Adeguamento privacy
Il regolamento UE 2016/679 in materia di protezione dei dati personali delle persone fisiche sarà vincolante dal 25 maggio 2018.
Le società pubbliche e private sono chiamate all’adeguamento privacy, attraverso un percorso che tenga in debita considerazione il valore fondamentale che oggi ricoprono i dati (personali e non).
Quali sono le novità?
Il nuovo regolamento europeo introduce importanti novità: non si tratta di un semplice aggiornamento della modulistica, ma di un ripensamento generale sulla propria policy di trattamento dei dati personali.
1. L’informativa
L’informativa dovrà avere forma scritta e recare i nuovi requisiti. Il titolare deve acquisire un consenso inequivocabile al trattamento. In applicazione del principio di trasparenza, il Working Party Article 29 ha rilasciato delle Linee Guida che evidenziano come il design dell’informativa deve essere curato per garantire la sua intelligibilità. Infografiche, linguaggio chiaro, soluzioni tecniche e grafiche devono creare l’informativa più semplice e completa possibile.
2. Nuove figure privacy
Viene introdotta la figura del subresponsabile. Particolare attenzione va prestata agli elementi da inserire nel contratto di designazione a responsabile del trattamento. In alcuni casi è obbligatoria la nomina di un DPO (Data Protection Officer), figura con competenze multidisciplinari sia giuridiche che informatiche, con il compito di controllare in modo indipendente il trattamento dei dati e implementare il sistema di gestione della privacy.
3. Nuovi diritti
I titolari del trattamento dovranno prevedere procedimenti per garantire il rispetto del diritto all’oblio e del diritto alla portabilità dei dati.
4. Data Breach
In caso di violazione dei dati il titolare dovrà notificare entro 72 ore l’avvenuta violazione all’Autorità di controllo e agli interessati.
5. Registri del trattamento
La tenuta dei registri delle attività di trattamento sarà, in alcuni casi, obbligatoria per il titolare del trattamento e per il responsabile del trattamento.
6. Valutazione d’impatto (privacy impact assessment)
Quando un trattamento prevede in particolare l’uso di nuove tecnologie o, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento dovrà effettuare una DPIA. L’attività di documentazione della DPIA deve essere accurata, secondo la metodologia dell’analisi del rischio.
7. Le sanzioni
Vengono introdotte sanzioni amministrative pecuniarie elevate, che possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Un nuovo approccio alla tutela delle persone fisiche e dei loro dati personali
Il titolare del trattamento è chiamato a progettare la protezione dei dati personali secondo le caratteristiche del trattamento. Ai fini dell’adeguamento privacy la tutela “dichiarata” dei dati personali deve rispecchiare l’effettiva gestione degli stessi all’interno dell’azienda.
Oltre ai principi già presenti nel sistema attuale, il Regolamento introduce tre ulteriori e fondamentali principi, che devono trovare effettiva attuazione nella modalità di trattamento dei dati personali.
Principio di accountability
Il titolare del trattamento deve predisporre misure tecniche e organizzative adeguate per garantire che il trattamento è conforme al Regolamento. Inoltre, deve essere in grado di dimostrare tale conformità (in tal senso, “accountability” potrebbe essere tradotto in “rendicontazione”). Il Titolare non deve limitarsi a fare il minimo, ma dimostrare di avere un atteggiamento proattivo e essersi impegnato al massimo per implementare un sistema di gestione della privacy.
Privacy by design
La protezione dei dati deve essere posta in essere fin dalla progettazione di servizi basati sul trattamento dei dati personali. La tutela dei dati deve essere “pensata” fin dall’inizio di ogni processo aziendale.
Privacy by default
La protezione dei dati deve diventare l’impostazione predefinita: il titolare deve garantire misure tecniche e organizzative adeguate affinché siano trattati solo i dati necessari per una determinata finalità.
Creare un sistema di gestione della privacy
L’adeguamento al Regolamento europeo richiede un approccio multidisciplinare: l’azienda deve ideare un vero e proprio modello di gestione privacy, sulla base di una progettazione che consideri in modo adeguato i dati personali effettivamente trattati dall’azienda.
Non è possibile utilizzare l’approccio del “copia-incolla” o rifarsi pedissequamente a strumenti diffusi nel mercato senza un’attenta analisi delle conseguenze per la propria realtà.
La gestione della privacy non si limita alla creazione della modulistica o alla gestione della sicurezza informatica. L’adeguamento al Regolamento Europeo Privacy può migliorare la gestione dei dati all’interno di una azienda e migliorarne sia la reputazione che l’efficienza nella gestione della clientela e dei fornitori.
About The Author: Elia Barbujani
More posts by Elia Barbujani