Dal 25 maggio 2018 è entrato in vigore il NUOVO REGOLAMENTO EUROPEO in materia di Privacy. Da allora qualche mese è passato ma per molti tutto appare ancora un enorme mistero, un argomento così ampio da vederne difficilmente i confini e poterne definire i metodi di attuazione.
Con questo articolo vorrei rispondere ad una serie di domande che spesso mi sono sentita fare in questi ultimi mesi sperando di poter fare un po’ di luce su questo misterioso, quasi oscuro argomento.
Cos’è il NUOVO REGOLAMENTO UE 2016/679 in materia di Privacy?
Questo nuovo Regolamento altro non è che una applicazione italiana del Regolamento Europeo esteso a tutti i Paesi dell’Unione Europea con l’obiettivo di rendere quanto più omogenea possibile la normativa a tutela della Privacy in tutti i Paesi membri. Esso è entrato in vigore in automatico in tutti i Paesi membri senza nessun bisogno di mettere in atto provvedimenti nazionali.
Il consenso al Trattamento Dati fatto fin’ora è ancora valido o bisogna procedere ad una nuova raccolta di consenso?
Lo stesso Regolamento risponde a tale domanda affermando al Considerando 171 che “qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento”. Come conseguenza, non si tratta di dover raccogliere nuovamente il consenso, quanto più quello di verificare che ci sia la conformità e solo nel momento in cui non fosse conforme, si dovrà procedere a tutte le procedure necessarie per mettersi in regola.
Si parla tanto di DPO (DATA PROTECTION OFFICER): chi è e, soprattutto, è una figura obbligatoria per tutte le aziende?
Il DPO è colui che ha il compito di organizzare e gestire il trattamento dei dati personali all’interno dell’azienda per cui non dovrà essere presente obbligatoriamente in tutte le aziende, ma sicuramente si in tutte quelle in cui l’attività principale si basa sulla raccolta e il trattamento dei dati personali dei clienti. E’ obbligatorio anche quando il trattamento è svolto da una autorità pubblica ad eccezione delle autorità giudiziarie nello svolgimento delle loro funzioni e quando le attività richiedono il monitoraggio regolare di dati su larga scala. ( Non è molto chiaro questo concetto di “larga scala” ma sicuramente fa riferimento a dati a livello regionale e nazionale che potrebbero incidere su un vasto numero di interessati o essere fortemente a rischio. Allo stesso modo si vuole chiarire che per “regolare e sistematico” si intendono dati che vengono trattati con frequenza metodica e organizzata).
Che differenza c’è tra responsabile e titolare del trattamento dati?
Il titolare del trattamento dati è colui che (persona fisica, giuridica, ente pubblico o associazione) prende le decisioni sulle modalità di trattamento. Il Responsabile del trattamento è la persona fisica o giuridica alla quale il titolare richiede di eseguire i compiti di organizzazione e controllo del trattamento dei dati. In alcuni casi le figure possono anche coincidere.
Cosa succede a chi non rispetta le nuove norme del Regolamento Europeo sulla Privacy?
Per chi non rispetta le nuove norme sono previste sanzioni che possono andare dal 2 al 4% del fatturato annuo precedente a seconda della gravità del rato commesso, osservando il caso specifico. A queste si possono aggiungere anche sanzioni di tipo penale con pene che vanno da sei a diciotto mesi di reclusione, fino, in determinate condizioni, a tre anni. Anche la Falsa dichiarazione di fronte al Garante Privacy può essere punita penalmente.
In generale, quali sono i reati che possono essere commessi?
I reati riguardano l’illecito dei dati, la falsità nelle dichiarazioni e notificazioni al Garante, l’omessa adozione delle misure minime di sicurezza e l’inosservanza dei provvedimenti necessari per garantire un adeguato trattamento e la messa in sicurezza prevista dei dati sensibili.
Quale tipo di azienda è tenuta al Registro delle attività di trattamento?
Sono tenute obbligatoriamente a tenere un Registro delle attività di trattamento tutte le aziende con più di 250 dipendenti, ma anche qualunque titolare o responsabile di aziende che trattino dati personali, anche nel caso di aziende con numero inferiore a 250 di dipendenti.
Qual è la differenza tra “dati personali”, “dati sensibili” e “dati giudiziari”?
I dati personali sono quelle informazioni relative a persone fisiche o giuridiche che ne consentano l’identificazione. Il nome da solo ad esempio non è un dato personale, ma il nome abbinato ad una via o ad un codice fiscale, questi sono dati personali per cui se si utilizza il Codice Fiscale per avere informazioni sulla persona se ne va a ledere la privacy.I dati sensibili sono quelli che riguardano le tendenze politiche, la religione, lo stato di salute e la vita sessuale. Questi possono essere trattati dai privati solo a seguito di consenso, dalla Pubblica Amministrazione solo se vi è l’approvazione del Garante.I dati giudiziari sono quelli che riguardano reati penali, sanzioni amministrative, carichi pendenti sul soggetto il cui trattamento è ammesso solo se espresso da provvedimenti di legge.
Chi è il Garante per la Privacy?
In Italia il Garante della Privacy è un organo collegiale composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per sette anni senza possibilità di rinomina. Attualmente il Presidente è Antonello Soro, vice-Presidente Augusta Iannini, componenti Giovanna Bianchi Clerici e Licia Califano, i quali resteranno in carica fino al 2019.
Se hai trovato interessante questo articolo ti invitiamo a mettere mi piace alla nostra pagina facebook
Per qualunque altra domanda potrai contattarci sul nostro sito
Saremo felici di dare risposta ad ogni tuo dubbio.