Attualità // Privacy

Nuovo Regolamento Privacy Europeo: chiare Q&A sulle novità più importanti del GDPR

Condividi

In relazione all'evento dedicato al nuovo Regolamento Privacy Europeo (GDPR) organizzato da Assosicurezza in collaborazione con iubenda e Softobia, S News incontra l'avvocato Francesca Gatto del team iubenda, relatrice al Seminario che ha visto S News Media Partner.

Nell’intervista che segue, l’avvocato Gatto riepiloga in modo chiaro le novità principali introdotte dal GDPR.

Che cos’è il GDPR?
GDPR sta per General Data Protection Regulation ed è la nuova legge quadro in materia privacy. Alcune cose da sapere:
• Entra in vigore il 25 maggio 2018
• È un regolamento, ovvero una legge unica e direttamente applicabile in tutti gli Stati membri UE
• Sostituisce il D.Lgs. 196/2003 (“Codice Privacy”)

Quali sono le novità previste dal nuovo regolamento UE sulla Privacy?
Il GDPR mette ordine nel panorama normativo privacy e trasforma in legge molte di quelle che prima erano best practice.

In particolare, ecco le novità più importanti del GDPR.

NUOVI DIRITTI DEGLI UTENTI: PORTABILITÀ E CANCELLAZIONE
Gli utenti possono ora richiedere che i loro dati in possesso del titolare vengano cancellati, o che siano loro consegnati per essere trasferiti ad altro titolare.

RAFFORZATI I REQUISITI PER L'OTTENIMENTO DEL CONSENSO
Il testo chiarisce che il consenso dev'essere fornito in maniera “libera, specifica, informata e inequivocabile”. Inoltre “il titolare del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha acconsentito al trattamento”. La necessità di dimostrare l'ottenimento del consenso è dunque rafforzata, comportando che non sarà sufficiente salvare l'IP, ma bisognerà:
• Conservare la versione del form che l'interessato ha sottoscritto
• Conservare l'intera chiamata inviata al server con il contenuto del form stesso
• Certificare queste informazioni con marca temporale

INTRODOTTO IL DATA PROTECTION IMPACT ASSESSMENT
Il Data Protection Impact Assessment (o DPIA) è una relazione da redigere in forma scritta e viene descritto dalla normativa come segue:

“Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d'impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l'autorità di controllo.”

Da notare che, con il GDPR, la procedura della notificazione preventiva al Garante viene abolita.

INTRODOTTA LA FIGURA DEL DPO
Il DPO, o Data Protection Officer, o Responsabile della protezione dei dati, è una nuova figura prevista dalla normativa e si può descrivere come una persona fisica, gruppo di persone o persona giuridica che costituisce il punto di contatto privilegiato per la gestione delle problematiche legate alla protezione dei dati all'interno di un'organizzazione.

Non è una figura certificata, né esiste alcun albo. Secondo il Regolamento, la sua nomina è obbligatoria in particolare nei seguenti casi:
• Quando il trattamento è effettuato da autorità o organismo pubblico
• Quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala”
• Quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari

INTRODOTTO IL REGISTRO DEL TRATTAMENTO
Le aziende oltre i 250 dipendenti devono redigere e tenere aggiornato un registro contenente:
• Quali dati vengono trattati
• Le finalità del trattamento
• Chi accede ai dati (all’interno e all’esterno)
• Se c'è trasferimento all’estero
• Termini di cancellazione dei dati (data retention)
• Misure di sicurezza adottate

REGOLE SPECIFICHE IN CASO DI VIOLAZIONE
In caso di violazione dei dati (data breach), esistono regole precise su tempi e modalità di notificazione dell'autorità e degli interessati.

SANZIONI
Le sanzioni crescono in modo significativo, potendo raggiungere il maggior valore fra 20 milioni di euro ed il 4% del fatturato globale.

a cura di Monica Bertolo


CHI È IUBENDA?
iubenda (www.iubenda.com), con oltre 30.000 clienti in più di 100 Paesi, è azienda leader in Italia nell'offerta di soluzioni software ed assistenza diretta per il rispetto degli obblighi di legge online: soluzioni semplici, complete e professionali per generare Privacy Policy, Cookie Policy e Termini e Condizioni e per adeguarsi con la Cookie Law

iubenda vanta un team legale internazionale dedicato alla normativa privacy, incluso l'adeguamento al GDPR.

08.03.2018


Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.

\\ Articoli correlati

Dahua Solution Day: come, dove, quando e perché?

Dahua Solution Day in meno di 4 mesi ha già realizzato 65 eventi in tutta Italia. S News...

Mirai mira ora ai dispositivi IoT aziendali. Che fare?

Mirai, la botnet che ha al suo interno moltissimi exploit, il che la rende molto pericolosa e...

IFI: Data Localization nuova frontiera del protezionismo economico

Ifi Advisory, nella persona di Lorenzo Romani, Open Source Intelligence Analyst, Unità...

Seguici Su

   

Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza, iscriviti alla nostra newsletter.