Il 25 maggio 2018 è entrato in vigore il Regolamento UE n. 679/2016 – GDPR – in materia di protezione di dati personali che innova la materia pur non abrogando il Codice Privacy, il D.Lgs 196/2003 che regolava la materia.
COSA CHIEDE LA NORMATIVA PRIVACY
Gli enti che trattano dati di persone fisiche devono adottare una serie di misure per tutelare tali soggetti interessati.
INTERESSATI
Il Regolamento non si applica ai trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.
Le misure di tutela previste sono di tipo diverso – informative, tecniche, organizzative – e si applicano in base alle tipologie di interessati con cui l’azienda si interfaccia, ai tipi di dati che vengono trattati – personali, giudiziari, sensibili – ed allo scopo per il quale sono trattati.
CODICE PRIVACY E REGOLAMENTO PRIVACY: COSA CAMBIA
Rispetto alla disciplina posta dal Codice privacy (D.Lgs 196/20003) il GDPR:
Mantiene, pur modificandone in parte i contenuti:
– Informativa
– Richiesta di consenso per poter effettuare determinati trattamenti
– Riconoscimento di specifici diritti degli interessati in materia di dati personali
– Nomina del responsabile del trattamento
– Individuazione degli incaricati del trattamento
– Formazione degli incaricati
– Obbligo di dotarsi di misure di sicurezza
Aggiunge:
– Riconoscimento di ulteriori diritti degli interessati in materia di dati personali, esempio portabilità dei dati
– Registro dei trattamenti, per gli enti che effettuano i trattamenti che mettono più a rischio gli interessati
– Obbligo di notifica delle violazioni di dati personali da cui derivino rischi per i diritti e le libertà degli interessati
– Nomina del Responsabile della protezione dati (sigla DPO o RPD) per gli enti pubblici e per gli enti privati che eseguano trattamenti di dati su larga scala
– Valutazione di impatto sulla protezione dei dati in caso si effettuino trattamenti che espongano a rischio elevato i diritti e le libertà delle persone
I TERMINI DELLA PRIVACY
Titolare del trattamento
Persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali. Ad esempio CSV Vicenza è Titolare del trattamento dei dati dei propri dipendenti, li tratta al fine di gestire il rapporto di lavoro, utilizzando quali mezzi strumenti informatici, archivi cartacei e personale dedicato.
Interessato
Persona fisica identificata o identificabile cui si riferiscono i dati che l’ente tratta. Sono interessati ad esempio i dipendenti, i collaboratori, i fornitori persone fisiche.
Responsabile del trattamento
Persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Ad esempio lo studio paghe che prepara i cedolini per conto dell’ente.
Dato personale
Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Sono dati personali il nominativo, il codice fiscale, la residenza, …
Dato sensibile o particolare di cui all’art.9 GDPR
Dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Ad esempio il dato relativo allo stato di salute di un paziente.
Dato giudiziario o relativo a condanne penali e reati di cui all’art. 10 GDPR
Dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza. Ad esempio il dato ottenuto chiedendo al collaboratore il certificato penale del casellario giudiziale.
I PRINCIPI DA APPLICARE QUANDO SI TRATTANO DATI PERSONALI
1. liceità, correttezza e trasparenza: trattare i dati in modo lecito, corretto e trasparente
2. limitazione della finalità: raccoglierli per finalità determinate
3. minimizzazione dei dati: raccogliere solo i dati necessari per il trattamento che si fa
4. esattezza: cancellare o rettificare i dati inesatti
5. limitazione della conservazione: mantenere i dati solo per il tempo necessario alla finalità del trattamento
6. integrità e riservatezza: applicare le misure necessarie per porre in sicurezza i dati
7. responsabilizzazione: il Titolare del trattamento deve provare che rispetta i principi e le regole poste dal GDPR
L’APPROCCIO BASATO SUL RISCHIO
Posto che diverse possono essere le misure da adottare in relazione ai dati effettivamente trattati, l’ente è tenuto a valutare quali siano i rischi cui espone gli interessati ed in base a tale valutazione, dotarsi dei presidi appropriati per tutelare i diritti e le libertà dell’interessato.
ATTIVITÀ DA FARE:
– Valutare quali trattamenti vengono svolti nell’ente: di chi sono i dati che vengono trattati, che dati sono, i motivi per cui sono trattati
– Analizzare i rischi collegati ai trattamenti individuati: perdita, diffusione o comunicazione, modifica illegittime
– Valutare l’adeguatezza delle misure già in essere per fronteggiare il rischio
– Piano di lavoro per attuare le misure risultate mancanti
– Formare il personale
– Sviluppare incarichi e nomine ai responsabili
– Verificare periodicamente il mantenimento del sistema
Per far comprendere al meglio questa modifica legislativa e le sue conseguenze per gli enti, il CSV Vicenza ha organizzato per il giorno 7 giugno 2018 un evento formativo gratuito presso la sede di Vicenza, per iscriversi o avere maggiori informazioni cliccare il presente link.