Categoria: Il Regolamento Europeo

Il Regolamento Europeo UE2016/679

Il nuovo Regolamento Europeo in materia di dati personali UE 2016/679, è un testo esecutivo valido per i 28 paesi della Comunità Europea senza bisogno di recepimenti nazionali, in vigore dal 24 maggio 2016 ed efficace 2 anni dopo.

Visualizza il Regolamento >>

Il nuovo Regolamento detta un grande cambiamento, si applica a tutti coloro che trattano i dati di cittadini europei indipendentemente della sede in cui si trova il Titolare del trattamento.
Cambiano le modalità per il consenso, l’informativa deve essere più chiara e l’interessato deve mostrare di avere capito le finalità e le modalità del trattamento.
Deve essere definito il “Privacy Impact Assessment” ovvero un registro che riporta in caso di rischio elevato dichiarando le misure da mettere in atto abbassare la percentuale di incidente ogni singola procedura.
Per alcune tipologie di attività è prevista la figura del Privacy Officer, un consulente della privacy che ha il compito di verificare che i trattamenti vengano effettuati in modo corretto; una persona di riferimento per tutte le problematiche legate alla privacy, è inoltre la persona che si interfaccia direttamente con il Garante, con il Titolare del trattamento e l’Interessato e con il Responsabile IT.
> maggiori informazioni sulla locandina del Garante per la Privacy

Il Regolamento cambia il modo d’approccio alla Privacy, non più come un rimedio a posteriori ma come un progetto strutturato (Privacy by design), molte procedure non devono più essere autorizzate dal Garante ma dovranno essere dichiarate e autogestite.
Il nuovo approccio lascia molto liberi i Privacy Officer nell’adottare il miglior metodo per il raggiungimento dello scopo, prevede anche la salvaguardia e la messa in sicurezza dei dati preferibilmente mediante tecniche di anonimizzazione; è ovvio che oltre ai dati personali il metodo può essere facilmente esteso ad altri dati di vitale importanza per l’azienda stessa.
Già in uso in altri Paesi europei, è ora d’obbligo il “data breach notification” ossia l’obbligo di notifica al Garante degli “incidenti” subiti entro le 72 ore, con obbligo d’avviso agli interessati e il ripristino immediato di tutti i dati.
Tale procedura non può essere improvvisata solo a seguito di una perdita dei dati, ma deve essere progettata a priori prevedendo un piano d’emergenza.