Nuova normativa europea sulla privacy degli utenti

Abbiamo già iniziato ad analizzare le novità comprese nella nuova normativa europea relativa al trattamento dei dati personali, oggi cerchiamo di chiudere la panoramica fornendo il maggior numero di informazioni possibili in modo chiaro e comprensibile.

Burocrazia

Uno degli obiettivi della riforma è la semplificazione.

Ad esempio, l’obbligo di notifica al Garante non sarà più obbligatorio per chi effettua particolari tipologie di trattamento (geolocalizzazione, ricerca genetica, profilazione, analisi della solidità finanziaria, ecc.), viene considerato troppo oneroso dal punto di vista amministrativo/finanziario e quindi viene sostituito da nuovi meccanismi che vanno a concentrarsi solamente sulle operazioni di trattamento che presentano potenziali rischi per i diritti e la libertà degli interessati.

Con l’introduzione del nuovo regolamento europeo diventa necessario andare a valutare il grado di impatto che il singolo trattamento può avere sulla privacy degli utenti.

Data Privacy Officer

Il nuovo regolamento ridefinisce le figure coinvolte nelle attività di trattamento. Viene introdotta la figura del Data Privacy Officer (o Responsabile della Protezione dei Dati Personali), obbligatoria nei casi in cui il responsabile del trattamento dei dati è un soggetto pubblico, il volume di dati trattati è rilevante oppure i dati trattati sono di tipo giudiziario o comunque sensibile.

Il DPO deve possedere requisiti di professionalità, indipendenza ed autonomia di spesa e riveste il ruolo di referente per il Garante per la privacy. Può essere un consulente esterno all’azienda e può essere contattato dall’autorità in caso di volontà di acquisire informazioni.

I compiti fondamentali del Data Privacy Officer sono:

  • conoscere e informare il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo;
  • verificare l’applicazione del regolamento europeo;
  • garantire la conservazione della documentazione relativa ai trattamenti eseguiti;
  • controllare che le violazioni dei dati personali siano documentate e notificate;
  • controllare che venga effettuata la valutazione d’impatto sulla protezione dei dati e che venga richiesta l’autorizzazione o la consultazione preventiva nei casi previsti;
  • porsi come intermediario tra l’azienda e il Garante per la Privacy;
  • controllare l’esecuzione delle richieste del Garante per la Privacy.

Nuove forme di privacy

Il regolamento europeo in materia di trattamento e protezione dei dati personali introduce due principi fondativi:

  • Privacy by design: la tutela dei dati personali deve essere pensata sin dalle prime fasi in cui si progetta la raccolta delle informazioni. Diventa quindi necessario analizzare i flussi di dati e adottare criteri per la minimizzazione dei rischi del trattamento e, ove possibile, riducano la mole di dati trattati.
  • Privacy by default: viene introdotto l’obbligo di “prevenire la raccolta di dati non necessari per le finalità perseguite”.

Autodenuncia

Viene esteso a tutti i paesi dell’Unione Europea l’obbligo di autodenuncia relativamente alle violazione di dati (distruzione, perdita, modifica, rivelazione non autorizzata, accesso accidentale/illecito).

In molti stati esteri questo principio esiste già ed è noto come “data breach notification”. In Italia attualmente questo obbligo esiste solamente per gli operatori di comunicazioni elettroniche.

Con la nuova norma, chi subisce violazioni, deve obbligatoriamente:

  • notificare l’avvenuta violazione all’autorità di controllo entro le 72 ore dal fatto;
  • segnalare l’accaduto ai diretti interessati senza ritardi.

Questo spingerà molte aziende a dotarsi di software di monitoraggio che rilevino eventuali violazioni e a stipulare coperture assicurative adeguate.

Sanzioni

Se fin’ora le sanzioni previste erano fisse, con l’introduzione della nuova normativa queste variano in funzione di dimensioni dell’azienda e gravità delle violazioni:

  • fino a 20 milioni di euro per privati ed imprese che non sono parte di gruppi societari;
  • fino al 4% del fatturato consolidato per i gruppi societari.

Con questo si conclude la nostra breve panoramica sulla nuova normativa europea in tema di privacy. Speriamo che possa essere utile per prepararsi al meglio!

Condividi