Privacy: le 5 novità che la tua azienda deve assolutamente sapere

Non farti trovare impreparato al cambio della normativa privacy

privacy

 

Possiamo definirlo rivoluzione o semplicemente cambiamento: stiamo parlando del nuovo Regolamento Europeo Privacy che è entrato in vigore il 4 maggio 2016 e che troverà poi definitiva applicabilità diretta in tutti i Paesi dell’Unione Europea a partire dal 25 maggio 2018. Si tratta infatti di una disciplina universale per tutti gli Stati UE che garantirà maggiori diritti per i cittadini e che nasce anche dalla necessità di adeguare le norme di protezione dei dati ai continui cambiamenti legati all’evoluzione tecnologica, ma anche di introdurre alcune semplificazioni.

In attesa di capire come l’Autorità Garante della Privacy Italiana procederà nel verificare la compatibilità del nuovo regolamento (Regolamento 679/2016) con l’attuale codice sulla privacy (D.lgs 196/2003), vediamo insieme alcune delle principali novità che la tua azienda deve conoscere:

1) L’Introduzione di una nuova figura per vigilare sul rispetto delle disposizioni (il privacy officer altrimenti detto DPO): finora ignota, questa figura è stata introdotta nel mondo della privacy dal nuovo regolamento, che ne prevede esplicitamente la designazione in alcuni casi specifici. In estrema sintesi svolge in sostanza compiti di monitoraggio e verifica che il “sistema di gestione privacy” sia allineato alle normative in vigore. Ma vediamo cosa compete al DPO in pratica:
– Informa e fornisce consulenza sugli obblighi derivanti dalle norme privacy;
– Vigila sull’osservanza della norma privacy;
– Fornisce un parere in merito alla valutazione di impatto sulla protezione dei dati;
– Coopera con le autorità di controllo e funge da contatto per questioni connesse al trattamento
– funge da interlocutore per tutti gli interessati.
Risulta quindi una figura chiave, soprattutto in realtà particolarmente complesse dal punto di vista privacy.

Ma a chi serve il DPO? Chi ha l’obbligo di designarlo, posto che è una figura opportuna per ciascuna organizzazione che intenda gestire la privacy come sistema?

L’articolo 37 del regolamento europeo ne prevede la designazione se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali).

Ne è prevista altresì la designazione se:
“b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; “

Ad esempio è prevedibile che dovrà designare un DPO una catena di negozi che tratta i dati dei consumatori all’interno di un programma di marketing relazionale con analisi degli acquisti al fine di realizzare un programma di fidelizzazione mirato (ad esempio mediante rilascio della “fidelity card”);

“c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.”

Ad esempio è prevedibile che dovrà designare un DPO una catena di ambulatori dentistici privati, che per le sue dimensioni si trova a gestire su larga scala dati personali inerenti lo stato di salute dei propri pazienti.

2) Nuove sanzioni che possono raggiungere anche 20 milioni di euro o il 4 % del fatturato annuo. Pesanti sanzioni che implicano sicuramente che le imprese non potranno più sottovalutare le regole e dovranno darsi da fare per allinearsi alle nuove regole entro il termine previsto.

3)Nuova disciplina del trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale. Tutte le disposizioni saranno applicate al fine di assicurare che il livello di tutela delle persone fisiche garantito dal regolamento non sia pregiudicato.

4)Nuovi concetti come il diritto all’oblio, la portabilità dei dati, protezione dei dati fin dalla progettazione, protezione dei dati di default: senza entrare nel merito di ciascuno di essi, ad esempio parlando di “privacy by default” il responsabile del trattamento dovrà mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, di default, solo i dati personali necessari per ogni specifica finalità del trattamento; ciò vale per la quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione e l’accessibilità. In particolare le misure garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica. Parlando invece di “privacy by design”, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il responsabile del trattamento metterà in atto misure tecniche e organizzative adeguate volte ad attuare i principi di protezione dei dati e ad integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.

5)Registro delle attività di trattamento e valutazione di impatto sulla protezione dei dati: Ogni Titolare/responsabile del trattamento dovrà tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. Ci saranno però delle esclusioni: gli obblighi derivanti dalla tenuta del registro dei trattamenti non si applicheranno infatti alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o il trattamento di dati relativi a condanne penali e a reati. I registri dovranno essere tenuti in forma scritta, anche in formato elettronico.

Quando un tipo di trattamento, allorché prevederà in particolare l’uso di nuove tecnologie, potrà presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrà effettuare, prima di procedere al trattamento, una valutazione dell’impatto. In particolare la valutazione di impatto sarà richiesta nei seguenti casi:
a) effettuazione di valutazioni sistematiche e globali di aspetti personali relativi a persone fisiche, basate sul trattamento automatizzato (compresa la profilazione) e da cui discendono decisioni che hanno effetti giuridici o incidono significativamente sulle persone fisiche;
b) trattamento su larga scala, di categorie particolari di dati o di dati relativi a condanne penali e a reati;
c) sorveglianza sistematica di una zona accessibile al pubblico su larga scala.

Queste sono in sintesi solo alcune delle novità introdotte dal nuovo regolamento europeo.

Vuoi restare aggiornato su ulteriori novità del regolamento europeo? Vuoi approfondire la tematica del DPO?
Contattaci e potrai parlare con un DPO certificato TUV.

Dott.ssa Silvia Calderini – Consulente privacy del GruppoRES
“Privacy Officer & Consulente della Privacy”
Certificato TUV CDP_203 – ISO/IEC 17024:2012
Scarica le nostre slide gratuite!