A proposito di Regolamento Europeo per la protezione dei dati personali 2016/679 o nella sua accezione inglese GENERAL DATA PROTECTION REGULATION.
Approfondiamo un po’ meglio il quadro degli obblighi che porta con sé il GDPR, che possiamo così riassumere:
- Nomina di un responsabile protezione dei dati (RPD) ovvero di un DPO (data protection Officier)
- Il titolare del trattamento deve redigere il REGISTRO DEI TRATTAMENTI (art. 30) e tenerlo costantemente aggiornato con informazioni riguardanti:
- operatori interni ed esterni con accesso ai dati
- finalità di trattamento dei dati
- categorie e tipologie dei dati
Data breach (violazione dei dati) è previsto l’obbligo di dare comunicazione all’autorità di controllo( GARANTE DELLA PRIVACY) competente (e in alcuni casi ai diretti interessati), di eventuali attacchi informatici con violazioni dei dati personali entro e non oltre le 72h.
Privacy impact Assessment–artt.33 e 34
Nel caso di trattamenti con rischi elevati per i diritti e le libertà dell’individuo, il titolare dei dati, deve procedere ad un PIA, cioè una valutazione dell’impatto dei trattamenti sulla privacy che effettuerà prima dell’inizio dei trattamenti con le figure più opportune del proprio organigramma privacy.
Le sanzioni: il rispetto della nuova normativa prevede un apparato sanzionatorio peggiorativo rispetto alla normativa precedente D.Lgs. 196/2003 .
Il Regoalmento quindi prevede l’attribuzione di una tra le seguenti sanzioni economiche:
una multa fino a 10 milioni di euro o fino al 2% del volume di affari globale registrato dall’azienda nell’anno precedente nei casi previsti dall’art. 83 paragrafo 4 del regolamento;
- fino a 20 milioni di euro o fino al 4% del del volume di affari globale registrato dall’azienda nell’anno precedente nei casi previsti dall’art. 83 paragrafi 5 e 6.
Lo scopo principale del GDPR è quindi, quello di ridurre gli attacchi informatici conoscendo le specifiche vulnerabilità dell’azienda.
I principi introdotti dal nuovo regolamento sono
ACCOUNTABILITY
Il titolare del trattamento dei dati personali è colui che determina le finalità ed i mezzi del trattamento, ed è il responsabile di rischi inerenti ai diritti ed alla libertà delle persone fisiche,il quale deve dimostrare di aver adottato le misure adeguate per garantire che il trattamento è effettivamente conforme al regolamento. Queste misure, proprio per la versatilità del GDPR, si adattano al contesto aziendale.
Privacy by design
La privacy by DESIGN pone l’utente al centro del sitema privacy , qualsiasi progetto va realizzato considerando la riservatezza e la protezione dei dati personali.
Le applicazioni della Privacy by design sono molteplici ( dalla progettazione strutturale, di edifici o ambienti, alla realizzazione di un progetto tecnologico o organizzativo, ad ogni situazione progettuale in ambito IT.
Privacy by default
La privacy by default è l’impostazione predefinita che preveda il trattamento dei soli dati necessari al perseguimento delle finalità dichiarate.
DIRITTO ALL’OBLIO
Di cui all’Art.17 del GDPR è in realtà il diritto alla cancellazione dei dati di una persona fisica, esteso e regolato anche con riferimento alla società digitale. In realtà il GDPR aggiunge il diritto di opposizione dell’interessato, a condzione che non sussista alcun interesse legittimo prevalente del titolare, oppure l’opposizione si basi sull’art. 21 par. 2 e cioè i dati siano trattati per finalità marketing diretto.
DIRITTO AL RISARCIMENTO
Chiunque subisca un danno materiale o immateriale provocato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento – o dal responsabile del trattamento – se e solo se quest’ultimo non sia in grado di dimostrare che il danno in questione non è ad esso imputabile .
Come riportato dal Codice Privacy D.lgs. 196/2003 ancora vigente in Italia, che però ha subito già modifiche con la Legge 167/2017 del 12 dicembre 2017 attuativa solo per alcuni aspetti del Regolamento Europeo 2016/679
L’informativa sul trattamento dei dati personali è l’informazione con cui si acquisisce il consenso in forma scritta o anche orale, ma annotata dal titolare del trattamento dei dati, riferita al trattamento di dati effettuato da uno o più soggetti, e al consenso di fornire l’informativa all’ interessato.