Il nuovo Regolamento europeo sulla privacy, REG. UE 2016/679 (GDPR) in tema di protezione dei dati personali ha trovato piena applicazione dal 25 maggio 2018.
Prevede obblighi ulteriori per il Titolare ed il Responsabile del trattamento. Il Titolare deve dimostrare di aver messo in atto misure idonee per conformarsi al nuovo regolamento secondo il principio di rendicontazione “accountability”.
Le principali novità
Privacy by Design
L’impresa, fin dalla fase di progettazione, deve mettere in atto misure tecniche e organizzative che consentano la creazione di prodotti e servizi che tengano conto delle regole e dei principi della protezione dei dati, in modo da minimizzare a priori non solo la raccolta di dati, ma anche i trattamenti successivi effettuati.
Privacy by Default
Per impostazione predefinita (di default) le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Ciò comporta l’impostazione predefinita (di default) di un trattamento minimo dei dati ( minimizzazione dei dati)
Principio di Accountability
Accountability è un termine di lingua inglese che significa letteralmente “ rendere conto”. Il titolare e il responsabile responsabile del trattamento devono tenere comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Il titolare del trattamento deve essere in grado di dimostrare di avere adottato un processo complessivo di misure organizzative e tecniche per la protezione dei dati personali.
DPO (Data Protection Officer)
Il DPO è un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Funge da punto di contatto con l’autorità di controllo.
Registro dei trattamenti
Il Regolamento prevede che tutti i titolari e i responsabili di trattamento, eccettuate le imprese con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, devono tenere un registro dei trattamenti – in forma scritta, anche elettronica – i cui contenuti sono indicati all’art. 30 del GDPR. Il garante ne consiglia l’istituzione al fine di poter più facilmente dimostrare la compliance alla normativa.
Sanzioni
Il primo livello sanzionatorio va fino ad un massimo di € 10.000.000 o per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
Il secondo livello sanzionatorio va fino ad un massimo di € 20.000.000 o per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
La nostra società è in grado di supportarvi nelle diversi fasi del percorso di adeguamento al nuovo Regolamento Europeo Privacy e nell’aggiornamento continuo, programmando insieme il percorso per adempiere agli obblighi previsti.