Privacy: cosa cambia per il trattamento dati personali dal 25 Maggio 2018

Francesca De Santis3 Gennaio 20187min75256
privacy
Soggetti pubblici e privati dovranno soddisfare nuove esigenze: nomina DPO, istituzione di un registro di trattamento dati e analisi dei rischi.

INDICE

il Regolamento EuropeoRiguarda anche te?Cosa cambia rispetto al precedente D. Lgs. 196/03?Chi è il DPO? Sarà sempre obbligatorio nominarlo? Quanto costerà?La nomina del DPO è obbligatoriaCosa si intende per larga scala?

 

Il 14 Aprile 2016 è stato approvato definitivamente il Regolamento Europeo in materia di protezione dati (GDPR, General Data Protection Regulation). La nuova norma abroga integralmente la direttiva Privacy 95/46/CE ed entrerà in vigore il 25 Maggio 2018.

Il regolamento introduce una serie di novità in materia di obblighi, diritti e conseguenti rischi rilevanti per le aziende dal punto di vista economico (sanzioni fino al 4% del fatturato worldwide) e di immagine (possibili conseguenze di un incidente informatico che metta a rischio l’integrità o la riservatezza dei dati).

Riguarda anche te?

Sono tenuti ad adeguarsi agli adempimenti previsti dalla normativa tutti i Soggetti Pubblici e Privati che effettuano il trattamento di dati personali archiviati in forma elettronica e/o cartacea. Tra questi, aziende, avvocati, commercialisti, organismi sanitari, istituzioni scolastiche, comuni e tutti coloro che trattano dati personali, anche mediante l’ausilio di strumenti elettronici.

La risposta, quindi è… Sì, riguarda anche TE!

Si farebbe prima ad indicare chi non è coinvolto: QUASI NESSUNO!

Cosa cambia rispetto al precedente D. Lgs. 196/03?

La maggior parte delle Organizzazioni si trova nella condizione di dover soddisfare nuove esigenze:

  • Nomine di figure professionali specifiche
  • Istituzione di un registro di trattamento dati
  • Analisi dei rischi

In tema di “figure professionali”, il Regolamento cita una nuova funzione, quella del DPO.

Chi è il DPO? Sarà sempre obbligatorio nominarlo? Quanto costerà?

Innanzitutto, tranquillizziamo tutti precisando subito che il legislatore dà, per fortuna, la possibilità di individuare questa figura sia esternamente e sia internamente tra i propri dipendenti.

È importante, comunque, conoscere bene i contenuti e gli ambiti di applicazione del nuovo regolamento.

Il DPO, Data Protection Officer, ha il compito di assicurare la protezione del patrimonio informativo aziendale e dei dati personali trattati.

Per quanto concerne i requisiti richiesti dal regolamento, il Data Protection Officer dovrà essere messo in condizioni di assoluta indipendenza e, in totale assenza di conflitti di interesse, dovrà possedere adeguate risorse umane e finanziarie, competenze informatiche e un’ottima conoscenza della normativa sulla privacy. Tale incarico potrà essere affidato sia ad un dipendente interno dell’azienda sia ad una figura esterna tramite un contratto di servizi.

La nomina del DPO è obbligatoria:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala (ad esempio tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale, utilizzo tessere fedeltà esercizi commerciali come le farmacie; occuparsi del funzionamento di una rete di telecomunicazioni; tracciamento dell’ubicazione; i programmi di fidelizzazione; utilizzo di un sistema di videosorveglianza; reindirizzamento di messaggi di posta, attività di marketing basate sull’analisi dei dati raccolti, automobili intelligenti, dispositivi per la domotica; ecc.)
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (ad esempio dati sanitari) o di dati personali relativi a condanne penali e reati.

Cosa si intende per larga scala?

Il Regolamento non fornisce una definizione specifica di “trattamento su larga scala“, anche se alcune indicazioni sono fornite al considerando 91 (ossia il testo che precede la parte dispositiva del regolamento), intendendo per trattamenti su larga scala la gestione di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato. Esiste, però, un’ampia zona di attenzione in cui si collocano attività per cui risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati.

Ad ogni modo, nel definire i propri trattamenti ed i relativi campi di azione è buona norma considerare:

  • il numero di soggetti interessati dal trattamento, rispetto alla popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata dell’attività di trattamento;
  • l’estensione geografica dell’attività di trattamento.

Altro aspetto fondamentale della nuova gestione del trattamento dati personali è legata alla precisa identificazione di tutti i trattamenti eseguiti da un’Organizzazione e relativa analisi dei possibili rischi.

In quest’ottica, Blumatica sta implementando un innovativo sistema di gestione che permetterà di adeguare qualunque tipo di Organizzazione ai nuovi requisiti privacy, rivolgendosi sia al consulente che presta il proprio servizio ad un numero indefinito di aziende sia alla grande Organizzazione che intende gestire all’interno il trattamento dati.

Una check list di autovalutazione consentirà di individuare tutte le operazioni da fare per allinearsi ai nuovi requisiti normativi.

Scopri il nostro software per il trattamento dati personali e privacy GDPR

Francesca De Santis

Responsabile Ricerca e Sviluppo Area Sicurezza

VEDI TUTTI GLI ARTICOLI

precedenteIl BIM conviene soprattutto per le piccole opere, scopri perchè

prossimoIl nuovo Decreto BIM: non aspettare il 2025, gioca d’anticipo

  • GIULIODORI FABIO

    23 Gennaio 2018 at 10:16

    Interessante e utile.

    Commenta

  • Gianluca

    20 Febbraio 2018 at 09:30

    Grazie per l’articolo, molto chiaro. E in generale molto interessante il vostro blog.
    Ho acquistato il vostro software privacy pochi mesi fa, quando sarà disponibile l’aggiornamento per l’adeguamento al nuovo GDPR? Grazie

    Commenta

    • Ufficio stampa Blumatica

      20 Febbraio 2018 at 09:54

      Grazie mille 🙂
      La nostra speranza è quella di fornire contenuti utili!
      In primavera saremo pronti con una nuova soluzione sulla privacy in linea con le nuove disposizioni normative.

      Commenta

  • alessandro

    28 Maggio 2018 at 11:37

    per un piccolo sito web che per far accedere ad alcuni file richiede la registrazione cosa cambia e cosa eventualmente deve fare?
    se Lo stesso sito vende anche onl -line un solo prodotto e quindi richiede di effettuare il pagamento trtamite PayPal cosa deve fare e cosa cambia?
    Grazie alessandro

    Commenta

    • Ufficio Stampa Blumatica

      28 Maggio 2018 at 15:42

      A prescindere dalla grandezza del sito e dal numero di prodotti venduti, il sito web deve essere dotato di una Policy Privacy in cui sono indicate le finalità dei trattamenti, le modalità, i dati trattati, i termini di cancellazione, i diritti degli interessati e le altre informazioni richieste all’art. 13 del GDPR.
      L’utente che si registra al sito deve prendere conoscenza dell’informativa e fornire il consenso al trattamento dei propri dati in base alle finalità esplicitate.
      Le preferenze manifestate devono essere reperibili all’interessato in modo da consentirgli di avvalersi dei proprio diritti.

      Commenta

Lascia un commento

La tua email non verrà pubblicata. I campi obbligatori sono contrassegnati *