In data 14 aprile 2016 è stato approvato il Regolamento Europeo che in Italia sostituirà il Codice Privacy.
Il Regolamento entra in vigore entro 45 giorni dalla data di approvazione e le aziende avranno due anni di tempo per adeguarsi.
Il regolamento sarà immediatamente esecutivo e quindi non richiederà la necessità di recepimento da parte degli Stati membri.
L’entrata in vigore di questo Regolamento permetterà che le stesse direttive siano contemporaneamente in vigore in tutti gli stati membri UE uniformandoli sotto un unico codice.
Il Regolamento introduce nuove tutele a favore degli interessati, e nuovi obblighi a carico dei Titolari.
Il Regolamento Europeo avrà anzitutto gli obiettivi di garantire:
- una maggiore protezione dei dati, anche alla luce delle sempre nuove tecnologie digitali utilizzate per il loro trattamento e conservazione, allo stesso tempo semplificando alcune procedure, evitando una eccessiva burocratizzazione;
- una maggiore armonizzazione normativa a livello dell'intera UE, evitando palesi discrepanze nella gestione dei dati, le quali comportano attualmente un evidente danno e disorientamento per gli utenti.
Le aziende e le organizzazioni in genere, pubbliche e private, saranno chiamate a:
- formare e nominare il "Data Protection Officer - DPO" (ossia il “responsabile della protezione dati”): obbligatorio per le aziende private con trattamenti di dati particolari, nonché in tutte le pubbliche amministrazioni. Ulteriori informazioni sono disponibili sul sito del garante privacy (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4791784);
- eseguire il "data protection impact assessment", ossia effettuare una valutazione complessiva dell'impatto-privacy all’interno dell’azienda o della pubblica amministrazione, che permetta di applicare idonee misure di sicurezza tecniche e organizzative, secondo le definizioni del nuovo Regolamento;
- tenere il registro delle attività di trattamento; riguarda le aziende con più di 250 dipendenti o quelle che trattano dati particolari, comprese quelle piccole che svolgono servizi in outsourcing quali responsabili del trattamento (ad es.: gli installatori di sistemi di videosorveglianza);
- notificare all'Autorità competente ed agli stessi utenti le violazioni dei dati personali (così detti “data breach”), avvenute al proprio interno (es. accessi abusivi, usi non consentiti, perdita di una “chiavetta”), entro un termine rapidissimo (72 ore dalla scoperta della violazione).
- applicare il principio generale denominato "privacy by design", cioè la necessità di tenere in debito conto la privacy durante tutto il ciclo di vita dei dati, già dal momento della progettazione di un prodotto o servizio;
- consentire agli interessati il "diritto all’oblio", ossia la possibilità di decidere quali informazioni possano continuare a circolare (in particolare nel mondo on-line) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge);
- consentire agli interessati il diritto alla "portabilità del dato" (ad es. nel caso in cui si intendesse trasferire i propri dati da un soggetto giuridico ad un altro, come nel cloud computing).
Inoltre:
- viene introdotto il principio dell'applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell'UE, se relativi all'offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
- è notevolmente aumentato l’importo delle sanzioni, che potranno arrivare fino al 4% del fatturato annuale dell’impresa.
- redigere e rilasciare idonee Informative ai sensi dell’art. 13 del D. Lgs. 196/2003: informative ai dipendenti e collaboratori, anche in materia di controllo a distanza introdotto dal Jobs Act, informative ai clienti, fornitori, potenziali clienti, terzi in genere, candidati all’assunzione, nonché la privacy policy per utenti del sito web aziendale;
- raccogliere i consensi degli interessati, quando necessario;
- effettuare la formazione del personale;
- applicare le misure di sicurezza informatica agli apparati hardware e software;
- assolvere a quanto previsto dal Provvedimento sugli Amministratori di Sistema;
- designare gli incaricati autorizzati del trattamento dei dati personali;
- redigere il disciplinare interno per il corretto utilizzo di internet e posta elettronica da parte dei dipendenti/collaboratori (Provvedimento del Garante del 1° Marzo 2007, richiamato dal Jobs Act);
- gestire in base alle corrette procedure i documenti cartacei evidenzianti dati “particolari” (cioè “sensibili” secondo la normativa italiana, quali i certificati medici o le ritenute sindacali);
- assolvere alle prescrizioni in materia di videosorveglianza (Provvedimento del Garante dell’8 Aprile 2010);
- gestire la “Privacy Policy” del sito web per l’uso dei cookies, per l’invio delle newsletter e per i servizi interattivi;
- gestire i trattamenti affidati in outsourcing all’esterno dell’azienda, ecc.
CSQA CAN HELP COMPANIES AND ORGANIZATIONS TO FACE THE NEW REQUIREMENTS BY OFFERING:
TRAINING COURSES
for company personnel on privacy issues and preparatory to the preparation of the figure of Data Protection Officer.
PRIVACY AUDITS
to evaluate the degree of adherence to the new Regulation, verifying the gap between what is present and what is required.
SPECIALIST COURSES ON:
- Private video surveillance
- Video surveillance for Public Administrations, Municipalities
- Web marketing cookies
- Jobs Act, implications for access control, remote control and biometrics