LE PRINCIPALI NOVITA’ IN MATERIA DI PRIVACY: UNA NUOVA COMPLIANCE AZIENDALE NEL SEGNO DI UNA MAGGIORE SICUREZZA DEL PATRIMONIO INFORMATICO AZIENDALE

LE PRINCIPALI NOVITA’ IN MATERIA DI PRIVACY: UNA NUOVA COMPLIANCE AZIENDALE NEL SEGNO DI UNA MAGGIORE SICUREZZA DEL PATRIMONIO INFORMATICO AZIENDALE.

La tecnologia attuale consente, come mai in precedenza, sia alle imprese che alla pubblica amministrazione di utilizzare in modo sistematico e massivo dati personali nello svolgimento delle loro attività con riguardo ad una moltitudine di soggetti e, sempre più spesso, anche i privati rendono pubbliche sul web informazioni personali che li riguardano. Ciò comporta una crescita esponenziale dei rischi per la sicurezza dei dati personali e quindi per i diritti e le libertà delle persone fisiche. In questo scenario si è reso necessario l’intervento del Legislatore Europeo, al fine di delineare un quadro giuridico uniforme, solido e coerente in materia di protezione dei dati nell’Unione, con la recente entrata in vigore del Nuovo Regolamento Europeo sulla “Protezione delle persone fisiche con riguardo al trattamento dei dati personali e libera circolazione di tali dati”, che sostituirà il nostro Codice Privacy.
La nuova normativa affiancata da efficaci misure di attuazione e da un severo quadro sanzionatorio, consentirà un migliore sviluppo dell’economia digitale nel mercato interno, garantirà alle persone fisiche un maggiore controllo dei loro dati personali e rafforzerà la certezza giuridica e operativa per i soggetti economici e le autorità pubbliche. Ciò sarà tuttavia possibile solo attraverso la consapevolezza del valore del proprio patrimonio dati e dei rischi sulla sicurezza, da parte dei soggetti, pubblici o privati, che quotidianamente, nello svolgimento della loro attività, trattano dati personali.

UN FOCUS SUL NUOVO REGOLAMENTO UE 2016/679
In vigore dal 24 maggio 2016, sarà definitivamente applicabile in ciascuno degli stati membri dell’Unione Europea a decorrere dal 25 maggio 2018, di seguito le principali novità:

1. L’INFORMATIVA E IL PRINCIPIO DI TRASPARENZA
Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e che sia utilizzato un linguaggio semplice e chiaro, specie se dirette ai minori. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché sulle finalità e sulle modalità di esercizio dei loro diritti relativi al trattamento. I dati raccolti dovrebbero essere corretti, adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento; da qui l’obbligo, in particolare, di indicare il periodo di conservazione dei dati o se non possibile il criterio per determinare tale periodo.

2. DAI DATI SENSIBILI ALLA CATEGORIA PARTICOLARE DI DATI
Cambia la denominazione e viene ampliata la definizione, restando vietato il trattamento, se non con determinate severe garanzie, dei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, nonché trattare dati genetici e dati biometrici intesi a identificare in modo univoco una persona fisica.

3. LE PERSONE E LE RESPONSABILITÀ: IL TITOLARE DEL TRATTAMENTO
Dovrà mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento e se ciò è proporzionato rispetto alle attività di trattamento. Le misure includono l’attuazione di politiche adeguate in materia di protezione dei dati: Privacy by design – Privacy by default con una particolare attenzione alle misure di sicurezza informatica.
Un meccanismo di certificazione potrà essere utilizzato come elemento discriminante per dimostrare la conformità ai requisiti richiesti dal Regolamento. Inoltre, non si potrà prescindere da un Sistema di Gestione Privacy, in quanto il Regolamento (ma già il D. Lgs. 196/2003) prevede una serie di attività preventive, da realizzarsi mediante Modelli Organizzativi, integrando una tecnica di Compliance aziendale, al pari, ed integrandosi, con i D. Lgs. 81/2008 e 231/2001.

4. DPO – DATA PROTECTION OFFICER-RESPONSABILE DELLA PROTEZIONE DEI DATI:
Nuova figura professionale sarà obbligatoria per la PA e per i soggetti che trattano su larga scala categorie particolari di dati (dati sensibili) o che effettuano trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala in altri casi espressamente indicati dal Regolamento – particolarmente competente in materia di data protection, in grado di fornire tutta l’assistenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione di dati personali. In particolare i compiti del DPO sono riassumibili:
• sorvegliare la corretta applicazione della normativa sulla protezione dei dati;
• dare il suo parere sul privacy impact assestment di progetti;
• verificare la corretta applicazione della protezione dei dati sin dalla progettazione degli applicativi (privacy by design), controllando che gli stessi abbiano impostazioni privacy predefinite (privacy by default);
• effettua audit;
• collabora con le autorità competenti (L’autorità Garante per la protezione dei dati personali) e funge da punto di contatto con le stesse.
• controlla che le violazioni dei dati personali siano documentate, notificate e comunicate.

5. NUOVI ADEMPIMENTI:
– REGISTRI DEI TRATTAMENTI
– DATA PRIVACY IMPACT ASSESTMENT – VALUTAZIONE DI IMPATTO
– ESTENSIONE DEL DATA BREACH – NOTIFICA DELLA VIOLAZIONE DI DATI PERSONALI

ACCOUNTABILITY
Principio di rendicontazione, secondo cui ogni Titolare e quando designato il Responsabile del trattamento devono tenere un registro ove conservare la documentazione di tutte le categorie di attività effettuate sotto la propria responsabilità indicando obbligatoriamente – per ognuno di essi – una serie di informazioni, tali da assicurare e comprovare – per ciascun operazione – la conformità alle disposizioni del Regolamento.

DPIA: Data Privacy Impact Assestment – Valutazione di impatto
Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

DATA BREACH- Notifica della violazione di dati personali
La violazione dei dati è la violazione di sicurezza che comporta anche solo accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’acceso ai dati personali trasmessi, conservati o comunque trattati
Quando la violazione dei dati personali rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del trattamento provvederà senza ingiustificato ritardo alla notificazione all’Autorità Garante di quanto avvenuto e alla successiva documentazione dei fatti e dei rimedi adottati, questo adempimento è stato esteso a tutti i Titolari.

6. LE SANZIONI PER L’INOSSERVANZA DEL REGOLAMENTO
Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte siano in ogni singolo caso effettive, proporzionate e dissuasive.
La violazione delle principali disposizioni del Regolamento è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

7. CERTIFICAZIONE
Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese. Se il responsabile o l’incaricato è in possesso di un “Sigillo europeo per la protezione dei dati” valido in conformità all’art. 42 del Regolamento, nei casi di mancata conformità, intenzionale o dovuta a negligenza è imposta solo una sanzione amministrativa pecuniaria fino a Euro 10.000.000 euro o fino al 2% del fatturato mondiale annuo nel caso di impresa, se superiore.