NOVITA' IN CAMPO PRIVACY

Il nuovo GDPR 679/16 comporta in realtà varie semplificazioni rispetto alla precedente normativa con la sola concreta differenza che ormai le aziende sono obbligate ad adottare realmente delle procedure di protezione dei dati e non solo sulla carta come è stato fino ad ora. 

Vediamo in sommi capi cosa comporta e quali sono le novità introdotte


IL CONSENSO

Per i dati "sensibili" il consenso DEVE essere "esplicito".
Lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione).  La diretta conseguenza è l’inammissibilità di un consenso tacito o presunto, come potrebbe avvenire nei casi delle caselle pre-spuntate. Resta immutato il concetto che il consenso deve sempre essere libero, informato e specifico.

Il consenso NON deve essere necessariamente "documentato per iscritto", nonostante spesso questa modalità venga considerata la più idonea per il suo essere esplicito.
Il titolare DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.
Il consenso dei minori è valido a partire dai 16 anni.Prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.


LE MODALITA' DELL'INFORMATIVA 

Sono state stabilite nuove caratteristiche dell'informativa: DEVE essere di forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Deve essere data, in linea di principio, per iscritto e preferibilmente in formato elettronico, anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente.


Nel caso di dati personali non raccolti direttamente presso l'interessato, l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati.
Il regolamento AMMETTE, soprattutto, l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo "in combinazione" con l'informativa estesa; queste icone dovranno essere identiche in tutta l'Ue e saranno definite prossimamente dalla Commissione europea.


 

Data Breach

Con il termine data breach si intende una “violazione della sicurezza” in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Solitamente il data breach si realizza con una divulgazione involontaria (o talune volte volontaria) di dati riservati all’interno di un ambiente privo di misure di sicurezze come il web. In caso di accessi non autorizzati, perdita o furto di dati vi è l’obbligo di comunicare tempestivamente e, ove possibile, entro 72 ore sia agli interessati che alla competente autorità le suddette violazioni.

 

Generazione, stesura o modifica della documentazione

Deve essere completa ed aggiornata secondo le prescrizioni della nuova normativa. Non c’è più una scadenza di revisione annuale, ma viene richiesto che il documento sia sempre aggiornato. L’analisi dei rischi, come molti altri documenti, va aggiornata ogni volta in cui vengano introdotti nuovi trattamenti o avvengano variazioni sostanziali su quelli in essere.