Come molti sapranno, il 25/05/2018 è prevista la piena applicazione del nuovo Regolamento dell’Unione Europea n. 2016/679 (entrato in vigore il 24 maggio scorso). Quali novità introduce? A chi si rivolge? Queste sono domande importanti che ogni azienda dovrebbe porsi al fine di arrivare preparata e con le idee più chiare all’appuntamento del 25 maggio 2018.
“D.P.O”, “Portabilità dei dati”, “Registro delle attività di trattamento” e altre novità.
Novità
L’elenco delle novità introdotte dal Regolamento è ricco e variopinto, tra queste figurano:
D.P.O: Il “Data Protection Officer” (o Responsabile per la protezione dei dati) è una nuova figura di riferimento che funge da interfaccia per le autorità garanti. È un soggetto che può essere sia esterno che interno (a patto che non sia in conflitto d’interessi) e che aiuta il titolare a porre in essere tutti gli adempimenti previsti dalla legge, controlla che questi siano aggiornati e svolge attività di formazione e sensibilizzazione nei confronti del personale. È una figura obbligatoria per la P.A. e per i privati che su effettuino su larga scala un monitoraggio regolare e sistematico (p.e telecomunicazioni, profilazione, localizzazione)
Portabilità dei dati: L’interessato ha diritto di ricevere un formato strutturato (di uso comune e leggibile da un dispositivo automatico) contenente i suoi dati personali forniti ad un titolare del trattamento, ed ha altresì diritto a trasmettere tali dati ad un altro titolare senza che vi sia alcun impedimento da parte del precedente (p.e telefonia, web provider)
Registro delle attività di trattamento (art. 30): È un documento che deve contenere tutte le informazioni sul dato trattato (caratteristiche, modalità e finalità dei trattamenti). L’obbligo di redigerlo spetta al titolare, ai rappresentanti del titolare estero ed ai responsabili con più di 250 dipendenti (o con un numero inferiore ma che presentano trattamenti con rischi particolari per la libertà e i diritti degli interessati).
Privacy by design e Privacy by default (art. 25): Il nuovo Regolamento impone di tenere conto di standard tecnologici di “Data Protection” coerenti con lo stato dell’arte e dell’innovazione, nella maniera più funzionale possibile a garantire i diritti e le libertà fondamentali delle persone fisiche, senza tuttavia precludere al titolare la libertà di svolgere i trattamenti più diversi.
Soggetti interessati
Titolare: Vale la stessa posizione prevista dalla normativa precedente.
Contitolare: In caso di contitolarità dev’esserci un contratto scritto che indichi precisamente quali attività vengano svolte dall’ uno e quali dall’ altro.
Responsabile del trattamento: Anche in questo caso il Regolamento prevede la presenza di un contratto scritto che deve comprendere: materia disciplinata, durata del trattamento, natura del trattamento, finalità del trattamento, tipo di dati personali, categorie degli interessati e, per finire, obblighi e diritti del titolare del trattamento.
D.P.O: La sua nomina, come sopra accennato, è obbligatoria solo per gli enti pubblici e per i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure che trattano dati sensibili su larga scala; negli altri casi il titolare può decidere se affidarcisi o meno.