Slider

Novità Introdotte

Nel nuovo regolamento la definizione Data Protection ha preso il posto della parola privacy. Il termine scelto ha un significato molto più vasto e pone l’accento su un cambio di prospettiva: il problema di fondo non è semplicemente essere in possesso di dati sensibili, ma saperli gestire nel modo corretto.

Quali sono le principali novità introdotte dal nuovo Regolamento rispetto al D.lgs 196/2003?

 viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei comportamenti di cittadini UE.

 a tutela dei diritti dell’interessato vi è l’obbligo da parte delle Organizzazioni di intraprendere misure di carattere tecniche e organizzative a protezione dei dati fin dalla fase di progettazione e per tutta l’intera gestione del ciclo di vita del dato secondo un iter predefinito.

 l’introduzione nel modello organizzativo della figura del Data Protection Officer (DPOcon l’obbligatorietà per le Pubbliche Amministrazioni e per le aziende private con più di 250 dipendenti le cui attività principali siano costituite, per loro natura, scopo o finalità, da sistematico e regolare monitoraggio delle persone interessate, oppure nel caso di trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici.

 l’obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio;

 l’obbligo di rispettare il “Data breach”, cioè la segnalazione al Garante e all’interessato di eventuali fughe o compromissioni di dati;

 la nascita della procedura di “Prior consultation”, cioè la presentazione di una istanza al Garante qualora il DPIA non produca risultati positivi;

 la nascita del Registro delle attività di trattamento, sia per il Responsabile che per l’Incaricato, dove vanno conservate numerose informazioni sul trattamento (è sostanzialmente una estensione del vecchio DPS);

 l’agevolazione di processi di “certificazione” o l’acquisizione di “marchi” o “bollini” che garantiscano la correttezza e serietà del trattamento;

 il Titolare del trattamento dovrà adottare politiche ed attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme (fin dalla fase embrionale) a tutte le disposizioni del Regolamento.

 aumento delle sanzioni in caso di violazioni;

 l’obbligo di effettuare una analisi dei rischi informatici con l’obiettivo di individuare le misure da intraprendere per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento;

 Introduzione del principio di “pseudonimizzazione” e di cifratura dei dati personali per far si che le informazioni relative ad esempio al profilo di un utente possano essere conservate in una forma tale da impedire l’identificazione dell’utente stesso.