Il prossimo 25 maggio entra in vigore in Italia il regolamento europeo sulla privacy ma siamo ancora in attesa di un decreto del governo che coordini le disposizioni del nostro codice della riservatezza con il nuovo regolamento europeo. Il Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR) manda in pensione il Dlgs 196/2003.
Italiani speranzosi di una proroga non sarete accontentati: il regolamento entrerà in vigore il 25 maggio 2018 senza slittamenti. Auspicabile, invece, è un’applicazione morbida, per un certo periodo, delle pesantissime sanzioni previste dal regolamento.
La nuova normativa sulla privacy è uniforme e valida in tutta Europa e definisce, rispetto alla vecchia norma, responsabilità maggiori in termini di protezione dei dati personali.
Le nuove regole richiederanno un adattamento dal punto di visto tecnologico, organizzativo, procedurale e legale.
La privacy in pillole
- I dati personali sono quelli delle persone fisiche: nome e cognome, dati anagrafici, iban, dati relativi allo stato di salute, foto, video, credo religioso, appartenenza a gruppi politici, ecc.
- Il Consenso per il trattamento dei dati sensibili deve essere esplicito; non è richiesta la forma scritta anche se questa è l’unica modalità che prova la sua ricezione senza equivoci. Il consenso raccolto ante 25/05/2018 resta valido solo se ha tutte le caratteristiche richieste dalla nuova normativa, diversamente è necessario raccogliere nuovamente il consenso degli interessati;
- L’informativa da consegnare a clienti, dipendenti, collaboratori, ecc., deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile. Per i minori occorre prevedere informative idonee;
- Il Registro dei trattamenti non è un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Il Garante invita tutti i titolari di trattamento e i responsabili (a prescindere dalle dimensioni dell’organizzazione), a dotarsi del registro;
- È necessario definire un organigramma della privacy che evidenzi i ruoli e le responsabilità: titolare del trattamento, responsabili del trattamento, soggetti incaricati;
- Quando previsto dalla normativa per il caso concreto, deve essere nominato il Responsabile della Protezione dei Dati – Data Protection Officer (“DPO”)
- Deve essere pianificata una adeguata formazione delle persone coinvolte nel processo per diffondere la cultura sulla privacy;
- La valutazione dei rischi consiste nella verifica del livello di esposizione ai rischi connessi a una minaccia e la previsione degli interventi per mitigarli (politiche di sicurezza);
- I dati personali devono essere sottoposti a protezione prima di essere trattati;
- È consigliabile redigere un codice di condotta volto a contribuire alla corretta applicazione del GDPR;
- I diritti dell’interessato devono essere tutelati: i titolari di trattamento devono adottare le misure tecniche e organizzative necessarie per favorire l’esercizio dei diritti;
- Devono essere definiti gli adempimenti e le procedure da seguire nel caso di un data breach (perdita, violazione di dati sensibili, protetti o riservati). Tutti i titolari del trattamento dovranno, in ogni caso, documentare le violazioni di dati personali subite.
