Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del testo del Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy.

 

Ricordiamo che i regolamenti UE sono immediatamente esecutivi, non richiedendo la necessità di recepimento da parte degli Stati membri.

 

Il Garante Italiano per la privacy ha elaborato una prima “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” (di seguito anche solo Guida).

Su questo aspetto il Garante chiarisce molti aspetti. Non scordiamoci, infatti, che per le nostre imprese sarà principalmente il Garante a verificare gli adempimenti, conoscere, quindi, le sue linee interpretative consente di meglio allineare gli adempimenti da implementare.

Più precisamente nella Guida il Garante ha tracciato un quadro generale delle principali innovazioni introdotte dalla normativa segnalando i punti di novità rispetto al Codice, fornendo al contempo indicazioni sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa.

Si ricorda, infatti, che la normativa è già in vigore dal 24 maggio 2016, anche se sarà pienamente efficace dal 25 maggio 2018.

Questi, a parere di chi scrive, i principali punti critici esaminati dal Garante.

  1. CONSENSO: Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche del nuovo Regolamento. I titolari del trattamento, quindi, possono già avviare un percorso di aggiornamento delle informative e acquisizione dei consensi.
  2. RAPPORTI CON ESTERNI: i titolari devono valutare l’esistenza di eventuali situazioni di contitolarità essendo obbligati in tal caso a stipulare l’accordo interno descritto all’art. 26, paragrafo 1, del regolamento. I titolari di trattamento devono verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporticon i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall’art. 28, paragrafo 3, del regolamento ed apportare le necessarie integrazioni o modifiche
    Sulla gestione degli esterni, il Garante ricorda che la Commissione UE e le autorità nazionali di controllo (di cui il Garante fa parte) stanno valutando la definizioni di clausole contrattuali o modelli da utilizzare come riferimento.
  3. INCARICATI DEL TRATTAMENTO: le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso il Garante  ritiene opportuno che titolari e responsabili del trattamento mantengano in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamentocosì come delineatesi negli anni anche attraverso gli interventi del Garante
  4. MISURE MINIME:le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva. Il Garante conferma che , non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. Secondo quanto indicato dal Garante le  prescrizioni contenute nel Codice e, in particolare, nell’Allegato “B” al Codice, e nei provvedimenti adottati ad hoc in questi anni potranno essere valutate dallo stesso Garante per la definizione di linee-guida o buone prassi.
  5. REGISTRO DEI TRATTAMENTI: è un nuovo adempimento del Regolamento UE. Il Garante precisa che la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali che il titolare deve implementare. Lo stesso Garante, quindi, invita “tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.

 

I contenuti del registro sono fissati nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. Nello specifico, si richiama l’attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all’art. 38 del Codice e quelli che devono costituire il registro dei trattamenti ex art. 30 regolamento; l’Autorità sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni.

Tecnologie quindi, ma anche professionalità.

Nuove figure professionali saranno quindi chiamate ad intervenire nella gestione di questi processi e nel supportare le Imprese e i loro responsabili nella valutazione e nella gestione di soluzioni organizzative e operative commisurate alle proprie necessità.

Emerge così la figura del Data Protecion Officer (Responabile della protezione dei Dati),  che appunto dal 25 maggio 2018 tutte le Imprese e Enti che trattano grandi quantità di dati sensibili, dovranno nominare o inserire nel proprio organico.

Tale figura è richiesta anche per tutte le aziende che come attività principale, trattando dati personali non necessariamente sensibili ma che per la loro natura o finalità richiedono controlli sistematici da parte degli interessati. Come avviene nel caso della profilazione degli utenti dai siti web.

Quali sono le caratteristiche di questa figura?Innanzitutto deve possedere una perfetta conoscenza della normativa privacy e trattamento dati personali, ma anche dei mezzi e soluzioni specifiche per la gestione e il trattamento corretto dei datis tessi.

Per questo deve essere anche esperto di tecnologie, o almeno consocerne le funzionalità e le caratteristiche di gestione.

Ma cosa più importante è che deve essere una figura che svolge le sue funzioni i perfetta indipendenza dall’Azienda e in assenza di conflitto di interesse.

E’ tenuto ad informare Azienda e dipendenti in merito agli obblighi previsti dalla normativa, verificando costantemente che tutte le regole previste dalla legge, nello specifico contesto di riferimento, siano applicate correttamente.

Si tratta quindi di un supervisore e controllore della gestione dei dati personali di cui è in possesso l’Azienda ma è anche il riferimento principale degli stessi interessati al trattamento dei dati, nella eventuale richiesta di maggiori tutele, informative o applicazioni di diritti.

Infine è anche il Referente dell’Azienda nei confronti dell’Autorità di controllo (Garante per la Privacy) con il quale deve relazionarsi per qualsiasi consultazione.

======***=====

Alla luce degli obblighi stringenti e dei controlli relativi, SI CONSIGLIA OGNI AZIENDA DI PRENDERE IN DEBITA CONSIDERAZIONE GLI ADEMPIMENTI CONTENUTI IN QUESTA INFORMATIVA, al fine di essere in regola  il 25 MAGGIO 2018 alla luce della nuova normativa.

%d blogger hanno fatto clic su Mi Piace per questo:

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi