Privacy Europea

PRIVACY EUROPEA

Accountability

 

Nel nuovo Regolamento uno dei principi più importanti è l’accountability, ovvero la responsabilizzazione del Titolare del trattamento.

L’art. 5 specifica che il Titolare è il soggetto competente a garantire il rispetto dei principi posti dalla nuova disciplina in tema di trattamento dei dati personali, quali quelli di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza. Oltre a dover garantire il rispetto dei suddetti principi, il Titolare deve essere in grado di “comprovarlo”: in quanto ha l’onere di porre in essere una serie di adempimenti quali:

-Adottare le misure tecniche ed organizzative adeguate per garantire l'incolumità dei dati trattati.

-Essere in grado di dimostrare, che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina. Le misure da adottare vanno valutate di volta in volta, tenendo in considerazione una serie di elementi tra cui la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Il Titolare del trattamento quindi assicura e comprova che ciascuna operazione di trattamento di dati personali sia conforme al Regolamento.

Privacy by design

Con il cosiddetto principio della privacy by design, il Regolamento prescrive che il Titolare del trattamento debba applicare misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati e integrare nel trattamento le necessarie garanzie per tutelare i diritti degli interessati.

Tale adempimento va effettuato sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso.

Privacy by default

Con il cosiddetto principio della privacy by default, il Regolamento stabilisce che il Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita (cioè di default), solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, l’estensione del trattamento, il periodo diconservazione e la loro accessibilità. In particolare, dette misure devono garantire che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica (che ad esempio consapevolmente disponga il settaggio del servizio scegliendo di condividere con i terzi i dati personali oggetto di trattamento nell’ambito della operatività del servizio). Certificazione Il titolare può ottenere una certificazione ad hoc, prevista dal Regolamento in base ad una specifica procedura, per dimostrare la conformità ai principi di privacy by design e by default.

La certificazione è volontaria e non riduce la responsabilità del titolare del trattamento dei dati. L’unico schema riconosciuto da ACCREDIA* di certificazione per la protezione dei dati personali è ISDP©10003:2015 DATA PROTECTION. Attraverso il certificato di conformità rilasciato dietro attestazione di una parte terza indipendente, quale un Organismo accreditato,  l'organizzazione può dimostrare di aver ottemperato a tutti i requisiti e controlli di sicurezza richiesti dalla normativa internazionale nell'ambito della protezione dei dati personali trattati, con particolare riferimento alla corretta gestione dei rischi.

Definizione di “Sicurezza” L'insieme delle misure di carattere organizzativo e tecnologico atte a garantire: Riservatezza: informazioni accessibili solo a chi è autorizzato a conoscerli, quindi non accessibili a chi non è autorizzato Integrità: i dati devono essere trattati in modo che siano protetti da manomissioni e modifiche non autorizzate, quindi bisogna tutelare l’accuratezza e la completezza dei dati Disponibilità: la risorsa/il dato deve essere sempre agevolmente disponibile a chi vi può lecitamente accedere

Eventi che causano la perdita di Riservatezza, Integrità e Disponibilità:

• Rottura di un hard disk

• Virus

• Assenza o comunicazione di password

• Profili mal configurati

• Perdita di chiavetta USB

• Sostituzione o furto di un PC

• Assenza dell’incaricato

• Furto di documenti

• Pubblicazione illecita su Internet

• Dimissioni di un dipendente

• Attivazione di collegamento remoto

• Introduzione di un nuovo programma applicativo o di un nuovo server

• Violazione di dati

• Nuova vulnerabilità software e hardware

• Nuova versione di un sistema operativo

 

Il Regolamento conferma la responsabilità risarcitoria per il c.d. “danno da trattamento”, l’art. 82 prescrive difatti che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Inoltre chiarisce i meccanismi di ripartizione della responsabilità risarcitoria tra titolare e responsabile del trattamento e tra contitolari del trattamento (con la previsione specifica di azioni di regresso reciproche) così come i meccanismi di esonero.

L’art. 83 del Regolamento regola le condizioni di determinazione delle sanzioni e per l’applicazione delle sanzioni amministrative pecuniarie fissa i seguenti importi:

1. fino a 10.000.000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, nel caso di violazione di determinati obblighi posti dal Regolamento;

2. fino a 20.000.000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, nel caso di violazione degli obblighi più stringenti posti dal Regolamento (anche nel semplice caso di inosservanza degli ordini del Garante).

Data Protection Impact Assessment (DPIA) (Valutazione d’impatto sulla protezione dei dati ) Quando il trattamento (per natura, oggetto, contesto e finalità), presenta un rischio elevato per i diritti e le libertà degli interessati, il titolare del trattamento effettua una valutazione d’impatto, del trattamento previsto, sulla protezione dei dati personali per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Questa procedura che è una sorta di rilevazione dei rischi riguardanti il trattamento dei dati, deve essere eseguito da un professionista /società specializzata nel settore della PRIVACY EUROPEA.

 

Rimanendo a disposizione porgo cordiali saluti.