Avv. Flaviano Sanzari
Il debutto, nel 2018, della nuova normativa europea sulla protezione dei dati personali impone alle aziende di cominciare ad adeguare policy e organizzazione interna, fin da ora, per arrivare preparate alla data del 25 maggio, quando sarà efficace in tutta l’Unione il Regolamento generale 679/2016.
Da quella data, infatti, la normativa europea sostituirà integralmente quella interna attualmente in vigore; il Regolamento sostituirà il nostro Codice privacy (in vigore dal 2003) e la disciplina in materia di trattamento dei dati tra i vari Paesi membri sarà uniforme.
Questo il quadro sintetico delle principali novità introdotte:
Codice Privacy Attuale | Nuovo Regolamento UE | |
Soggetti coinvolti | titolare del trattamento (chi svolge il trattamento e ne determina le finalità e modalità); responsabile (incaricato al trattamento dal titolare); incaricati al trattamento, ausiliari del responsabile. L’autorità di controllo è il Garante della privacy. | Spariscono gli incaricati: al loro posto il regolamento cita i “soggetti autorizzati” senza specificare oltre. Restano il titolare e il responsabile. Il Garante rimane autorità di controllo. Viene introdotta una nuova figura: il Responsabile per la protezione del dati (DPO), consigliere dei titolari. |
Principi | I principi generali della disciplina attuale sono: necessità, liceità, correttezza, adeguatezza, trasparenza e pertinenza nel trattamento dei dati personali. | Si aggiungono: accountability, l’obbligo per il titolare di adottare le misure necessarie perché le norme del regolamento siano rispettate, con la responsabilità di dimostrarlo; privacy by design e by default, per cui la tutela della privacy deve fare parte dei sistemi sin dalla progettazione. |
Obblighi di chi tratta i dati | Informare l’interessato, raccogliere il consenso se previsto e avere l’autorizzazione per trattare dati sensibili; notificare al Garante particolari tipi di trattamenti; adottare misure minime di sicurezza. | Si aggiungo: regole specifiche per incarichi e deleghe, nomina del DPO, tenuta del Registro dei trattamenti (ove richiesto), organizzazione interna e sistemi tarati a priori per l’adempimento degli obblighi. |
Diritti degli interessati | Accesso ai dati, cancellazione, trasparenza, possibilità di ricorso, informazione e informativa. | Si aggiungono: diritto all’oblio (informatico), diritto di ricevere i propri dati immediatamente in forma intelligibile, ricorsi su trattamenti di ogni tipo che abbiano una relazione con l’UE. |
Sanzioni | Le sanzioni amministrative, in base alla normativa violata vanno da 1.000 a 120mila euro. Può aggiungersi la pubblicazione, a spese proprie, del provvedimento su uno o più giornali. Se il fatto è reato sono previste sanzioni penali che vanno dai sei mesi a tre anni. | Le sanzioni amministrative hanno un massino che arriva al maggiore importo tra 20 milioni di euro e il 4% del fatturato annuo di gruppo. Gli Stati possono prevedere sanzioni penali. Invariati i poteri di verifica, controllo, raccomandazione e divieto di trattamenti illeciti. |
Related Posts