La privacy 2.0 ridisegna l’organizzazione aziendale

La privacy 2.0 ridisegna l’organizzazione aziendale
Avv. Flaviano Sanzari Il debutto, nel 2018, della nuova normativa europea sulla protezione dei dati personali impone alle aziende di cominciare ad adeguare policy e organizzazione interna, fin da ora, per arrivare preparate alla data del 25 maggio, quando sarà efficace in tutta l’Unione il Regolamento generale 679/2016. Da quella data, infatti, la normativa europea sostituirà integralmente quella interna attualmente in vigore; il Regolamento sostituirà il nostro Codice privacy (in vigore dal 2003) e la disciplina in materia di trattamento dei dati tra i vari Paesi membri sarà uniforme. Questo il quadro sintetico delle principali novità introdotte:
Codice Privacy Attuale Nuovo Regolamento UE
Soggetti coinvolti titolare del trattamento (chi svolge il trattamento e ne determina le finalità e modalità); responsabile (incaricato al trattamento dal titolare); incaricati al trattamento, ausiliari del responsabile. L’autorità di controllo è il Garante della privacy. Spariscono gli incaricati: al loro posto il regolamento cita i “soggetti autorizzati” senza specificare oltre. Restano il titolare e il responsabile. Il Garante rimane autorità di controllo. Viene introdotta una nuova figura: il Responsabile per la protezione del dati (DPO), consigliere dei titolari.
Principi I principi generali della disciplina attuale sono: necessità, liceità, correttezza, adeguatezza, trasparenza e pertinenza nel trattamento dei dati personali. Si aggiungono: accountability, l’obbligo per il titolare di adottare le misure necessarie perché le norme del regolamento siano rispettate, con la responsabilità di dimostrarlo; privacy by design e by default, per cui la tutela della privacy deve fare parte dei sistemi sin dalla progettazione.
Obblighi di chi tratta i dati Informare l’interessato, raccogliere il consenso se previsto e avere l’autorizzazione per trattare dati sensibili; notificare al Garante particolari tipi di trattamenti; adottare misure minime di sicurezza. Si aggiungo: regole specifiche per incarichi e deleghe, nomina del DPO, tenuta del Registro dei trattamenti (ove richiesto), organizzazione interna e sistemi tarati a priori per l’adempimento degli obblighi.
Diritti degli interessati Accesso ai dati, cancellazione, trasparenza, possibilità di ricorso, informazione e informativa. Si aggiungono: diritto all’oblio (informatico), diritto di ricevere i propri dati immediatamente in forma intelligibile, ricorsi su trattamenti di ogni tipo che abbiano una relazione con l’UE.
Sanzioni Le sanzioni amministrative, in base alla normativa violata vanno da 1.000 a 120mila euro. Può aggiungersi la pubblicazione, a spese proprie, del provvedimento su uno o più giornali. Se il fatto è reato sono previste sanzioni penali che vanno dai sei mesi a tre anni. Le sanzioni amministrative hanno un massino che arriva al maggiore importo tra 20 milioni di euro e il 4% del fatturato annuo di gruppo. Gli Stati possono prevedere sanzioni penali. Invariati i poteri di verifica, controllo, raccomandazione e divieto di trattamenti illeciti.
Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori