Unione Europea: Nuovo Regolamento Per la Privacy

Unione Europea: nuovo regolamento per la Privacy
by Janeth Kent Date: 05-07-2016 privacy


Lo scorso 14 aprile il Parlamento europeo ha approvato definitivamente il regolamento europeo sulla protezione dei dati personali. Il regolamento è entrato in vigore il 24 maggio 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018. Le imprese e le pubbliche amministrazioni hanno pertanto due anni per adeguarsi alle nuove disposizioni.

Cosa Cambia – Tra le novità più rilevanti del nuovo Regolamento c’è l’introduzione dei concetti di privacy by design. Qualsiasi sistema di trattamento dei dati dovrà garantire la sicurezza e la riservatezza dei dati personali a partire dalla progettazione del sistema di trattamento sino e alla durata dell’intero ciclo di vita del dato. Nel nuovo regolamento, la definizione Data Protection ha preso il posto della parola privacy.

Vengono inoltre introdotti nuovi adempimenti quale l’obbligatorietà della valutazione d’impatto sulla protezione dei dati personali (Privacy Impact Assessment) e la notifica all’Autorità Garante e agli stessi utenti in determinati casi di violazione della sicurezza delle informazioni.

Dal DPS al GDPR (General Data Protection Regulation)


Le aziende e gli enti pubblici dovranno elaborare un sistema di gestione dei dati costituito essenzialmente da un regolamento contenente il registro dei trattamenti, regole di sicurezza, procedure per soddisfare i requisiti di conformità al Regolamento. Quello che era il documento programmatico della sicurezza che molte organizzazioni hanno abbandonato viene ripreso per diventare uno strumento dinamico di programmazione e gestione del sistema di trattamento delle informazioni.

 

Il Data Protection Officer: il responsabile per la protezione dei dati. Il Regolamento introduce una nuova figura professionale, già presente in alcune legislazioni europee da oltre 10 anni, il Data Protecion Officier (DPO).

Questa figura, che potrà essere un soggetto interno all’azienda oppure nominato all’esterno, dovrà avere competenze nell’analisi dei processi, nel risk management ed elevate conoscenze informatiche. Sarà pertanto obbligatorio nelle pubbliche amministrazione; in ambito privato sarà obbligatorio in alcune circostanze, quando l’organizzazione gestisce alcune tipologie di dati e in funzione della natura e delle finalità del trattamento

Le principali novità introdotte dal regolamento della privacy investono essenzialmente tre aspetti: adempimenti procedurali, aspetti Organizzativi e aspetti tecnologici.

Aspetti procedurali


Viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini dell’Unione Europea o tali da comportare il monitoraggio dei comportamenti di cittadini UE. Dal punto di vista del trattamento dei dati vengono introdotti due principi

 

Trattamento “by design” che implica l’obbligo di tutelare i diritti dell’interessato nell’attività di gestione delle informazioni che lo riguardano fin dalla fase iniziale della progettazione ed attuazione delle modalità di trattamento e per l’intera gestione del ciclo di vita dei dati, ponendo in essere misure di carattere tecnico ed organizzativo quali la minimizzazione dei rischi)

Gestione “by default”, cioè il partire da configurazioni “chiuse” della privacy dei sistemi informativi, per poi introdurre degli accorgimenti che consentono di ampliare l’accesso ai dati ad un maggior numero di utenti, previa una valutazione del livello di rischio introdotto da questa soluzione.

Le organizzazioni dovranno sviluppare il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio, mentre questo adempimento non investe le piccole organizzazioni salvo il caso in cui il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso il responsabile dovrà preventivamente consultare l’Autorità di controllo.

Le organizzazioni dovranno mettere in atto dei procedimenti nel caso si verifichi il “Data breach”, cioè la violazione o perdita di alcuni dati, la procedura prevede la comunicazione al Garante e all’interessato;

La nascita del Registro delle attività di trattamento nel quale vanno indicate le modalità di trattamento dei dati ed alcune informazioni inerenti le regole di gestione degli stessi. Si tratta di un estensione del DPS della privacy che viene ripreso ed ampliato nel nuovo regolamento, quale procedura tecnico organizzativa che descrive le regole di gestione dei dati da parte di un organizzazione;

Rispetto agli adempimenti previsti dalla legge sulla privacy, il nuovo regolamento si propone di innescare un circolo virtuoso e proattivo per l’organizzazione. Il Titolare del trattamento dovrà adottare politiche di sicurezza ed attuare misure adeguate per garantire una corretta gestione della banche dati, in ottemperanza a quanto indicato nel nuovo regolamento europeo.

La fase di analisi dei rischi diventa una fase importante, che include anche quelli informatici. La valutazione dei rischi serve per attuare e programmare delle attività di mitigazione degli stessi, ovvero la messa in atto di una serie di misure tecnologiche ed organizzative per proteggere i dati personali dalla distruzione accidentale, dall’uso non corretto ed illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento.

Il nuovo regolamento chiede di monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment) ovvero l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali, nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;

Il nuovo regolamento rimarca il ruolo centrale delle autorità nazionali Garante della privacy e chiede una stretta interazione con questa istituzione al fine di gestire eventuali perdite o diffusioni di dati ed il verificarsi di situazioni che possono minare la sicurezza delle informazioni;

Altri obblighi riguardano la necessità di informare gli utenti delle modalità di trattamento dei dati, di fare formazione, di provvedere alle nomine di alcune figure previste dal regolamento (aspetti in parte già previsti dal D. Lgs 196 del 2003)

Aspetti organizzativi


Viene introdotta la figura del Data Protection Officer (DPO), figura largamente diffusa in alcuni paesi dell’unione europea che sarà obbligatorio nella Pubblica Amministrazione e nelle aziende private che processano dati a rischio. Il DPO rimarrà in carica, come minimo, due anni, rinnovabili alla scadenza. L’incarico potrà essere affidato ad un soggetto terzo laddove, il precedente DPO, non detenga più le qualità richieste dalla norma.

 

I soggetti coinvolti nel nuovo modello organizzativo sul trattamento dei dati (regolamento europeo privacy UE 2016/679) sono: Data Controller che corrisponde al Responsabile del trattamento dei dati previsto dal D. Lgs 196/2003, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati.

Il Responsabile esterno del Trattamento / Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento (ad esempio ad un fornitore di servizi di trattamento esterno die dati)

Aspetti tecnologici


Le misure tecnologiche inerenti la gestione della sicurezza dei dati devono essere adeguate alla tecnologia e alla complessità della struttura organizzativa. Il DPO dovrà verificare periodicamente l’efficacia di queste misure tecnologiche attraverso degli audit che dovranno essere formalizzati e pianificare delle azioni per migliorare la sicurezza dei dati che l’organizzazione gestisce.

 

Sanzioni – Rispetto al D. LGS 196 del 2003, le sanzioni amministrative sono molto più severe. Nel caso in cui l’organizzazione non si adegui alle nuove direttive sono previste sanzioni che possono arrivare anche al 4% del fatturato o del bilancio dell’organizzazione.

Mentre le sanzioni penali rimangono di competenza di ogni singolo Stato, le nuove sanzioni amministrative sono disciplinate dagli articoli 79 e 79b del Regolamento. Ogni autorità di vigilanza (in Italia il Garante della privacy) deve garantire, in ogni singolo caso, che la sanzione sia effettiva, proporzionata e dissuasiva.

 

 
by Janeth Kent Date: 05-07-2016 privacy visite : 1543  
 
Janeth Kent

Janeth Kent

Licenciada en Bellas Artes y programadora por pasión. Cuando tengo un rato retoco fotos, edito vídeos y diseño cosas. El resto del tiempo escribo en MA-NO WEB DESIGN END DEVELOPMENT.

 
 
 

Articoli correlati

Facebook: come rimuovere i dati nascosti e le informazioni personali

Facebook è un fantastico social network che ci permette di essere sempre aggiornati su tutte le notizie dei nostri amici o della nostra famiglia o anche sulle notizie più rilevanti…

Come sapere quali applicazioni hanno accesso alla propria posizione, al microfono e alla telecamera

Quando si installa un'applicazione sul proprio smartphone, si decide quali permessi dare, ma non sempre è tutto così chiaro ed evidente. Oggi, spiegheremo come sapere se quei permessi  eccedono la legalità…

Come abilitare DoH in Chrome, Firefox e Edge per evitare che il vostro Isp sappia quali siti visitate

Forse non avete ancora sentito parlare di DoH, il nuovo standard di sicurezza di Firefox, Chrome e altri browser che impedisce al vostro provider Internet di tracciare i siti che…

Come vedere i siti visitati durante la navigazione anonima e come eliminarli

Una delle caratteristiche della modalità anonima di qualsiasi browser è che non memorizza nello storico le pagine web visitate. Tuttavia, esiste un metodo per visualizzare gli ultimi siti a cui…

La funzione spazio privato dei telefoni Huawei

Un punto positivo dei livelli di personalizzazione di Android è che generalmente includono molte funzioni avanzate come lo Spazio Privato. Lo Spazio Privato EMUI è una sorta di area privata separata,…

I siti web possono già identificare un utente,anche se si usano diversi browser sullo stesso computer

Ars Technica riporta un lavoro di alcuni ricercatori che hanno sviluppato un metodo efficace al 99% per identificare un utente che naviga sul web anche se utilizza diversi browser sullo…

Un giudice chiede a Google di recuperare le email e i dati archiviati al di fuori degli Stati Uniti

Cattive notizie per coloro che difendono la privacy delle informazioni su Internet: un giudice statunitense ha condannato Google a collaborare con l'FBI e ha ordinato di dare loro l'accesso alle…

Twitter traccia la navigazione anche dopo il logout: ecco come evitarlo

Il team di Twitter in un post pubblicato il 3 luglio sul blog ufficiale, ha annunciato di voler “sperimentare nuove strade per targettizzare la pubblicità” che, tradotto in parole meno…

Attenzione con Skype: i messaggi non sono privati!

Una ricerca portata avanti da Ars Technica ha dimostrato che i messaggi che inviamo attraverso Skype non sono al 100% privati. Ars Technica ha dimostrato che Skype, ora di proprietá di Microsoft,…

Privacy, Google monitorerà email e documenti in ufficio

Il software di Google, noto come Policy Violation Checker, capace di leggere ciò che scrivono i dipendenti, permeterebbe il “monitoraggio” stretto dei lavoratori. Spiando dalle e-mail a tutti i documenti…

Utilizziamo i nostri cookie e quelli di terzi per migliorare i nostri servizi, compilare informazioni statistiche e analizzare le vostre abitudini di navigazione. Questo ci permette di personalizzare i contenuti che offriamo e di mostrarvi le pubblicità relative alle vostre preferenze. Cliccando su "Accetta tutto" acconsentite alla memorizzazione dei cookie sul vostro dispositivo per migliorare la navigazione del sito web, analizzare il traffico e assistere le nostre attività di marketing. Potete anche selezionare "Solo cookies di sistema" per accettare solo i cookies necessari al funzionamento del sito web, oppure potete selezionare i cookies che desiderate attivare cliccando su "Impostazioni". Tradotto con www.DeepL.com/Translator (versione gratuita)" o "Rifiuta".

Accetta tutti Solo cookies del sistema Configurazione