GDPR – Nuovo Regolamento Europeo per il trattamento dei dati personali

GDPR

REGOLAMENTO UE NR.2016/679 RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI EMESSO IN DATA 27.04.2016.

Con regolamento europeo nr.2016/679, entrato in vigore dal 24.05.2016, cui obbligatorietà scatterà dal 25.05.2018, sono state emanate, a livello europeo, quindi valide su tutto il territorio dell’unione, nuove disposizioni inerenti il trattamento dati, che verranno nel sopperire l’attuale normativa Nazionale, dettata dal D.L/vo 30.06.2003 nr.196.
Tale regolamento, com’è noto, non necessita di recepimento da parte degli stati sovrani, come avviene per le direttive, pertanto, come sopra citato, avrà valore di legge, su tutto il territorio Nazionale, a decorrere dal 25.05.2018.
Detta normativa non si differenzia in maniera sostanziale dall’attuale D.L/vo 196/03, avendo in particolare, quale obbiettivo, quello di uniformare le legislazioni degli stati membri, che già sulla precedente normativa, facevano riferimento a precedente direttiva 95/46/CE, in particolare introduce nuove figure ed obblighi, rispetto ai precedenti quali:

D.P.O. (Data Protection Officer) RESPONSABILE PROTEZIONE DATI

Tale figura, viene prevista solo in determinati casi:

  • Se il trattamento è svolto da una pubblica amministrazione;
  • Se i dati trattati richiedono un monitoraggio regolare e sistematico o su larga scala;
  • Se vengono trattati dati classificati particolari (relativi alla salute della persona – giudiziari).

Il D.P.O. ha una funzione di consulenza, che supporta il titolare od il responsabile, tiene i contatti con l’autorità (Garante), può disporre l’attuazione di misure di sicurezza qualora si rendano indispensabili, può essere interessato anche da tutte le altre figure che operano all’interno dell’azienda, in materia si sicurezza nel trattamento dei dati.
Per ogni decisione in materia di trattamento, detta figura DEVE ESSERE CONSULTATA da parte del titolare.
Il D.P.O. viene nominato dal titolare del trattamento.
Le linee guida emesse dalla commissione WP29, raccomandano la nomina del D.P.O. anche nei casi in cui tale figura non sia obbligatoria.

D.P.I.A. (Data Protection Impact Assessement) VALUTAZIONE D’IMPATTO NELLA PROTEZIONE DEI DATI

Trattasi di un documento finalizzato a realizzare una analisi dei rischi attraverso lo studio e le modalità di trattamento dei dati.
Detto documento deve individuare i rischi correlati e le misure idonee a neutralizzarli e, in ultima ipotesi a gestirli.
La stesso deve contenere:

  • Una descrizione sistematica dei trattamenti previsti;
  • Le finalità del trattamento;
  • L’interesse legittimo perseguito dal titolare del trattamento;
  • Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • Una valutazione dei rischi;
  • Le misure previste per affrontare i rischi;
  • Le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

Tale documento risulta obbligatorio quando:

  • È presente una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • Viene effettuato un trattamento, su larga scala, di categorie particolari di dati personali (es.sanitari), o di dati giudiziari;
  • Videosorveglianza.

Il D.P.I.A. deve essere redatto dal titolare del trattamento, unitamente al responsabile, in collaborazione con il RESPONSABILE DELLA PROTEZIONE DATI (D.P.O.).

REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO

Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.
Tale registro contiene tutte le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative.

Tale registro è obbligatorio nei seguenti casi:

  • imprese od organizzazione con almeno 250 dipendenti;
  • che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato;
  • che il trattamento non sia occasionale;
  • che il trattamento includa categorie di dati particolari (sanitari o giudiziari).

Ovviamente anche per quanto concerne procedimenti di informativa agli interessati nonché consenso, sono state previste modiche che rendono obbligatorio riformulare le procedure.
E’ opportuno rappresentare come, per CATEGORIA PARTICOLARE DI DATI PERSONALI, devono intendersi dati personali che rivelino:

  • l’origine razziale o etnica;
  • le opinioni politiche;
  • le convinzioni religiose o filosofiche;
  • l’appartenenza sindacale;
  • dati genetici;
  • dati biometrici intesi a identificare in modo univoco una persona fisica (es.videosorveglianza – impronte digitali – iride);
  • dati relativi alla salute;
  • dati relativi alla vita sessuale;
  • dati relativi all’orientamento sessuale.

Ci preme ricordare come, la violazione delle disposizioni contenute nel regolamento, prefigura sanzioni pecuniarie, che possono arrivare, per i casi meno gravi fino ad euro 10.000.000, per altri casi fino ad euro 20.000.000.

Jestersoft è in grado di fornire supporto sia per la redazione del documento di valutazione d’impatto, nonché nella realizzazione del registro delle attività di trattamento.
In merito alla nomina del D.P.O., stante che tale figura può essere anche individuata anche all’esterno, con regolare contratto di servizi, si rende disponibile anche la possibilità di avvalersi per tale incarico, a personale di questa azienda.

 

Da “Il Sole 24 Ore”

Garante privacy: nel 2014 sanzioni per 5 milioni di euro

Da “La tribuna di Treviso”

Telecamere abusive, multati i sindaci di Villorba e Preganziol

Da “La Nuova Ferrara”

Telecamere abusive e violazione della privacy; stangata da 12.000 euro