Il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Se traduciamo il burocratese, la parola che riassume il tutto è privacy anche se la sigla corretta, che circola in queste ultime settimane, è GDPR ovvero General Data Protection Regulation.
Il Regolamento contiene importanti novità non solo per i cittadini ma anche per aziende, enti pubblici, associazioni e liberi professionisti.
Pertanto, imprese e pubbliche amministrazioni avranno tempo fino al 25 Maggio 2018 per organizzare i propri processi di trattamento dei dati adattandosi alle novità.
Scopriamo insieme cosa cambia.
IMPATTI PRINCIPALI
- Dovere di documentazione e formazione
Il nuovo Regolamento, in virtù del principio della responsabilità verificabile, c.d. “
accountability”, afferma che tutti i soggetti che partecipano al trattamento dei dati devono essere consapevoli e responsabili e devono tenere documentazione di tutti i trattamenti effettuati. Chi non documenta, è soggetto a possibili sanzioni a prescindere dall’utilizzo che si fa dei dati.
A tutti i soggetti “interessati” al trattamento deve essere fornita un’informativa scritta, leggibile, comunicativa, accessibile, concisa e scritta con linguaggio chiaro e semplice.
Il consenso deve essere libero, specifico, informato e inequivocabile.
- Privacy by design e Privacy by default
Prima del Regolamento Europeo la privacy era un elemento conclusivo e finale, ora
la privacy dovrà essere vista come un elemento iniziale, come una necessità di configurare il trattamento prevedendo sin dall’inizio le garanzie indispensabili per soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.
- Valutazione d’impatto sulla protezione dei dati
Andrà effettuata una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi, racchiudendo tutto in un nuovo documento definito “Privacy Impact Assessment” (PIA).
- Obbligo di redazione del “registro dei trattamenti”
La tenuta di un registro dei trattamenti è obbligatorio per organizzazioni con più di 250 dipendenti, ovvero che trattino dati, in modo non occasionale, con modalità che determinano un rischio per i diritti e le libertà degli interessati, ovvero quando il trattamento includa categorie particolari di dati.
- Il Data Protection Officer (DPO)
Il Data Protection Officer è una nuova figura introdotta dal Regolamento Europeo da istituire in tutti gli enti pubblici e nelle aziende il cui core business coinvolga trattamenti su larga scala e di natura rischiosa.
- Obbligo di segnalazione in caso di violazione dei dati (data breach)
Con il nuovo Regolamento Europeo, nel caso di violazione del trattamento dati, diventa obbligatoria la segnalazione al Garante entro 72 ore dall’evento e, nel più breve tempo possibile, anche ai diretti interessati.
Il mancato rispetto di quest’obbligo comporta sanzioni penali.
Lo Staff di
RCPolizza.it è a tua disposizione per tutelarti e consigliarti al meglio sugli adempimenti
assicurativi professionali collegati al
GDPR. Ad esempio abbiamo strutturato la polizza
RC Professionale DPO.
Non farti trovare impreparato, se hai dei dubbi contattaci subito!
Fai un Preventivo