Nuovo Regolamento Privacy UE, quasi due anni di tempo per adeguarsi Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016
Nuovo Regolamento Privacy UE: quali novità ? Pubblicato il 4 maggio 2016 in Gazzetta Ufficiale dell’UE n. 119/2016. Entrato in vigore il 25 maggio Si applica in tutti i Paesi UE dal 25 maggio 2018 Tutti i soggetti interessati hanno due anni di tempo per adeguare le politiche del trattamento dei dati alle nuove norme. Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016
Nuovo Regolamento Privacy UE: quali novità ? Il Regolamento si applica solo ai trattamenti dei dati di persone fisiche ed introduce: nuove regole più chiare in materia di informativa e consenso; definisce i limiti di trattamento automatizzato dei dati personali; stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE. Angelo Ventimiglia – Settore Fisco e Diritto d’Impresa 20 luglio 2016
Nuovo Regolamento Privacy UE: quali novità ? Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri UE e non richiede una legge di recepimento nazionale. Si applica integralmente anche alle imprese extra-UE che offrono servizi e/o prodotti a persone che si trovano nell’UE. Tutte le aziende, ovunque stabilite, dovranno rispettare le regole fissate nell’UE. SPORTELLO UNICO: possibilità per le imprese stabilite in più Stati Membri che offrono prodotti e servizi in vari paesi UE di rivolgersi ad un sola AUTORITA’, quella in cui si trova il loro stabilimento principale.
Nuovo Regolamento Privacy UE: quali novità ? Nuovo ruolo all’informativa Sempre più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti. Attraverso l’informativa gli interessati devono sapere: se i loro dati sono trasmessi al di fuori dell’UE e con quali garanzie; di poter revocare il consenso a determinati trattamenti (ad esempio, quelli per fini di marketing diretto). E’ resa per iscritto o con altri mezzi, anche elettronici. Le informazioni possono essere fornite anche oralmente su richiesta dell’interessato, purchè sia comprovata con altri mezzi l’identità dell’interessato.
Nuovo Regolamento Privacy UE: quali novità ? Il consenso Deve essere, come accade oggi, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio attraverso la selezione di un’apposita casella in un sito web). E’ esclusa ogni forma di consenso tacito. Il consenso deve essere esplicito per trattare i dati sensibili. La revoca del consenso può avvenire in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
Nuovo Regolamento Privacy UE: quali novità ? Nel Regolamento non esiste una specifica definizione di dati personali «sensibili» o di dati personali «giudiziari». Individua in generale le «categorie particolari di dati personali» nelle informazioni che «rivelino l’origine razziale o etnica, le opinioni politiche, la convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona fisica». Si introduce la definizione di «dati relativi alla salute» intesi quali «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute».
Nuovo Regolamento Privacy UE: quali novità ? Nuovi requisiti nomina a Responsabile del trattamento Contratto o altro atto giuridico, stipulato in forma scritta o anche in formato elettronico, che regoli: la materia disciplinata e la durata del trattamento; la natura e la finalità del trattamento; il tipo di dati personali e le categorie di interessati; gli obblighi e i diritti del titolare del trattamento. Il Responsabile del trattamento può a sua volta designare altri responsabili del trattamento ma previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
Nuovo Regolamento Privacy UE: quali novità ? La nuova figura del DPO (Data Privacy Officer) Obbligo di nomina se il trattamento 1) è effettuato da un’autorità pubblica o da un organismo pubblico; 2) richiede il monitoraggio degli interessati su larga scala; 3) riguarda dati personali sensibili, sanitari, sulla vita o sull’orientamento sessuale, di dati genetici, biometrici, o di dati relativi a condanne penali e a reati. Specialista della normativa, dipendente del titolare o consulente esterno, si distingue dal responsabile perché ha autonomia decisionale e di spesa.
Nuovo Regolamento Privacy UE: quali novità ? Nuovo obbligo di redazione e detenzione del Registro generale delle attività di trattamento svolte. Per le imprese o organizzazioni con più di 250 dipendenti obbligo del Registro delle attività di trattamento redatto (anche in formato elettronico) sia dal titolare che dal responsabile del trattamento esibito su richiesta del Garante. Obbligo di tenuta anche nei confronti di imprese con meno di 250 dipendenti se il trattamento presenta rischi per i diritti e la libertà dell’interessato, non è occasionale ed include dati personali sensibili, sanitari, sulla vita, ecc.
Nuovo Regolamento Privacy UE: quali novità ? Nuovo obbligo della valutazione d’impatto privacy (Privacy Impact Assessment) E’ previsto nei seguenti casi: 1) il trattamento prevede l’uso di nuove tecnologie; 2) il trattamento presenta rischi elevati per la tutela dei diritti e le libertà delle persone fisiche (ad esempio trattamenti automatizzati di profilazione sistematica degli interessati, sorveglianza sistematica su larga scala di una zona accessibile al pubblico, trattamenti di dati sanitari). Se il trattamento presenta particolari rischi, il titolare prima di procedere deve consultare preventivamente il Garante.
Nuovo Regolamento Privacy UE: quali novità ? Nuovo diritto alla portabilità dei dati personali L’interessato al trattamento dei dati personali ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. Il diritto è esercitato se: 1)è effettuato con mezzi elettronici; 2)si basa su un consenso precedentemente prestato dall’interessato; 3)si basa su un contratto o su trattative precontrattuali.
Nuovo Regolamento Privacy UE: quali novità ? Misure di sicurezza Il titolare del trattamento e il responsabile del trattamento devono adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (ad esempio lo pseudonimo e la cifratura dei dati personali, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, misure per testare, verificare e valutare l’efficacia delle misure). Le misure di sicurezza sono poi descritte nel nuovo Registro delle attività di trattamento (analogo all’abrogato DPS previsto dal Codice Privacy).
Nuovo Regolamento Privacy UE: quali novità ? Notifica della violazione di dati personali La notifica diventa obbligatoria per tutti i titolari del trattamento per una avvenuta violazione di dati personali che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. La notifica è effettuata dal titolare immediatamente e, ove possibile, entro 72 ore. Qualora non sia effettuata entro 72 ore deve essere corredata dai motivi del ritardo.
Nuovo Regolamento Privacy UE: quali novità ? Trasferimento dei dati personali al di fuori della UE E’ consentito: -sulla base di una decisione di adeguatezza (la Commissione UE ha deciso che quel paese terzo, un territorio o uno o più specifici settori garantiscono un adeguato livello di protezione); -se il titolare o il responsabile forniscono garanzie adeguate (clausole contrattuali standard, norma di condotta, ecc.). Ove ciò non fosse possibile, il trasferimento è consentito se si verifica una delle seguenti condizioni: consenso dell’interessato, dati necessari per l’esecuzione di un contratto, tutelare gli interessi vitali dell’interessato.
Nuovo Regolamento Privacy UE: quali novità ? Il diritto all’oblio Codificato dal Regolamento come il diritto dell’interessato di richiedere la cancellazione dei propri dati personali quando: non sono più necessari alle finalità per le quali sono stati raccolti o trattati; l’interessato ha revocato il consenso o si è opposto al trattamento; Il trattamento dei dati non è conforme al Regolamento. Il titolare che ha pubblicato dati on line deve informare altri titolari del trattamento di cancellare qualsiasi link di collegamento verso tali dati personali.
Nuovo Regolamento Privacy UE: quali novità ? Il diritto all’oblio La conservazione dei dati è lecita nei seguenti casi: -diritto alla libertà di espressione e informazione; -per motivi di interesse pubblico nel settore della sanità pubblica; -ricerca scientifica o storica o a fini statistici; -per accertare, esercitare o difendere un diritto in sede giudiziaria.
Nuovo Regolamento Privacy UE: quali novità ? I trattamenti di profilazione Utilizzo di dati personali per valutare determinati aspetti personali relativi ad una persona fisica (rendimento professionale, situazione economica, salute, preferenze personali, interessi, comportamento, ubicazione…) con il CHIARO CONSENSO INFORMATO dell’interessato. Attività che richiede l’obbligo di valutazione preventiva di impatto sulla protezione dei dati personali.
Nuovo Regolamento Privacy UE: quali novità ? Sanzioni amministrative fino a: 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, per gravi violazioni (principi base del trattamento, condizioni per il consenso, diritti degli interessati…)
Seguici su