NOVITÀ PRIVACY POLICY

Il consenso al trattamento dati dovrà essere libero, specifico ed informato, dovrà essere manifestato attraverso dichiarazione o azione positiva inequivocabile.
Non è permesso il consenso tacito o presunto (no caselle pre-spuntate).
La richiesta del consenso dovrà essere presentata in modo chiaramente distinguibile da altro testo, in forma comprensibile e facilmente accessibile, utilizzando linguaggio semplice e chiaro.Per i minori di anni 16 il consenso dovrà essere prestato o espressamente autorizzato da genitore esercente la potestà genitoriale.

Nel rispetto della normativa privacy, il titolare del trattamento dovrà sempre indicare, tra l’altro:

1. Identità e dati di contatto, propri e del responsabile di protezione dei dati;
2. La base giuridica del trattamento (consenso, obbligo legale, esecuzione di contratto, interesse pubblico);
3. Se, e con quali strumenti, i dati vengo trasferiti in Paesi terzi rispetto all’Unione;
4. Il periodo di conservazione dei dati (o i criteri per stabilirlo);
5. Il diritto dell’interessato di presentare reclamo all’Autorità di Controllo;
6. Se i dati raccolti sono oggetto di processi automatizzati e/o di c.d. “profilazione**”, e le loro conseguenze.

L’informativa dovrà essere comunicata prima della raccolta dei dati, se effettuata direttamente presso l’interessato, o entro 1 mese dalla raccolta, se effettuata presso soggetti terzi.

** (l’insieme delle attività di raccolta dei dati inerenti agli utenti di un servizio, al fine di suddividerli in gruppi a seconda del loro comportamento per poter offrire servizi personalizzati)

Il diritto alla cancellazione dei dati (c.d. “Diritto all’ Oblio”) resta invariato rispetto alla precedente legislazione.

La norma prevede la possibilità di trasferire i dati presso un altro titolare, qualora l’interessato lo richieda.

E’ richieista la protezione dati fin dalla progettazione e per impostazione predefinita “data protection by default e by design”. il titolare dovrà strutturare il trattamento dei dati prevedendo fin dall’inizio, prima cioè che il trattamento stesso abbia luogo, le garanzie necessarie a soddisfare i requisiti di protezione imposte dal Regolamento (“design”).

Si dovrà altresì prevedere che, per ogni specifica finalità di trattamento, siano trattati solo i dati personali necessari per impostazione predefinita (“default”).

Il titolare avrà la possibilità di aderire a codici di condotta adottati da associazioni di categoria o a meccanismi di certificazione come l’ISO/IEC 27001.

I registri delle attività di trattamento sono obbligatori per le imprese con numero di dipendenti pari o superiore a 250 unità.

Sono comunque obbligatori per tutte le imprese che effettuino trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato ed il trattamento includa categorie particolari di dati di cui all’art. 9 par. 1 (dati sensibili) o dati personali relativi a condanne penali o a reati di cui all’art. 10.

Obbligo di eseguire delle valutazioni d’impatto sulla protezione dei dati con riferimento a trattamenti effettuati con tecnologie e processi nuovi, nei casi di trattamento automatico (inclusa l’archiviazione) e nel trattamento di categorie particolari di dati su larga scala.

In particolare dovrà essere valutato preventivamente se detti trattamenti rappresentino un “rischio elevato” per i diritti degli interessati, e se tale rischio possa essere mitigato o evitato mediante adozione di misure come, ad esempio la c.d. “pseudonimizzazione” **. Il Garante ha messo a disposizione un software gratuito di ausilio ai titolari per la valutazione d’impatto sulla protezione dei dati (DPIA).

** attribuzione di user name, nick name o pseudonimo al soggetto interessato

E’ abolita la notifica preventiva dei trattamenti all’Autorità di Controllo prevista invece nella precedente normativa.

E’ obbligatoria la nomina di un Responsabile della Protezione dei Dati anche interno all’azienda o all’ente o nominato da responsabile del trattamento dei dati, che eserciti funzioni di informazione, consulenza e sorveglianza relative all’applicazione del Regolamento, nonché di contatto e cooperazione con l’Autorità di Controllo.

L’obbligo riguarda società che effettuano trattamenti di dati che richiedono monitoraggio regolare e sistematico degli interessati su larga scala, o che trattamento di dati genetici e biometrici, relativi a salute e orientamenti sessuali, origine etnica, appartenenze politiche, credo religioso, condanne penali, oppure autorità o organismi pubblici.

Sono escluse, ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

E’ prevista la possibilità di trasferimento dei dati verso Paesi terzi e Organismi Internazionali senza autorizzazione del Garante Nazionale, purché avvenga verso paesi giudicato “adeguati” dalla Commissione Europea, ovvero sulla base di clausole contrattuali sottoscritte tra soggetti titolari e responsabili del trattamento del Paese Comunitario e quelli del Paese terzo e/o dell’Organizzazione Internazionale, ovvero sulla base di Norme Vincolanti d’Impresa approvate dalla Commissione.

Si richiede la comunicazione agli interessati e all’Autorità di Controllo in caso di violazioni di dati e/o crimini informatici.

Sono previste sanzioni per la mancata osservanza delle norme del Regolamento a più livelli, con multe fino ad un massimo del 4% del fatturato totale annuo dell’azienda o 20 milioni di euro, applicandosi il valore più elevato fra i due.