04
maggio

Nuovo regolamento privacy. Importanti chiarimenti

Il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione

di tali dati denominato GDPR e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) da cui era disceso il D.Lgs. 196/2003.

Lo scorso 17 ottobre, la Camera dei Deputatati ha approvato la Legge di delegazione europea 2016-2017, che rappresenta uno degli strumenti legislativi atti ad assicurare il periodico adeguamento dell’ordinamento nazionale a quello dell’Unione Europea. Tra le deleghe assegnate al Governo, è prevista all’articolo 13 l’adozione di uno o più Decreti Legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento UE 2016/679.

Sono stati confermati, inoltre, i principi e criteri direttivi specifici che il Governo dovrà seguire nell’esercizio della delega parlamentare. In particolare, spetta ora al Governo:
 

a) abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;


b) modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679;

 

c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679;


d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal Regolamento (UE) 2016/679.

TERMINE ULTIMO PER L' ADEGUAMENTO:  24 MAGGIO 2018

Con una nota datata 19 aprile 2018 il Garante per la privacy chiarisce che: “Con riferimento a notizie circolanti in internet e’ necessario precisare che non e’ vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie nel il provvedimento richiamato nei siti attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018”
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/8469593

Per meglio comprendere quali saranno gli adempimenti ulteriori previsti dal regolamento , e’ utile rammentare che ad oggi:

1) In riferimento al d.lgs.196/03 : il decreto legge sulle semplificazioni (DL n. 5/2012) ha abrogato l’obbligo di redazione del Documento Programmatico sulla Sicurezza,. Significa che sono spariti gli obblighi dell’articolo 34 del Codice privacy, che imponeva le aziende la detenzione e l' aggiornamento periodico;
 

2) Questo non esonera, il titolare e/o il responsabile del trattamento dei dati, dall’obbligo di osservare le misure minime di sicurezza individuate e adottate in quanto non sono stati soppressi gli altri obblighi in materia di sicurezza a carico dei titolari del trattamento dei dati;
 

3) Da cio’ si deduce quanto sia opportuno, per i soggetti di cui agli artt. 28 e 29 del d.lgs.196/03,( titolari e/o responsabili al trattamento dei dati ) predisporre la redazione di un documento che, pur non chiamandosi più DPS , dimostri il corretto adempimento delle misure minime di sicurezza.
 

Questo documento va redatto e stampato 1 sola volta e aggiornato al variare di quanto  dichiarato nello stesso
 

Ecco dunque alcune novità previste dal Nuovo regolamento GDPR, in attesa che sia pubblicato il decreto attuativo della legge delega 25 ottobre 2017 n.163 che ha recepito il GDPR:
 

E' prevista la tenuta di un “registro delle attività” molto simile all'attuale DPS : si tratta di un obbligo che non si applica alle imprese e organizzazioni con meno di 250 dipendenti, a meno che il trattamento non sia occasionale o ad alto rischio, o includa particolari categorie di dati, ad esempio quelli definiti sensibili ( sensibili sono i dati personali che possono rivelare:l'origine razziale ed etnica di un
individuo; le sue convinzioni e adesioni religiose, politiche e filosofiche;lo stato di salute e la vita sessuale);
 

Tuttavia, esso può rappresentare anche per le piccole realtà una risorsa per consentire una gestione più efficace e ordinata della sicurezza dei dati e dell’organizzazione al fine di poter dimostrare il corretto adempimento delle misure minime di sicurezza.

 

UNA NUOVA FIGURA: IL DPO (DATA PROTECTION OFFICER O RESPONSABILE DELLA PROTEZIONE DEI DATI)
La nomina del DPO, pur prevista dal regolamento, non è obbligatoria per tutti i soggetti coinvolti
dal GDPR.

In tre casi deve essere nominato per legge, ovvero:

  1. Quando il trattamento dei dati è gestito da un Ente Pubblico

 

  1. Quando l’azienda basa le proprie principali attività (core business) sul monitoraggio continuo e sistematico dei soggetti profilati

 

  1. Quando le realtà imprenditoriali o le associazioni, nella loro operatività impiegano, su larga scala, dati personali, particolari tipologie di dati sensibili riferiti a situazioni economiche o patrimoniali e informazioni relative alla situazione giuridica dei soggetti a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

 

IL TRASFERIMENTO DI DATI personali da paesi appartenenti all'UE verso Paesi "terzi" (non appartenenti all'UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato.
 

Quindi coloro che dovessero commissionare delle lavorazioni in paesi extra UE dovranno procedere ad una codificazione dei dati personali del paziente al fine di non permetterne l'identificazione.
 

Quindi, al fine di non sottovalutare la portata del provvedimento, ma nemmeno di ricercare soluzioni sovradimensionate in termini di costi e adempimenti e in attesa delle novita’ previste, che saranno prontamente comunicate, sara’ sufficiente predisporre i documenti sotto elencati attraverso moduli che potranno essere forniti in formato standard adattabile alle specifiche esigenze

Per visualizzare la documentazione cliccare qui

 

 

 

le aziende comunicano

editoria

area soci

Registrati
Hai dimenticato la password? Reimpostala