GDPR-2018Il nuovo Regolamento Europeo Privacy, detto anche GDPR 2018: un imminente scossone per gli Enti Pubblici e per le Imprese. Cosa cambierà nello specifico?


4 maggio 2016-24 maggio 2018: due anni e venti giorni concessi dall’Unione Europea alle PA ed alle aziende per adeguarsi alla nuova normativa privacy.

 

Il nuovo Regolamento Europeo Privacy, UE 2016/679, detto anche GDPR 2018 (acronimo che sta per General Data Protection Regulation), sarà obbligatorio e pienamente in vigore dal prossimo maggio.

 

Il mondo della privacy, mantiene i punti cardine, ma si modella all’attuale società in cui internet ed i dati in circolo sono la materia prima di qualsiasi attività o servizio.

 

Cosa cambierà?

 

Di seguito uno schema esemplificativo delle principali novità introdotte dal nuovo GDPR 2018.

 

 

  PRIMA DOPO
Soggetti destinatari del Regolamento La normativa era ristretta al luogo in cui risiedeva il Titolare del trattamento dei dati La normativa si rivolge al Soggetto i cui dati vengono raccolti, indipendentemente dalla sede del Titolare.

Abolita la figura del Titolare a favore di quella del Responsabile.

L’importanza della documentazione La documentazione era importante Vige il principio dell’accountability: il Titolare del trattamento deve essere in grado di comprovare che i dati utilizzati siano utilizzati nel rispetto della normativa. Tale rispetto deve essere Obbligo fattivo, non soltanto giuridico e verbale dimostrabile mediante documentazione ed adeguate misure tecnico-organizzative. Chi non è capace di esibire tale documentazione è passibile di sanzioni, indipendentemente dalla liceità dell’uso svolto
Informativa Privacy Ricca di riferimenti normativa, prolissa e poco chiara L’informativa deve essere chiara, ristretta e comprensibile, con esigui riferimenti normativi.

L’uso di icone è consigliato per essere comprensibile da chi non conosce la lingua.

Consenso Consenso libero, specifico ed informato. Consenso è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato circa il trattamento dei propri dati, con il presupposto indefettibile che abbia la capacità giuridica per farlo. Il proprio assenso va espresso mediante dichiarazione o azione positiva inequivocabile.
Valutazione impatto privacy Il DPS era un obbligo previsto dal DLgs 196/2003, ed è venuto meno a seguito del Decreto Legge n. 5 del 9 febbraio 2012, convertito dalla legge n. 35 del 4 aprile 2012. Nasce il PIA (Privacy Impact Assessment): una forma di risk assessment e di risk management per quanto riguarda le implicazioni specifiche di Privacy.

Aiuta ad analizzare con sistematicità, ad individuare e a ridurre i rischi privacy, lungo tutte le fasi progettuali.

Notificazione Obbligo di notifica al Garante dell’esistenza di una attività di raccolta e trattamento di dati personali. Notifica e prior checking vengono sostituiti da controlli ex post, mediante la redazione del PIA
Data Protection Officer Figura non contemplata dalla normativa La designazione del DPO è obbligatoria in tre ipotesi:

–          Se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico,

–          Se le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;

–          Se le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” o “giudiziari”.

Scelta facoltativa per le PMI.

Segnalazione in caso di violazione dei dati Nessun obbligo Segnalazione al garante entro 72h dal fatto. Gravi sanzioni penali in caso di infrazioni
Diritti per l’interessato Poche azioni esperibili Nuovi diritti: Diritto all’oblio, alla portabilità dei dati, necessità di manifestare un consenso esplicito, diritto alla limitazione del trattamento, diritto di opporsi a processi di trattamento automatizzati

 

Sanzioni ingenti per i trasgressori: fino a 20 milioni di euro o al 4% del fatturato totale dei trasgressori.

 

 

A chi rivolgersi per avere un adeguato supporto professionale?

 

La DigitalPA, società di consulenza all’avanguardia in questo campo, effettua una prima consulenza generale, esamina e predispone tutti i documenti necessari e/o la predisposizione di un privacy officer, formazione in house e on center.