skip to Main Content
+39 340 8184807 giulio.fontana@itconsbs.it

Nuovo regolamento europeo

Il regolamento europeo sulla protezione dei dati personali rappresenta una significativa innovazione, se non proprio una rivoluzione, in materia di trattamento di dati personali. La normativa italiana vigente, molto dettagliata ed attenta, risulta essere conforme al nuovo Regolamento Europeo sebbene vi siano alcune differenze formali e sostanziali.

Sono state introdotte nuove figure professionali e presi in considerazione scenari progettuali che debbono rispettare sin dall’inizio l’impostazione di un’attività di trattamento (privacy by default, privacy by design, privacy impact assessment). E’ innovativa la modalità di trasferimento dei dati personali a Paesi terzi e vengono inoltre introdotte nuove procedure da adottare in caso di perdita di dati (Data Breach). E’ stato istituito un comitato europeo per la protezione dei dati, con l’incarico di applicare politiche di coerenza e congruità. La crescente diffusione dei social network e il crescente utilizzo del cloud, come sistema di archiviazione e trattamento di dati, impongono regole nuove per garantire, in questi contesti oltremodo fluidi, una costante ed adeguata protezione dei dati personali.

A seguire, al fine di ottenere un’appropriata protezione dei dati in fase di acquisizione, trattamento, trasferimento e cancellazione, una sintesi delle novità di rilevanza presenti nel Nuovo Regolamento Europeo 2016/679 sulla privacy:

  1. Accountability (art. 22)
  2. Privacy by Design & by Default (art. 23)
  3. Data Breach Notification (artt. 31 e 32)
  4. Privacy Impact Analisys (art. 33)
  5. Data Protection Officer (artt. 35, 36 e 37)

Accountability (art. 22)

Si devono adottare politiche e attuare misure adeguate per garantire che il trattamento dei dati personali svolto sia conforme al Nuovo Regolamento Europeo, in particolare :

  • La conservazione della documentazione relativa a tutti i trattamenti effettuati;
  • L’adozione delle misure di sicurezza previste dal regolamento riferite alle diverse tipologie di dati trattati;
  • L’esecuzione della valutazione d’impatto sulla protezione dei dati;

Devono essere messi in atto meccanismi per assicurare la verifica dell’efficacia delle predette misure.

Passaggio da un approccio “formalmente regolare” ad uno “effettivamente conforme”

Privacy by Design & by Default (art. 23)

Le infrastrutture IT, i processi aziendali e gli applicativi di supporto, dovranno essere progettati, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, in modo tale che il trattamento dei dati personali avvenga in conformità al regolamento e sia garantita la tutela dei diritti dell’interessato.

Si dovranno, inoltre, mettere in atto procedure per garantire che il trattamento dei soli dati personali necessari per ciascuna finalità specifica del trattamento di default, e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare dette procedure garantiscono che, di default, siano resi accessibili dati personali a un numero definito di persone.

Data Breach Notification (art. 31)

In caso di violazione dei dati personali, deve essere inviata – ove possibile entro 72 ore – una notifica all’autorità di controllo, contenente almeno:

  • Le categorie e il numero sia degli interessati coinvolti che dei dati oggetto della violazione;
  • L’identità e le coordinate di contatto del DPO o di altro soggetto da cui ottenere ulteriori informazioni;
  • Le misure raccomandate per attenuare i possibili effetti pregiudizievoli;
  • La descrizione delle conseguenze della violazione;
  • Le misure adottate per porre rimedio alla violazione;

Data Breach Notification (art. 32)

Quando la violazione dei dati personali, può provocare un pregiudizio alla vita privata dell’interessato, deve essere comunicato allo stesso, senza ingiustificato ritardo, quanto accaduto, precisando quali suoi dati personali sono stati violati e le misure raccomandate per attenuare i possibili effetti pregiudizievoli.

Privacy Impact Analisys (art. 33)

Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati, deve essere effettuata una valutazione dell’impatto del trattamento sulla protezione dei dati personali.

Presenta rischi specifici, tra gli altri, il trattamento di informazioni concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica, oppure destinate alla prestazione di servizi sanitari o a ricerche epidemiologiche;

La valutazione d’impatto deve contenere almeno:

  • Una descrizione sistematica del trattamento previsto;
  • Una valutazione dei rischi per i diritti e le libertà degli interessati;
  • Le misure previste per affrontare i rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al presente regolamento;

Designazione del Data Protection Officer (art. 35)

La designazione del Data Protection Officer (Responsabile della protezione dei dati personali) è facoltativa;

Il responsabile della protezione dei dati personali è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati e delle capacità di adempiere ai compiti di cui all’art. 37;

Posizione del Data Protection Officer (art. 36)

  • Il DPO deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
  • Al DPO deve essere garantita l’indipendenza durante l’esercizio delle sue funzioni e dei suoi compiti.
  • Al DPO devono essere fornite tutte le risorse necessarie per adempiere alle sue funzioni e compiti (personale, locali, attrezzature);

Compiti del Data Protection Officer (art. 37)

  • Sorvegliare sull’attuazione delle policy aziendali in materia di protezione dei dati personali, con particolare riferimento all’attribuzione di responsabilità, alla formazione del personale che partecipa ai trattamenti ed allo svolgimento dei processi di audit;
  • Sorvegliare sull’attuazione degli obblighi stabiliti dal regolamento, con particolare riferimento alla privacy by design & by default, alla sicurezza dei dati, all’informazione degli interessati e alle richieste di esercizio dei loro diritti;
  • Garantire la conservazione della documentazione relativa ai trattamenti effettuati;
  • Controllare che le violazioni dei dati personali vengano correttamente documentate, notificate all’Autorità di controllo e comunicate agli interessati;
  • Controllare che venga effettuata, nei casi previsti dal regolamento, la valutazione d’impatto sulla protezione dei dati;
  • Controllare che venga fornito riscontro alle richieste avanzate dall’Autorità di controllo, fungendo anche da punto di contatto con quest’ultima per ogni questione inerente al trattamento dei dati;
  • Informare i rappresentanti del personale (es. rappresentanti sindacali) sui trattamenti che riguardano i dipendenti.
Back To Top