e ultimo parere pubblicato dal Gruppo di Lavoro art.29 fornisce indicazioni essenziali per l’individuazione dell’Autorità capofila (“Lead Supervisory Authority”) in caso di trattamento transfrontaliero.

Come ricordato dal Garante italiano, l’Autorità capofila “deve fungere da “sportello unico” per i trattamenti transnazionali (se il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento)”.

GDPR: cosa cambia

I principali cambiamenti previsti dalla riforma includono:

  • il diritto di conoscere quando i dati di un individuo sono stati violati. Le aziende e le organizzazioni devono segnalare all’autorità di supervisione nazionale le violazioni dei dati quali sono gli individui in pericolo e comunicare alla persona interessata tutte le violazioni ad alto rischio nel più breve tempo possibile, così che gli utenti possano adottare le adeguate contromisure.
  • I Miglioramenti nell’applicazione delle regole: le autorità per la protezione dei dati dovranno essere in grado di multare le imprese non conformi alle normative EU fino al 4% del loro fatturato annuo totale.
  • Un’unica Legge per la protezione dei dati. Il GDPR in Italia sostituisce l’attuale Codice della Privacy (D.Lgs. 196/2003).
  • Le organizzazioni devono segnalare all’autorità nazionale le gravi violazioni di dati il prima possibile (meglio se entro 24 ore).
  • L’Applicazione alle aziende situate fuori dall’Unione Europea che operano nel mercato comunitario, offrono servizi e prodotti ai cittadini europei (inclusi i beni e i servizi gratuiti), e infine controllano il comportamento degli individui dell’Unione Europea.
  • La protezione dei dati in fase di progettazione e in modalità predefinita. La garanzia sulla protezione dei dati sarà prevista nei prodotti e nei servizi già dalle prime fasi del loro sviluppo.

Guida illustrativa nuovo Regolamento europeo sulla protezione dei dati

Il Garante per la protezione dei dati personali ha riassunto in una guida illustrativa le innovazioni previste dal nuovo Regolamento Ue per imprese e cittadini.

 

legge sulla privacy - nuovo regolamento europeo della privacy

I vantaggi del nuovo regolamento sono suddivisi in 12 punti chiave:Cittadini più garantiti.

  1. Informazioni più chiare e complete sul trattamento.
  2. Consenso, strumento di garanzia anche on line.
  3. Limiti alla possibilità per il titolare di adottare decisioni solo sulla base di un trattamento automatizzato di dati.
  4. Più tutele e libertà con il diritto all’oblio.
  5. Portabilità dei dati: liberi di trasferire i propri dati in un mercato digitale più aperto alla concorrenza.
  6. Garanzie rigorose per il trasferimento dei dati al di fuori dell’Ue.
  7. Obbligo di comunicare i casi di violazione dei dati personali (data breach).
  8. Le novità per le imprese e gli enti.
  9. Un unico insieme di norme per tutti gli Stati dell’Unione europea.
  10. Approccio basato sulla valutazione del rischio che premia i soggetti più responsabili.
  11. Semplificazioni per i soggetti che offrono maggiori garanzie e promuovono sistemi di autoregolamentazione.

Le misure da adottare

Il Regolamento obbliga le aziende di qualsiasi dimensione ad adottare un nuovo insieme di processi e politiche volte a dare alle persone un maggiore controllo sui propri dati personali. Le aziende sono tenute ad adottare idonee misure di sicurezza per garantire la riservatezza e l’integrità dei dati personali coinvolti nelle loro attività statutarie.

Per adeguarsi possono adottare misure pratiche, come:

  • l’utilizzo della crittografia (nel caso in cui i dati siano esposti a rischio);
  • l’utilizzo della autenticazione a due fattori.

A tal proposito esistono già sul mercato sistemi integrati con quanto richiesto dalla normativa. Nei prossimi post ti illustrerò quelle con maggiore efficacia.

Il nuovo Regolamento europeo sulla protezione dei dati [Infografica]

Legge sulla privacy - GDPR cambiamenti aziende e privati

http://www.garanteprivacy.it

Nuovo Regolamento europeo sulla protezione dei dati: le conclusioni

La tutela della Privacy in Europa sta per subire alcune importanti modifiche. Dal 2018 sarà obbligatorio rispettare il Regolamento Generale sulla Protezione dei Dati (GDPR: General Data Protection Regulation), che stabilisce nuovi doveri e responsabilità del titolare del trattamento dati. In questo post ti spiego cosa cambierà e le soluzioni per arrivare preparati alla scadenza. 

Fonti: Garante per la protezione dei dati personali – Gazzetta ufficiale dell’unione europea.

Contattaci per maggiori informazioni

Per maggiori informazioni compila il modulo sottostante.

Nome*

E-Mail*

Oggetto

Messaggio

Ho letto e accetto la Privacy Policy ed i Termini e Condizioni.

Accetto di ricevere materiale informativo in relazione al servizio offerto.
SiNo

Share

Andrea Ruffinazzi

Amministratore - Ithesia Sistemi S.r.l. Amministrazione aziendale. Coordinamento delle attività di produzione, rete vendita ed assistenza. Gestione diretta dei Clienti Top.