17 ottobre 2017
Documenti
Regolamento generale sulla protezione dei dati: le 12 principali novità
Dal prossimo 25 maggio la norma si applicherà a tutte le entità che trattano dati personali raccolti nel territorio dell’Unione Europea
Pubblicato il 4 maggio 2016 sulla Gazzetta Ufficiale dell’Unione, il Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati – o GDPR – sarà applicabile in tutti i paesi UE dal prossimo 25 maggio 2018.
La prima novità importante è che la norma si applicherà a tutte le entità che trattano dati personali raccolti nel territorio dell’Unione Europea e quindi anche ad imprese che non risiedono nella UE e che dovranno nominare un rappresentante in uno stato membro dell’Unione.
Quali sono le principali novità normative che le aziende che operano o sono interessate a operare nel mercato europeo dovranno essere pronte a recepire?
- La norma consolida i diritti degli interessati in merito ai propri dati personali; le imprese dovranno prendere decisioni attentamente ponderate, dotarsi di misure tecniche ed organizzative adeguate per la loro salvaguardia e dovranno inoltre ottemperare alle richieste secondo tempistiche stringenti. Il nuovo diritto alla portabilità impone l’obbligo di implementare processi in grado di soddisfare le relative richieste.
- La massima libertà di valutazione concessa ai soggetti che effettuano operazioni di trattamento dei dati personali comporterà maggiori responsabilità: ogni decisione dell’azienda in merito ai processi di trattamento dovrà essere documentata e, se richiesto, spiegata. Nella pratica, le imprese dovranno valutare i rischi associati al trattamento di dati personali prima di prendere decisioni e utilizzare gli strumenti di risk management per governarli; in molti casi, sarà obbligatorio effettuare una valutazione d’impatto preliminare prima di iniziare i processi di trattamento.
- La privacy dovrà essere “nativa”, cioè inclusa fin dall’inizio nei prodotti e nei servizi offerti dalle aziende.
- I fornitori a cui le aziende affidano attività di trattamento dovranno essere in possesso di caratteristiche e competenze adeguate a soddisfare i requisiti previsti per legge. Il rapporto tra Titolare del trattamento e Responsabile esterno sarà normato da un contratto o atto giuridico equivalente e vincolante, che disciplinerà e dettaglierà le caratteristiche dei trattamenti affidati. Il Responsabile del trattamento dovrà obbligatoriamente assistere il Titolare nel garantire il rispetto degli obblighi di sicurezza del trattamento, notifica e comunicazione di violazioni, valutazione d’impatto preliminare e consultazione preventiva e dovrà inoltre adottare misure tecniche ed organizzative tali da permettere al Titolare di dare seguito alle richieste degli interessati in merito all’esercizio degli specifici diritti a loro attribuiti.
- Ogni comunicazione nei confronti degli interessati dovrà essere chiara e trasparente: le informative e i moduli per la raccolta del consenso dovranno essere più dettagliati e puntuali rispetto a quanto previsto dalla normativa vigente. Le aziende dovranno rivedere le proprie comunicazioni e gestirle, documentando il consenso degli interessati.
- La nuova figura del Responsabile della Protezione dei dati Personali (DPO) opererà all’interno delle aziende per sorvegliare l’osservanza del GDPR e fornirà consigli o pareri. Il DPO sarà il primo punto di contatto con Autorità garante e interessati e molte aziende avranno l’obbligo di dotarsene.
- La norma introduce il concetto di contitolarità del trattamento. Sono definite contitolari le due o più entità che determinano congiuntamente mezzi e finalità di trattamento, in modo trasparente e mediante accordo interno.
- In particolari condizioni, le aziende dovranno redigere e mantenere aggiornato il Registro dei trattamenti: a quest’obbligo saranno sottoposti Titolari e Responsabili o, laddove essi non siano residenti in territorio UE, i loro rispettivi rappresentanti.
- Il trasferimento di dati verso paesi non UE sarà soggetto all’esistenza di garanzie specifiche valide per tutti i paesi UE.
- Le Autorità Garanti Europee collaboreranno tra loro e agiranno in sinergia con Commissione e Comitato Europeo. La collaborazione tra le autorità europee introduce la possibilità, per gruppi d’imprese o realtà multinazionali, di interagire con una sola autorità all’interno dell’unione per tutte le tematiche relative al trattamento di dati personali (il cosiddetto sportello unico). Gli accordi così raggiunti saranno validi in tutta l’UE senza bisogno di ulteriori accordi locali.
- Allo scopo di contribuire alla corretta applicazione del GDPR e di dimostrare la conformità al Regolamento, le aziende avranno a disposizione due strumenti molto importanti: i codici di condotta e le certificazioni.
- Le sanzioni amministrative, previste saranno dissuasive e potranno arrivare, nei casi più gravi, a un importo massimo di 20 milioni di euro o a un valore fino al 4% del fatturato mondiale dell’impresa.
FAI CLIC QUI per scaricare il Regolamento UE 679/2016.