La Privacy con il nuovo Regolamento Europeo

Le nuove regole per trattare i dati in tutti gli stati UE

 

Le novità

 

Il Regolamento prevede che il Titolare (cioè colui che decide le finalità e le modalità del trattamento) deve adottare delle Procedure e delle adeguate misure (non si parla più di misure minime ed idonee) che siano rispettose delle norme fondamentali. Il Titolare allo scopo deve anche implementare meccanismi per verificare l’efficacia delle misure prese e pubblicare a intervalli regolari un Report su quanto fatto. Viene reintrodotta l’abrogata Analisi dei Rischi, dalla quale dovranno poi derivare le misure di Sicurezza Tecniche ed Organizzative che ogni Titolare dovrà adottare. Si deve prevedere prima dell’inizio del trattamento una valutazione dei possibili rischi che questo comporta (c.d. PRIVACY IMPACT ASSESMENT), stabilendone le misure correttive e le eventuali comunicazioni al Garante. La Valutazione va documentata per iscritto, mentre la Verifica preliminare va richiesta al Garante solo nei casi in cui il trattamento comporti rischi eccessivamente elevati.

Le Informative all’interessato dovranno essere più dettagliate, ma soprattutto più efficaci delle precedenti, usando anche moduli, schemi e disegni. Il consenso invece dovrà essere sempre espresso in modo inequivocabile. Alcune tipologie di Titolari che svolgono trattamenti più delicati o con tecnologie più innovative e/o profilanti (obbligatorio per tutti gli Enti della Pubblica Amministrazione) devono avere un DATA PROTECTION OFFICER (DPO).

Esso è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati. Tale figura, di alto livello professionale, può essere un soggetto interno o esterno e può essere designato anche da più imprese o soggetti pubblici con trattamenti affini. Il DPO sarà una figura manageriale con rinnovo periodico, dovrà assicurare la conformità a tutte le regole e il suo nome dovrà essere comunicato all’Autorità Garante per la Protezione dei Dati Personali.

Il Regolamento, inoltre, prevede altre importanti novità come: il diritto all’oblio; il diritto alla portabilità dei dati; le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti nei casi più gravi (Data Breaches); modalità di accesso ai propri dati personali più facili per gli interessati; il meccanismo del “one-stop-shop“, con il quale le imprese avranno a che fare con un’unica autorità di vigilanza.


“Pubblicato sulla Gazzetta Ufficiale UE il nuovo Pacchetto Protezione Dati. Sarà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018”.


COSA CAMBIA PER LA P.A.

Il venir meno dell’obbligo dell’elaborazione e dell’aggiornamento del DPS, ha fatto passare in secondo piano in molte PA la normativa sulla Privacy. Caduto l’obbligo dell’elaborazione e tenuta del DPS, infatti, sono comunque sopravvissute le prescrizioni di cui all’art. 34 del Codice, così come pure sono da applicarsi, nel trattamento dei dati, le misure minime di sicurezza descritte nell’All. B e tutta una serie di adempimenti obbligatori che in passato erano assolti unitamente alla redazione del DPS stesso. Come spesso accade, in assenza di controlli e di obblighi, la materia è stata poco presidiata dalle PA e il nuovo Regolamento europeo richiederà un impegno organizzativo e strutturale importante in tempi brevi. Gli aspetti inerenti alla tutela dei dati personali si pongono già con urgenza e richiedono una visione sistemica all’interno della PA, fatta di adempimenti di base rispetto al Codice e di individuazione di professionalità adeguate a presidio della materia. Le novità introdotte dalla nuova normativa sono diverse e complesse e districarsi tra modifiche e nuove introduzioni allineando a tutti gli effetti la propria struttura non sarà impresa facile. Aziende pubbliche e private non potranno ignorare questi aspetti e avranno bisogno di essere affiancate da professionisti specializzati che devono conoscere la materia ed essere aggiornati su tutte le novità normative per garantire una consulenza a 360 gradi e per accompagnare l’Azienda passo dopo passo nel processo di adeguamento. Dal momento della pubblicazione è scattato un periodo di vacatio di due anni, anche per consentire alle imprese ed alla PA di adeguarsi alle nuove regole, due anni sembrano tanti ma sono pochissimi, ecco perché è importante selezionare con cura chi gestirà questa transizione e adeguerà l’Ente alla nuova normativa sul trattamento dei dati.