Nuovo Regolamento Europeo sulla Privacy – Linea Guida del Garante Privacy – parte 2/2

0

Nuovo Regolamento Europeo sulla Privacy – Linea Guida del Garante Privacy – parte 2/2

nuovo-regolamento-privacy

Il Nuovo Regolamento Europeo sulla Privacy porterà significative innovazioni e cambiamenti, ed il Garante Privacy ha delineato una Linea Guida, di cui andremo a vedere i contenuti di sintesi, in questa e nella prossima newsletter.

NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY – PARTE 2/2

OBBLIGO DI COMUNICARE I CASI DI VIOLAZIONED DEI DATI PERSONALI (DATA BREACH)

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà di persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

Il titolare del trattamento potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti (quando non si tratti, ad esempio, di frode, furto di identità, danno di immagine, ecc…); oppure se dimostrerà di avere adottato misure di sicurezza (come la cifratura) a tutela dei dati violati; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato). In questo ultimo caso, è comunque richiesta una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare).

L’Autorità di protezione dei dati potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio, associato alla violazione.

LE NOVITA’ PER LE IMPRESE E GLI ENTI

Imprese ed Enti avranno più responsabilità, ma potranno beneficiare di semplificazioni. In caso di inosservanza delle regole sono previste sanzioni, anche elevate.

UN UNICO INSIEME DI NORME PER TUTTI GLI STATI DELL’UNIONE EUROPEA

Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una legge di recepimento nazionale.

Inoltre, si applica integralmente alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’UE.

Fra le principali novità del Regolamento c’è il cosiddetto “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Salvo casi specifici, le imprese stabilite in più Stati membri o che offrono prodotti e servizi in vari Paesi dell’Ue, per risolvere possibili problematiche sull’applicazione e il rispetto del Regolamento potranno rivolgersi ad un solo interlocutore: cioè l’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.

APPROCCIO BASATO SULLA VALUTAZIONE DEI RISCHIO CHE PREMIA I SOGGETTI PIU’ RESPONSABILI

Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

Il principio-chiave è “privacy by design”, ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche. Ad esempio, è previsto l’obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti alle persone, consultando l’Autorità di protezione dei dati in caso di dubbi. Viene, inoltre, introdotta la figura del “Responsabile della protezione dei dati” (Data Protection Office o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti.

In compenso, scompaiono alcuni oneri amministrativi come l’obbligo di notificare particolari trattamenti, oppure di sottoporre a verifica preliminare dell”Autorità i trattamenti considerati “a rischio”.

SEMPLIFICAZIONI PER I SOGGETTI CHE OFFRONO MAGGIORI GARANZIE E PROMUOVONO SISTEMI DI AUTOREGOLAMENTAZIONE

Il Regolamento promuove il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea (nel caso di approvazione da parte della Commissione il codice di condotta avrà applicazione nell’intera Ue).

Il Titolare potrà far certificare i propri trattamenti, in misura parziale o totale, anche ai fini di trasferimenti di dati in Paesi terzi. La certificazione potrà essere rilasciata da un soggetto abilitato oppure dall’Autorità di protezione dei dati.

L’adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l’Autorità dovrà tenere conto, per esempio, nell’applicare eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare.