ASSOCIAZIONI E PRIVACY - COSA CAMBIA CON LA NUOVA NORMATIVA

DAL 25 MAGGIO ENTRA IN VIGORE IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY

Dal prossimo 25 maggio sarà definitivamente applicabile il nuovo Regolamento europeo 679 del 2016 (d’ora in avanti Regolamento) in materia di protezione dei dati personali. A quella data dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento stesso (il testo del Regolamento è stato pubblicato il 24 maggio del 2016 sulla Gazzetta Ufficiale dell’Unione Europea). 
L’impronta del regolamento si orienta verso un maggior rigore, che si manifesta nella previsione di sanzioni più pesanti e di adempimenti più articolati, e comporta una maggiore cautela nel trattamento dei dati.

Una breve sintesi delle novità introdotte dal Regolamento 679 del 2016
L’ambito di applicazione della disciplina europea in materia di Privacy viene esteso, ed in particolare:
• i requisiti formali richiesti per la validità del consenso al trattamento dei dati personali da parte degli interessati diventano più rigorosi (anche on line) ed è esclusa ogni forma di consenso tacito;
• vengono riconosciuti il diritto all’oblio (art.17 del Regolamento), cioè la possibilità per l’interessato di decidere che siano cancellati e non sottoposti ad ulteriore trattamento i propri dati personali;
• viene riconosciuto il diritto alla portabilità dei dati (art.20 del Regolamento);
• vengono introdotti i concetti di protezione dei dati personali “by design” (ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta che durante l’esecuzione del trattamento) e by default (ossia che i dati vengano trattati solo per le finalità previste e per il periodo necessario a tali fini); 
• viene disposto l’obbligo di notifica in caso di violazione dei dati personali (“Data Breach”). 

Ulteriori novità introdotte dal Regolamento
Il Regolamento prevede l’obbligo di accountability (cd. obbligo di responsabilizzazione e obbligo di rendicontazione) per il titolare del trattamento dei dati, che deve poter dimostrare di aver adottato misure adeguate ed efficaci di trattamento;
È inoltre previsto l’obbligo di DPIA (Data Protection Impact Assessment, art.35 del Regolamento), ossia la valutazione d’impatto sulla protezione dei dati, da effettuarsi qualora i trattamenti prevedano in particolare l'uso di nuove tecnologie o possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche. 
Il DPO (Data Protection Officer), ossia la figura responsabile della protezione dei dati e incaricato ad assicurare una corretta gestione degli stessi, è obbligatorio quando:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali nell’esercizio delle loro funzioni;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattare, su larga scala, categorie particolari di dati di cui all’articolo 9 del Regolamento (gli ex dati sensibili) o dati relativi a condanne penali e a reati di cui all’articolo 10 del Regolamento.

Un esempio della portata di tale regolamento è il nuovo livello di sanzioni, che può arrivare sino al 4% del fatturato globale o a 20 milioni di euro.
Si ricorda che tutti questi adempimenti devono essere attuati entro il 25 maggio 2018.

Maggiori informazioni sul tema si possono trovare sul sito del Garante della Privacy.


A cura di Giovanni Poletto (Studio Gadler S.R.L.)
Pubblicato il: 27/04/2018
IN PRIMO PIANO
+ Carica vecchie