
Il Regolamento generale per la protezione dei dati personali (UE)n. 2016/679 è la normativa europea in materia di protezione dei dati personali di persone fisiche, pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 ma la sua attuazione è avvenuta a distanza di due anni, a partire dal 25 maggio 2018.
Trattandosi di un regolamento non necessita di recepimento da parte degli Stati dell’Unione per cui è attuato allo stesso modo in tutti gli Stati dell’Unione. Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea.
Lo stesso Regolamento però prevede che la normativa nazionale possa integrarsi con le proprie disposizioni, affinché il suo contenuto sia suscettibile di attuazione concreta ad es.:
per effetto di uno specifico rinvio del regolamento stesso;
per integrare o interpretare una specifica disposizione (purché non in contrasto con il Regolamento).
I principi del Reg. UE 2016/2016
Tra i numerosi elementi di novità introdotti dal Regolamento si indicano, di seguito, quelli di maggior impatto sia a livello organizzativo che tecnico-informatico.
Risk management
E’ necessario mettere in atto un processo di risk management, trova concreta attuazione:
– nell’obbligo di realizzare un privacy impact assessment;
– nei principi generali: privacy by design e privacy by default.
Obbligo di documentazione
Predisposizione, conservazione e messa a disposizione dell’Autorità di controllo (ove richiesto) della documentazione del registro di trattamento contenente:
– il nominativo delle figure coinvolte nel trattamento,
– le finalità,
– la descrizione delle categorie di dati coinvolti e degli interessati,
– l’identificazione dei destinatari o delle categorie di essi cui siano comunicati i dati personali,
– la descrizione delle misure (tecniche ed organizzative) adottate in esecuzione del principio privacy by design.
Data breach
L’obbligo generale di comunicare al Garante Privacy gli incidenti e/o le più gravi violazioni (c.d. data breach).
Data Protection Officer
Con riferimento agli enti pubblici e alle aziende che trattino particolari categorie di dati (quali, ad esempio, quelli relativi all’origine razziale o etnica, oltre che i dati genetici o biometrici), l’obbligo di individuare e nominare un Data Protection Officer, soggetto dotato di specifici requisiti professionali, con funzioni di supporto, vigilanza e control-lo di compliance.
I.N.D. offre la consulenza necessaria per la messa a norma dell’azienda e dello studio professionale.
- Check Risk Privacy
- Accountability (esame, verifica, pianificazione e attuazione nei processi aziendali)
- Data Protection Impact Assessment
- Registro delle attività di trattamentio
- Organigramma Privacy
- Accordo di Contitolarità
- Nomine e Autorizzazioni
- Responsabile del trattamento (Accordo Responsabile, Registro del Responsabile)
- Accordo di Riservatezza
- Informativa (Dipendenti, Clienti, Fornitori, Sito Web)
- VideoSorveglianza (Sopralluogo, Verifica del sistema, Adempimenti INL, Registro e Politiche di sicurezza)
- Controllo a distanza (Geolocalizzazione)
- Data Breach (Registro degli eventi, Notifica e comunicazione data breach)
- Amministratore di Sistema
- Nuove Tecnologie
- Droni (Regolamento delegato (UE) 2019/945 della Commisisone, Regolamento di esecuzione (UE) 2019/947 della Commissione, Regolamento ENAC “Mezzi Aerei a Pilotaggio Remoto”, Disposizioni Agenzia Europea per la Sicurezza Aerea)
- Domotica (Smart Home)
- Giocattoli (Smart Toys)
- Moda hi-tech
- App (Applicazione Mobile)
- Intelligenza artificiale
- Big Data
- IoT (Internet of Things)
- Pubblicità e Marketing
- Social Network
- Processi decisionali automatizzati e profilazione