Nuovo regolamento europeo sulla Privacy

Spettabile Cliente,

per effetto dell’approvazione del nuovo regolamento europeo sulla PRIVACY (GDPR 2016/679 – General Data Protection Regulation) che entrerà in vigore dal 25 maggio 2018, cambieranno le regole di protezione dei dati personali. Va prestata grande attenzione perché il GDPR introduce nuovi obblighi e nuove sanzioni. In particolare, con il Regolamento, l’impresa Titolare del Trattamento risponde delle scelte e delle modalità di trattamento che ha deciso di attuare, cioè il Garante valuterà se le sue misure sono sufficientemente adeguate.

Se sei già cliente di Associati.net, rivolgiti al tuo referente per avere ulteriori informazioni, altrimenti contattaci dall’area dedicata del sito, cliccando sul pulsante “contatti”).
Tra le novità introdotte, elenchiamo le più significative:

• Principio dell’Accountability, ovvero l’impresa Titolare del Trattamento deve dotarsi di misure di sicurezza adeguate e non più minime per la protezione dei dati e deve documentare le decisioni prese;
• C’è l’obbligo di verifica, ovvero bisogna dimostrare nel tempo di aver controllato e monitorato l’adeguatezza di tali misure;
  I Responsabili del Trattamento devono essere designati con atto giuridico o contratto con specifici obblighi in quanto possono rispondere, in correità, del danno cagionato a un interessato: diventa necessario pertanto rivedere i contratti aventi per oggetto servizi o forniture che includono operazioni di trattamento;
• I Responsabili del Trattamento in particolare devono adottare un proprio piano dei rischi;
• Il GDPR richiede che il consenso sia espresso con atto positivo inequivocabile libero, specifico, informato e inequivocabile: occorre pertanto rivedere tutte le informative sulla privacy in quanto vanno richiesti consensi specifici per ogni finalità al trattamento;
• Vanno elaborate apposite procedure di gestione dei diritti degli interessati e di gestione delle violazioni e formare adeguatamente il personale interno coinvolto nella gestione dei dati personali: “termine di risposta per tutti i diritti esercitabili dagli interessati entro un mese, riscontro in forma scritta, notifica da parte delle imprese Titolari del Trattamento all’Autorità di Controllo delle violazioni subite (data breach) entro 72 ore e comunque senza ingiustificato motivo…”;
• Livello sanzionatorio fino al 4% del fatturato Mondiale, ovvero del fatturato dell’intera impresa multinazionale, comprese le filiali in tutto il mondo: la grossa novità del Regolamento è che la sanzione è commisurata all’abbienza dell’impresa;
• Dev’essere effettuata una Valutazione dell’Impatto dei trattamenti previsti sulla protezione dei dati personali in caso di rischi elevati sulle libertà e sui diritti degli interessati;
• Il Registro Dei Trattamenti diventa più articolato e non più mero elenco dei trattamenti;
• Le imprese dovranno verificare le misure di protezione tecnico-organizzative adottate, anche per i dati trattati digitalmente fin dalla progettazione (principio di “data protection by design”): ad. es. pseudonimizzazione e cifratura dei dati, capacità di ripristino tempestivo dei dati in caso di incidente fisico o tecnico, test di verifica sull’efficacia del livello di sicurezza dei dati a livello informatico.