Delega al Governo per l’attuazione del Regolamento Europeo Privacy


Il 17 ottobre scorso è stato approvato il testo della Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017 (c.d. “Legge di delegazione”).
Il Regolamento Europeo Privacy UE/2016/679 (GDPR – General Data Protection Regulation) è entrato in vigore il 25 Maggio 2016 e il termine ultimo per adeguarsi ai nuovi obblighi privacy è fissato al 25 Maggio 2018 e si applicherà a tutti gli Stati membri.

L’articolo 14 (Delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE), introdotto nel corso dell’esame in sede referente, delega per l’appunto il Governo a provvedere all’adeguamento del quadro normativo interno al regolamento (UE), al fine di garantire un sistema armonizzato in materia di privacy.

Perché il testo del Regolamento abroga la Direttiva 95/46/CE?

La risposta è semplice! Perché essa venne concepita in un periodo nel quale solo una minima parte della popolazione europea, l’1%, utilizzava internet; non esistevano i social media, tablet, app e gli scenari e gli effetti della moderna e attuale società della sorveglianza elettronica, nella quale sono gli stessi cittadini che pubblicano (inconsapevolmente, il più delle volte!) i propri dati online.

Il regolamento comporta un cambiamento anche culturale: difendere i dati significa difendere le persone, la loro identità e la loro libertà

Arrivano le deleghe per l’adeguamento al Regolamento Privacy (UE) 679/2016

Il comma 1 dell’articolo reca delega al Governo ad adottare, entro sei mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all’articolo 31 della legge 24 dicembre 2012, n. 234, previo parere delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2017, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,  il quale abroga la direttiva 95/46/CE e ridefinisce la disciplina europea in materia di Privacy, persegue l’obiettivo di superare la frammentazione derivante dell’applicazione della protezione dei dati personali nei territori dell’Unione.
Tale Regolamento – che con la direttiva (UE) 2016/680 (la cui attuazione è prevista dall’articolo 11 del disegno di legge) costituisce il pacchetto di protezione dei dati personali – intende dare vita ad un quadro più solido e coerente in materia di privacy, affiancato da efficaci misure di attuazione, e rafforzare la certezza giuridica e operativa tanto per le persone fisiche quanto per gli operatori economici che per le autorità pubbliche.

Quali sono le principali novità per i cittadini? E quali sono gli impatti per la pubblica amministrazione?

 

  • Classificazione dei Dati Personali
  • Classificazione dei Trattamenti
  • Valutazione del rispetto dei Principi Privacy
  • Progettazione nel rispetto della Privacy by Design e Privacy by Default
  • Valutazione d’impatto sulla protezione dei dati
  • Definizione delle misure di sicurezza
  • Redazione del Manuale del Sistema di Gestione Privacy
  • Adozione di Codici di condotta Privacy
  • Tenuta del Registro delle attività di trattamento (Registro Privacy)
  • Redazione di contratti per disciplinare i rapporti di Contitolarità
  • Redazione di contratti per disciplinare il trasferimento di dati all’estero
  • Redazione delle nomine dei Responsabili del Trattamento Dati
  • Redazioni di informativa privacy e consenso privacy
  • Redazione di procedure per la violazione dei dati personali (Data Breach)
  • Redazione di procedure per l’esercizio dei Diritti dell’Interessato
  • Adempimento degli obblighi privacy in materia di Profilazione
  • Certificazione del Sistema di Gestione Privacy (Certificazione Privacy)
  • Consultazione Preventiva, Comunicazioni e Notifiche al Garante Privacy
  • Reclami e Ricorsi al Garante Privacy
  • Introduzione della nomina della figura del c.d. Data protection officer (Responsabile per la protezione dei dati) con riguardo agli enti pubblici e agli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui. Tale soggetto, dipendente o professionista esterno all’ente, esperto di normativa e prassi in materia di privacy, ha il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal Regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire le sopracitate valutazioni d’impatto sulla protezione dei dati raccolti e di interfacciarsi, da un lato, con gli interessati, dall’altro, direttamente con il Garante

 

Non c’è più molto tempo per adeguarsi al Regolamento UE (UE) 2016/679 sulla protezione dei dati!

 

Fra le modifiche più significative introdotte dai 99 articoli del Regolamento si segnala anche un inasprimento del regime sanzionatorio: nel caso di violazioni delle norme previste dal Regolamento Europeo Privacy (GDPR) sono, infatti, previste sanzioni pecuniarie fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.

I nuovi obblighi in materia di privacy previsti dal Regolamento Europeo Privacy sono numerosi e comportano la riformulazione delle strategie di business, la riorganizzazione dei processi aziendali, la riprogettazione del sistema informativo e la revisione di contratti, deleghe e nomine.
Per cui, è data la possibilità per i titolari e per i responsabili del trattamento di ottenere da parte di organismi certificatori accreditati, ovvero dell’autorità di controllo competente, una certificazione riguardante la conformità del trattamento alla normativa prevista dal Regolamento.

La Formazione Privacy per tutti i dipendenti e collaboratori è ora un obbligo di legge

Il Regolamento Europeo Privacy e il D.lgs. 196/03 prevedono che ogni Titolare del Trattamento pianifichi corsi Privacy periodici, obbligatori per legge, verso tutti i dipendenti e collaboratori incaricati di trattare dati personali.

Il piano di formazione privacy deve prevedere programmi specifici e diversificati per Data Protection Officer (DPO), Responsabile Trattamento Dati (Responsabile Privacy), Amministratore di Sistema e Incaricato Trattamento Dati (Incaricato Privacy).

I corsi Privacy certificati possono essere svolti direttamente presso la tua azienda o frequentati in modalità e-learning, cosicché in caso di controlli da parte della Guardia di Finanza o del Garante Privacy, sarai in grado di dimostrare di aver correttamente adempiuto agli obblighi di formazione privacy imposti dal Regolamento Europeo Privacy.

Ricorda quindi che la mancata Formazione Privacy è considerata una violazione della legge.