Nuovo regolamento europeo sulla Privacy

Nuovo regolamento europeo sulla Privacy

Si avvicina il termine per l’entrata in vigore del nuovo regolamento europeo sulla protezione dei dati (legge n. 679/2016) e tutte le aziende, tutte le partite iva hanno tempo sino a maggio 2018 per adeguarsi alla nuova normativa (25 maggio 2018).

In pratica sino a maggio 2018 abbiamo due norme che convivono: il nuovo regolamento europeo detto anche G.D.P.R. (General Data Protection Regulation) e il D.Lgs. 196/2003 che è la norma italiana sulla privacy attualmente in vigore, dopodiché il nuovo regolamento EU 2016/679 dovrà essere applicato coerentemente da tutte le aziende.

Cosa cambia:

Privacy by design e by default: la gestione dei dati deve essere pensata, fin dall’inizio, per ogni attività aziendale e procedurizzata.

Mentre con la vecchia norma esistevano delle linee guida che in qualche modo indicavano le cose minime che ogni azienda doveva fare per essere in regola, con il G.D.P.R. ogni azienda decide, salvo alcune indicazioni, in piena autonomia cosa fare per essere conforme.

Tenuta di documenti e registri per la chiara identificazione dei trattamenti dei dati svolti, dei ruoli e delle funzioni interne ai fini della privacy.

Gli eventi avversi (data breach) devono essere correttamente rilevati e segnalati.

L’analisi del rischio deve essere la base per la gestione dei dati su cui definire le pratiche interne per le misure di sicurezza.

In certi casi, quando un determinato trattamento può presentare un rischio elevato per i diritti e libertà delle persone fisiche, si deve effettuare una valutazione d’impatto sulla protezione dei dati (DPIA).

Nomina del Data Protection Officer o DPO, una nuova figura che in certi casi l’azienda nomina, una sorta di controllore che periodicamente deve verificare che quanto viene fatto in azienda dal punto di vista della privacy sia conforme al nuovo regolamento europeo.

Sanzioni:

Le sanzioni amministrative contemplate nel nuovo regolamento europeo possono arrivare a Euro 20.000.000,00 o raggiungere il 4% del fatturato annuo (art. 83), ma sono previsti anche poteri correttivi in capo alle autorità di controllo che possono vietare taluni trattamenti non rispettosi del regolamento (art. 58).

Cosa fare:

Entro maggio ogni azienda dovrà:

  • Stabilire se è conforme con le disposizioni del G.D.P.R. (e con la legge nazionale), impostando i sistemi secondo i principi di privacy by design e privacy by default
  • Includere l’Analisi sull’impatto della Protezione dei dati nelle procedure
  • Formare adeguatamente il personale
  • Implementare le procedure per l’esercizio dei diritti delle persone interessate al trattamento
  • Aggiornare l’informativa privacy, i moduli di acquisizione del consenso e le nomine
  • Implementare le misure di sicurezza
  • Conservare i registri delle attività di trattamento
  • Se richiesto nominare un D.P.O.
  • Implementare le procedure per notificare alle Autorità competenti i data breach