Novità normative PRIVACY – Guida applicativa del Garante al Reg UE 679/2016
Il Garante Privacy ha predisposto e pubblicato una prima guida all’applicazione del Regolamento UE 679/2016 sul trattamento dei dati personali, regolamento entrato in vigore in tutta l’UE il 24.05.2016 e pienamente efficace dal 25.05.2018.
La Guida riassume le principali novità introdotte dalla normativa e fornisce indicazioni sugli adempimenti da adottare.
E’ suddivisa in 6 capitoli, relativi ai seguenti aspetti:
- I fondamenti di liceità del trattamento dei dati;
- l’Informativa privacy sul trattamento dei dati;
- i Diritti degli Interessati;
- l’organizzazione: Titolare, Responsabile, incaricati del trattamento;
- l’approccio basato sul rischio del trattamento e le misure di accountability;
- i trasferimenti internazionali dei dati.
Ogni capitolo riporta cosa cambia e cosa rimane immutato rispetto all’attuale normativa, unitamente a raccomandazioni in ordine ad una corretta implementazione delle nuove disposizioni.
A tal proposito, si segnalano le seguenti principali indicazioni:
- il CONSENSO RACCOLTO e l’INFORMATIVA FORNITA PRIMA del 25.05.2018 RESTA VALIDA SE HA TUTTE LE CARATTERISTICHE riportate nel Regolamento. In caso contrario, occorrerà adoperarsi prima di tale data per raccogliere nuovamente il consenso e fornire l’informativa;
- i soggetti pubblici non devono di regola richiedere il consenso per il trattamento dei dati;
- l’informativa deve sempre specificare, rispetto alla precedente normativa, i dati di contatto del RPD-DPO ove esistente, la base giuridica del trattamento, l’interesse legittimo (se questo costituisce la base giuridica del trattamento), il trasferimento all’estero dei dati e le garanzie adottate, il periodo di conservazione dei dati, se sussistono processi decisionali automatizzati (es. profilazione);
- devono essere previsti tempi certi per rilasciare l’informativa (immediata o fino a 30 gg in casi particolari);
- devono essere previsti tempi certi per la risposta ai diritti degli interessati (1 mese estendibile a 3 mesi in casi particolari) anche in caso di diniego;
- è prevista la possibilità di richiedere un contributo spese per il riscontro agli interessati in determinate circostanze;
- è previsto l’obbligo di verificare la presenza di CONTITOLARI al trattamento e di redige apposito accordo di suddivisione compiti e responsabilità;
- è previsto l’obbligo di redigere nomine/incarichi con i RESPONSABILI del trattamento;
- è previsto l’obbligo o comunque l’opportunità in determinati casi di mantenere un REGISTRO DEI TRATTAMENTI;
- è previsto l’obbligo di tenere traccia e di documentare (e in determinati casi segnalare) le violazioni/attacchi ai dati personali.
Nuove FAQ Garante PRIVACY sul DPO (Data Protection Officer // Responsabile della Protezione dei Dati)
Il Garante Privacy ha di recente pubblicato delle nuove FAQ relative alla figura del Data Protection Officer (DPO), una delle principali novità introdotte dal Regolamento Privacy che troverà piena applicazione a partire dal 25 maggio 2018.
Le FAQ si concentrano su vari aspetti:
- L’obbligatorietà della nomina di un DPO per alcune tipologie di società, e l’opportunità di nominarlo, seppur in assenza di un obbligo espresso, per altre società.
- Le qualifiche che deve rivestire il DPO nel caso in cui questo dia un dipendente dell’ Autorità Pubblica o dell’ organismo pubblico.
- Eventuali certificazioni idonee per tale figura.
- Le caratteristiche formali dell’atto di nomina del DPO.
- L’obbligatorietà/opportunità di istituire un apposito ufficio nel caso in cui venga designato un DPO interno in un’ Autorità pubblico o in un organismo di pubblico ufficio.
- La possibilità che un titolare/responsabile del trattamento abbia più di un DPO.
- Quali sono gli ulteriori compiti che possono essere assegnati al DPO.
Serve aiuto?
Se avete richieste di approfondimenti su casi specifici non esitate a contattarci.
Buon lavoro.