Adeguamenti normativa europea 2016/679

APPROFONDIMENTI SUL REGOLAMENO EUROPEO 2016/679
Il nuovo regolamento europeo è stato emanato nel mese di Aprile 2016. contiene importanti novità che vanno direttamente ad influenzare la nostra attuale normativa (D. Lgs. 196/03) e il recepimento è di norma immediato. Per l’adeguamento è stato dato il termine del 25 Maggio 2018.
Cosa cambia e cosa c’è da fare:
  1. Il Consenso al Trattamento: cambiano leggermente le modalità di richiesta in relazione alla manifestazione esplicita. Può essere prestato dai maggiori di 16 anni. Il Titolare del Trattamento non dovrà preoccuparsi dei consensi raccolti fino al 25 maggio 2016 e riadattare le nuove richieste con piccoli interventi mirati.
  2. Informativa al Trattamento: Sono ridefinite le modalità di “consegna” della stessa informativa con termine fino a un mese dalla raccolta del dato, sono da aggiungere nuove caratteristiche in relazione alla comunicazione o al trasferimento dei dati all’estero. Sostanzialmente il Titolare del Trattamento deve effettuare un’attenta revisione delle informative standard e pubblicare le nuove.
  3. Esercizio dei Diritti dell’Interessato: l’esercizio standard di tale diritto e la nostra legislazione è sostanzialmente in linea. Il Garante sta tuttora verificando le compatibilità.
  4. Diritto all’Oblio: viene specificato cosa significa e le prime modalità di esercizio. Ricordiamo che tale diritto prevede che un soggetto interessato i cui dati personali siano stati pubblicati (ad es. social media, Google, Facebook, ecc.) possa chiedere al Titolare del Trattamento che tali dati siano completamente eliminati. Ora sono introdotti nuovi obblighi per i Titolari.
  5. Titolari, Responsabili del Trattamento e Privacy Officer (Data Protection Officer): sono previste nuove regole per quanto riguarda le situazioni di “Contitolarità del Trattamento” ossia i trattamenti effettuati in contemporanea e per medesime finalità da aziende appartenenti ad un gruppo. Sono introdotte nuove regole in relazione a obbligatorietà di nomina, modalità di nomina, identificazione dei “soggetti responsabili” e loro obblighi e responsabilità. Nasce la figura del “Sub-Responsabile”. Quindi il Titolare del Trattamento ora dovrà rivedere e verificare tutte le nomine effettuate in passato ed eventualmente ricompilarle secondo i nuovi parametri. Viene introdotta la funzione del Privacy Officer (DPO); tale soggetto, anche esterno all’azienda, dovrà essere nominato solo in presenta di determinati requisiti (trattamenti massicci e sistematici di alcune categorie di dati personali) e avrà funzione di garanzia e controllo dei trattamenti. La sua nomina deve essere valutata caso per caso…  La Commissione e le autorità nazionali di controllo (fra cui il Garante) stanno valutando la definizione di clausole contrattuali modello da utilizzare per la nomina del DPO. Quindi c’è da attendere…
  6. Approccio basato sul rischio dei trattamenti e sulla “responsabilizzazione” dei Titolari e Responsabili del Trattamento: Il regolamento pone con forza l'accento sulla "responsabilizzazione" di titolari e responsabili ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento (privacy by default and by design). Di fatto il Titolare decide in totale autonomia e in via preventiva se può o meno effettuare un trattamento, adottare le misure necessarie affinché tale trattamento si effettuato in tutta sicurezza e descrivere tali modalità. Quindi cadono istituti importanti fino ad ora come la “Verifica Preliminare” e la nota “Notificazione al Trattamento”. Quindi non e più necessario l’obbligo di notificare alcuni trattamenti peculiari tipo l’adozione dei sistemi GPS, la profilazione delle abitudini di consumo e molto altro. In sostanza si introducono nuovamente alcuni concetti relativi al “documentare le contromisure adottate per prevenire eventuali danni ai dati personali” in relazione alle tuttora in vigore “Misure Minime di Sicurezza”. Tale approccio ricorda molto il vecchio e mai dimenticato Documento Programmatico sulla Sicurezza ma con nuove sostanziali variazioni. Ne consegue una rinnovata attenzione alla compilazione di tali documentazioni. Anche qui, purtroppo, siamo in presenza di richieste specifiche di attesa da parte dell’Autorità Garante, che sta valutando i nuovi approcci e modelli da adottare.
  7. Trasferimento dei dati verso paesi terzi o Organismi Internazionali: alle attuali regole circa il trasferimento dei dati all’estero ne vengono aggiunte altre a garanzia che tali movimentazioni di “Big Data” siano effettuate in sicurezza e secondo accordi certificati tra le parti. Il regolamento consente di ricorrere anche a codici di condotta ovvero a schemi di certificazione per dimostrare le "garanzie adeguate" al trasferimento dei dati oppure assumere impegni vincolanti mediante specifici strumenti contrattuali dotati di specifiche “Clausole Contrattuali Standard” approvate dalla Commissione Europea”. Anche in questo caso verranno emanate specifiche normative mentre le attuali restano tuttora valide e applicabili.
Vuoi maggiori informazioni ?