REGOLAMENTO EUROPEO PRIVACY
Adeguamento per le imprese antro il 24 maggio 2018

Il 24 maggio 2016 è entrato in vigore il Regolamento UE 2016/679 GDPR (General Data Protection Regulation) relativo alla "protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati" che ABROGA la Direttiva 95/46/CE e il D.Lgs. 196/2003 italiano.

Qualsiasi organizzazione europea (pubblica o privata) che gestisca informazioni personali dei residenti nell'UE dovrà adattarsi a questa nuova normativa in materia di trattamento dei dati personali, sicurezza delle informazioni, processi di conformità e relazioni contrattuali ENTRO IL 24 MAGGIO 2018.

IMPATTI PRINCIPALI SULLE IMPRESE

- La legge applicabile è quella del soggetto i cui dati vengono raccolti (Social network, piattaforme web e motori di ricerca gestiti da società con sede fuori dall'UE saranno quindi soggetti alla normativa europea).
PRIMA: la normativa era applicabile nel luogo aveva sede il Titolare del Trattamento dei Dati

- E' abolita la figura del Titolare del trattamento dei Dati, rimane solo quella del Responsabile

- Onere di dimostrare l'adozione di tutte le misure privacy nel rispetto del Regolamento Europeo (Responsabilità Verificabile). Tutti i soggetti che partecipano al trattamento dei dati devono essere consci e responsabili e dovranno redigere e conservare documentazioni quali i Registri delle attività di Trattamento in cui vengono riportate tutte le attività di trattamento dati svolte. Chi non documenta è soggetto a possibili sanzioni: a prescindere dall'utilizzo che si fa dei dati, è sufficiente non avere i documenti per essere perseguibili.
PRIMA: la documentazione era importante

- L'Informativa Privacy dovrà essere chiara, leggibile, accessibile, concisa, scritta in modo semplice e con un numero limitato di riferimenti normativi. L'informativa deve essere fornita per iscritto (oralmente va bene SOLO se l'interessato è d'accordo e la sua identità deve essere comunque comprovata con altri mezzi).
PRIMA: l'informativa era spesso lunga, incomprensibile e con richiami normativi complessi.

- Il consenso ai dati dovrà essere libero, specifico, informato e inequivocabile. Il consenso è valido se la volontà è espressa in modo non equivoco, anche con un'azione positiva: non ci deve per forza essere la casella di spunta, basta un testo in cui si informa che proseguendo si accetta il trattamento dati con link all'informativa.
PRIMA: il consenso doveva essere libero, specifico e informato. Ci doveva essere un atto formale per accettare il trattamento dei dati

- Restrizioni su meccanismi di profiling

- Dovrà essere effettuata una valutazione degli impatti privacy (Privacy Impact Assessment) analizzando i rischi e stabilendo un piano per ridurli, controllandone annualmente gli effetti.
La valutazione degli impatti privacy è facoltativa per le PMI a meno che non sia presente un rischio particolarmente elevato.
PRIMA: si preparava il DPS

- Abolizione della notifica al Garante Privacy. Con la redazione annuale del Privacy Impact Assessment si considera effettuata la notifica
PRIMA: si doveva informare il Garante che un soggetto sta trattando dati per una particolare finalità

- La privacy dovrà essere vista come un elemento di partenza: prima di raccogliere dati pensare a predisporre alti livelli di privacy nel trattamento, che potranno essere abbassati dal diretto interessato
PRIMA: la privacy era un elemento conclusivo e finale

- In caso di violazione dei dati, obbligo di segnalazione al Garante ed ai diretti interessati entro 72 ore dall'evento. Il mancato rispetto di quest'obbligo comporta sanzioni penali.
PRIMA: non era necessario comunicare violazioni nel trattamento dei dati.

- Introdotto il diritto alla portabilità dei dati (il soggetto a cui è concesso l'uso dei dati deve restituirli su supporto elettronico strutturato in modo da poterne fare uso eventualmente presso un altro fornitore), diritto all'oblio (cancellazione totale dei dati in possesso di terzi, per motivazioni legittime).
PRIMA: pochi diritti tutelavano l'interessato in merito alla gestione dei suoi dati

- Istituzione del Responsabile Protezione Dati (DPO - Data Protection Officer) che sarà obbligatorio per aziende con oltre 250 dipendenti, per tutti gli Enti Pubblici e per aziende la cui attività principale coinvolge trattamenti di natura rischiosa. Il DPO potrà essere sia un dipendente che un collaboratore esterno, con rinnovo periodico, che sarà in relazione diretta con i vertici aziendali ed avrà il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all'interno dell'azienda, secondo le direttive imposte dalle normative vigenti.
PRIMA: il DPO non era una figura contemplata

- Introdotte le definizioni di "Dato generico" e "Dato Biometrico"

- Introdotta la categoria del trattamento dati dei minori

- Introduzione della Cotitolarità nel trattamento dei dati

- Introduzione di requisiti più stringenti per trasferire dati verso Paesi Terzi

-Istituzione del Comitato Europeo per la protezione dei Dati


Le sanzioni per chi non rispetta il Nuovo Regolamento Europeo Privacy GDPR possono arrivare fino a 20 milioni di euro oppure al 4% del fatturato totale, danneggiando così la reputazione aziendale.