Il nuovo Regolamento Europeo Privacy, detto anche GDPR 2018: un imminente scossone per gli Enti Pubblici e per le Imprese. Cosa cambierà nello specifico?
4 maggio 2016-24 maggio 2018: due anni e venti giorni concessi dall’Unione Europea alle PA ed alle aziende per adeguarsi alla nuova normativa privacy.
Il nuovo Regolamento Europeo Privacy, UE 2016/679, detto anche GDPR 2018 (acronimo che sta per General Data Protection Regulation), sarà obbligatorio e pienamente in vigore dal prossimo maggio.
Il mondo della privacy, mantiene i punti cardine, ma si modella all’attuale società in cui internet ed i dati in circolo sono la materia prima di qualsiasi attività o servizio.
Cosa cambierà?
Di seguito uno schema esemplificativo delle principali novità introdotte dal nuovo GDPR 2018.
PRIMA | DOPO | |
Soggetti destinatari del Regolamento | La normativa era ristretta al luogo in cui risiedeva il Titolare del trattamento dei dati | La normativa si rivolge al Soggetto i cui dati vengono raccolti, indipendentemente dalla sede del Titolare.
Abolita la figura del Titolare a favore di quella del Responsabile. |
L’importanza della documentazione | La documentazione era importante | Vige il principio dell’accountability: il Titolare del trattamento deve essere in grado di comprovare che i dati utilizzati siano utilizzati nel rispetto della normativa. Tale rispetto deve essere Obbligo fattivo, non soltanto giuridico e verbale dimostrabile mediante documentazione ed adeguate misure tecnico-organizzative. Chi non è capace di esibire tale documentazione è passibile di sanzioni, indipendentemente dalla liceità dell’uso svolto |
Informativa Privacy | Ricca di riferimenti normativa, prolissa e poco chiara | L’informativa deve essere chiara, ristretta e comprensibile, con esigui riferimenti normativi.
L’uso di icone è consigliato per essere comprensibile da chi non conosce la lingua. |
Consenso | Consenso libero, specifico ed informato. | Consenso è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato circa il trattamento dei propri dati, con il presupposto indefettibile che abbia la capacità giuridica per farlo. Il proprio assenso va espresso mediante dichiarazione o azione positiva inequivocabile. |
Valutazione impatto privacy | Il DPS era un obbligo previsto dal DLgs 196/2003, ed è venuto meno a seguito del Decreto Legge n. 5 del 9 febbraio 2012, convertito dalla legge n. 35 del 4 aprile 2012. | Nasce il PIA (Privacy Impact Assessment): una forma di risk assessment e di risk management per quanto riguarda le implicazioni specifiche di Privacy.
Aiuta ad analizzare con sistematicità, ad individuare e a ridurre i rischi privacy, lungo tutte le fasi progettuali. |
Notificazione | Obbligo di notifica al Garante dell’esistenza di una attività di raccolta e trattamento di dati personali. | Notifica e prior checking vengono sostituiti da controlli ex post, mediante la redazione del PIA |
Data Protection Officer | Figura non contemplata dalla normativa | La designazione del DPO è obbligatoria in tre ipotesi:
– Se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico, – Se le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”; – Se le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” o “giudiziari”. Scelta facoltativa per le PMI. |
Segnalazione in caso di violazione dei dati | Nessun obbligo | Segnalazione al garante entro 72h dal fatto. Gravi sanzioni penali in caso di infrazioni |
Diritti per l’interessato | Poche azioni esperibili | Nuovi diritti: Diritto all’oblio, alla portabilità dei dati, necessità di manifestare un consenso esplicito, diritto alla limitazione del trattamento, diritto di opporsi a processi di trattamento automatizzati |
Sanzioni ingenti per i trasgressori: fino a 20 milioni di euro o al 4% del fatturato totale dei trasgressori.
A chi rivolgersi per avere un adeguato supporto professionale?
La DigitalPA, società di consulenza all’avanguardia in questo campo, effettua una prima consulenza generale, esamina e predispone tutti i documenti necessari e/o la predisposizione di un privacy officer, formazione in house e on center.