Le principali modifiche del Nuovo Regolamento Europeo sulla Privacy in vigore dal 25 Maggio che riguarderanno gli studi professionali:
- Obbligo di informativa: non ci sono grossi cambiamenti, si insiste sulle chiarezza e la semplicità dell’informativa con indicazione del soggetto responsabile della protezione dei dati
- Consenso per l’utilizzo dei dati dati comuni: il consenso dell’interessato per l’utilizzo dei dati dev’essere dato per iscritto. Non è obbligatorio nei seguenti casi: – per scopi difensivi – per soddisfare un obbligo di legge – per dati di fonte pubblica – per dati economici – per eseguire un contratto
- Consenso per l’utilizzo di dati sensibili: non ci sono cambiamenti rispetto all’attuale normativa
- Notificazione al Garante: non è più prevista
- Far valere i propri diritti: al diritto dell’interessato di sapere se ci sono dati che lo riguardano si aggiunge la restrizione d’uso pendente una contestazione
- Registro dei trattamenti: obbligatorio per le organizzazioni con più di 250 dipendenti e per quelle sotto tale limite se il trattamento prevede dati sensibili o giudiziari
- Privacy by design: art. 25 “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.” E’ richiesto, quindi, al titolare di adottare ed attuare misure tecniche e organizzative che tutelino i principi di protezione dei dati sin dal momento della progettazione oltre che nell’esecuzione del trattamento.
- Privacy by default: art. 25 “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.” Tale principio prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.
- Valutazione d’impatto della protezione dei dati: quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate il nuovo Regolamento obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l’autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato. Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.
- Accountability: art. 24 il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.
- Sicurezza e violazione dei dati: se avviene una violazione di dati personali è necessario inviare una notifica al Garante della Privacy entro 72 ore che contenga informazioni circostanziate del danno subito, e di quanti e quali dati siano compromessi.
Approfondisci la tematica con i nostri corsi presenti in catalogo: PRIVACY