Il 25  maggio 2018 diventerà operativo in tutti i paesi dell’Unione il Regolamento europeo sulla protezione dei dati personali GDPR, che avrà un impatto su enti e imprese non solo sotto il profilo tecnologico, ma soprattutto nell’approccio al trattamento dei dati e nella struttura organizzativa dell’impresa stessa. 

Nel seguito sono illustrati i punti chiave del GDPR, che hanno un impatto operativo sulle società che raccolgono o trattano dati di cittadini europei.

 

■ PRINCIPIO DELL’ACCOUNTABILITY

E’ il principio della responsabilizzazione, ovvero il Titolare del trattamento deve mettere in atto misure tecniche organizzative ADEGUATE per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al  Regolamento. 

■ REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO. 
Il Titolare o il Responsabile avrà l'obbligo di tenuta di un registro delle attività di trattamento effettuate al fine di dimostrare la conformità alle disposizioni del Regolamento.
Il registro, che potrà avere anche formato elettronico, dovrà contenere una descrizione delle misure di sicurezza tecniche e organizzative e, su richiesta, dovrà essere messo a disposizione dell'autorità di controllo.

■ PRIVACY BY DESIGN, PORTABILITÀ DEI DATI, PRIVACY BY DATA BREACH, PRIVACY BY 

   DEFAULT 
Il Regolamento è ispirato ad una maggiore trasparenza nella gestione dei dati ed è finalizzato a dare un maggiore controllo al cittadino sull'utilizzo dei suoi dati. In particolare, è riconosciuto:

- il diritto di essere informati in modo trasparente e dinamico sui trattamenti effettuati sui dati e 

   l'adozione di politiche privacy e misure adeguate in conformità al Regolamento (principio di

   accountability- obbligo di rendicontazione);
- il diritto di essere informati sulle violazioni dei propri dati personali (data breach notificaztion);
- il diritto di ricevere in un formato di uso comune, e leggibile da dispositivo automatico, i dati personali

  forniti a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento senza  

  impedimenti (portabilità dei dati).
- La protezione dei dati personali deve essere valutata già nel momento di progettazione di nuove

  procedure con l'attuazione, quindi, di adeguate misure tecniche e organizzative sia all'atto della

  progettazione che dell'esecuzione del trattamento (data protection by design). 
- I dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario

  (privacy by default).

 

 ■ Il DIRITTO ALL'OBLIO. 
L'interessato può decidere che siano cancellati e non ulteriormente sottoposti a trattamento i propri dati mediante revoca del consenso, se i dati non sono più necessari alle finalità per le quali sono stati raccolti, quando il trattamento non è conforme al Regolamento.

 

■ DATA PROTECTION OFFICER (DPO). 
Le aziende pubbliche  e quelle private quando obbligate avranno l'obbligo di nominare un DPO - il Responsabile della protezione dei dati. Potrà trattarsi di un professionista competente in tema di protezione dati, dipendente della società titolare del trattamento o, in alternativa, un collaboratore esterno.
In ogni caso, dovrà essere in possesso di specifici requisiti quali competenza, esperienza, indipendenza e autonomia di risorse.
I principali compiti del DPO saranno:
-verificare l'attuazione e l'applicazione della normativa;
-informare e consigliare il Titolare o il Responsabile del trattamento ed i dipendenti in merito agli obblighi derivanti dal Regolamento;
-fornire pareri in merito alla protezione dei dati;
-sorvegliare sugli adempimenti previsti dalla legge in materia di trattamento;

L’obbligo di nomina del DPO riguarderà tutte le aziende pubbliche e le aziende private che effettuano trattamenti che, per loro natura, ambito ed applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi “su larga scala” oppure effettuano trattamento “su larga scala” di categorie particolari di dati personali sensibili e giudiziari.

 

 ■ PRIVACY IMPACT ASSESSMENT. (PIA)
In determinati casi, le imprese pubbliche e private, prima di procedere al trattamento, dovranno effettuare una valutazione dell'impatto (privacy impact assessment).
Tale adempimento sarà richiesto, ad esempio, se l'uso di nuove tecnologie per il trattamento dei dati, tenuto conto del contesto, della natura e della finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche: trattamenti automatizzati su larga scala di categorie particolari di dati (sensibili);

■ SANZIONI

Il Regolamento prevede sanzioni pesanti per le imprese pubbliche e private che non si adegueranno fino a venti milioni di euro o al 4% del fatturato annuo.

 

 

Poichè il contenuto del Regolamento UE è molto articolato e complesso ASCOM FERRARA ha ritenuto indispensabile organizzare un convegno il 15 marzo 2018 per fornire ai propri associati i necessari elementi di conoscenza per poter mettere in atto correttamente i comportamenti indicati dalla normativa.

Per informazioni e consulenza mirata contattare l’ufficio ambiente Tel.0532/234206 e-mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. oppure gli uffici territoriali di competenza.

Torna su