A partire dal 25 maggio 2018, il vigente Codice in materia di protezione dei dati personali sarà abrogato. La nuova disciplina in materia sarà rappresentata dalle disposizioni del Regolamento UE 679/2016, il cui acronimo dall’inglese è GDPR . (General Data Protection Regulation). Dette disposizioni dovranno essere armonizzate con l’ordinamento interno. A tal proposito il Consiglio dei Ministri in data 21 marzo 2018 ha approvato in fase preliminare il relativo Decreto Legislativo.

Qui di seguito sono indicati alcuni riferimenti per facilitarne l’approccio alla nuova normativa.

Soggetti responsabili del trattamento e della protezione dei dati

• Titolare e responsabile del trattamento dei dati. Dovrà operare in modo: lecito, corretto e soprattutto trasparente.
• Responsabile della protezione dei dati, DPO (Data Protection Officer). E’ un soggetto, interno o esterno all’azienda, con conoscenze specialistiche della normativa e della prassi in materia di dati personali. L’obbligo di designazione del DPO da parte del Titolare e responsabile del trattamento dei dati scaturisce dalle seguenti tre situazioni: 1) Trattamento dati effettuato da autorità pubblica o da organismo pubblico, 2) Trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, 3) Trattamenti su larga scala di dati sensibili o relativi a condanne penali o reati.

Misure e comportamenti

• Per tutti i trattamenti che prevedono l’uso di nuove tecnologie si rende obbligatoria la nuova e fondamentale “Valutazione d’impatto sulla protezione dati”, DPIA (Data Protection Impact Assessment) che si concretizza nella valutazione degli aspetti personali relativi a persone fisiche.
• Registro dei trattamenti dei dati. Detto registro non è obbligatorio per le strutture con meno di 250 dipendenti purché non effettuino trattamenti a rischio (Art-30, paragrafo 5 Regolamento UE).
• L’informativa obbligatoria cambia e dovrà contenere anche: il periodo di conservazione dei dati, l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale, il diritto dell’interessato (persona fisica) di proporre reclamo ad un’autorità di controllo, l’esistenza di un processo decisionale automatizzato, compresa la profilazione (insieme di attività di raccolta ed elaborazione dei dati inerenti agli utenti di servizi).
• La comunicazione al Garante da parte del Titolare del trattamento dei dati dell’avvenuta violazione dei dati personali diviene obbligatoria, quali che siano i trattamenti posti in essere.

Diritti degli interessati

• Diritto di ricevere copia dei dati personali oggetto di trattamento.
• Diritto alla cancellazione dei dati personali.
• Diritto di limitazione al trattamento dei dati personali.
• Diritto alla portabilità dei dati. In pratica sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato.

Sanzioni

• Verranno inasprite le sanzioni amministrative.

Archivio news