Consulenza GDPR Privacy

Principali novità introdotte dal GDPR

Rispetto a quello che era il Codice Privacy  D.lgs 196/2003 (prima della promulgazione del D.lgs 101/2018 che inserisce i richiami al Regolamento), il GDPR introduce alcune differenze importanti che evidenziamo in questo breve articolo:

Accountability – Responsabilizzazione

La novità principale del nuovo regolamento è che sparisce il concetto di “MISURE MINIME” , alla base della normativa D.Lgs 196, per lasciare il posto a quello di “MISURE ADEGUATE”.
Principio che fa da accompagnamento al rivoluzionario, inedito altro principio denominato “ACCOUNTABILITY” (Responsabilizzazione).

Questo principio di fatto attribuisce più discrezionalità ma, al tempo stesso, maggiore responsabilità al “Titolare del Trattamento” su tutto quello che concerne la protezione dati con un inasprimento consistente delle sanzioni previste in caso di inadempienza.
Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi.

Titolare e Responsabile del Trattamento hanno il preciso dovere di dimostrare (ovvero documentare) le ragioni che hanno determinato le scelte fatte.

Privacy by design e privacy by default

La tutela del dato personale deve essere presa in considerazione fin dalla progettazione del sistema di trattamento (ad esempio introducendo misure di pseudonomizzazione e minimizzazione) e mantenuta come impostazione predefinita al fine di assicurarsi che i dati siano trattati nella misura necessaria e sufficiente per le finalità previste e per il periodo di tempo strettamente necessario a tali fini.

Data Protection Officer

Nuova figura introdotta dal GDPR.
Il Regolamento Europeo prevede in determinati casi, sia per gli enti pubblici sia per le aziende private, la designazione del Responsabile per la protezione dei dati personali, anche detto Data Protection Officer.

Il Data Protection Officer è una figura di alto livello professionale che deve essere coinvolta in tutte le questioni inerenti alla protezione dei dati personali. Gode di ampia autonomia ed è designato in funzione delle proprie qualità professionali, soprattutto in relazione alla conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti; deve, inoltre, possedere delle qualità manageriali , oltre che una buona conoscenza delle nuove tecnologie.

Registro dei Trattamenti

E’ un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Nuovi diritti per gli interessati

Tra i quali spicca il diritto alla portabilità: “l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti“.