Qui le 10 parole più importanti spiegate in breve:
1. G.D.P.R.
In estrema sintesi, con l’introduzione del General Data Protection Regulation:
- si introducono regole più chiare su informativa e consenso
- definiti i limiti al trattamento automatizzato dei dati personali
- poste le basi per l’esercizio di nuovi diritti
- stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
- fissate norme rigorose per i casi di violazione dei dati (data breach).
2. Consenso
La persona a cui si riferiscono i dati deve fornire il consenso “esplicito” affinchè i dati stessi possano essere conservati e trattati per lo scopo comunicato.
Ad esempio, su un sito web, indicando il proprio nome, cognome e indirizzo email, la persona deve esplicitamente accettare che i suoi dati vengano acquisiti e trattati secondo l’informativa che gli viene fornita.
Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
3. Informativa privacy
È il testo che indica da chi vengono acquisiti i dati, chi ne è il responsabile e per quali finalità vengono richiesti.
L’informativa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile. Deve essere fornita per iscritto e preferibilmente in formato elettronico.
4. Data breach
Tutti i titolari - e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi - dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza.
La comunicazione deve essere effettuata soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
La notifica all’Autorità dell’avvenuta violazione quindi non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare.
5. Oblio
È il diritto alla cancellazione dei propri dati personali in forma rafforzata.
Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”.
6. D.P.O.
È il Data Protection Officer, ovvero il “responsabile della protezione dati”.
Incaricare e definire una persona responsabile dei dati riflette l’approccio responsabilizzante che è proprio del regolamento, essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/ responsabile.
Non è un caso, infatti, che fra i compiti del DPO rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto.
La sua designazione è obbligatoria in alcuni casi e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali).
7. 25 Maggio 2018
Data in cui entrerà in vigore la nuova normativa GDPR.
8. Sanzioni
Sanzioni amministrative: i titolari e responsabili possono essere multati fino a 20mln € o fino al 4% del fatturato mondiale totale annuo.
9. 72 ore
Termine per inviare la notifica delle violazioni di dati personali.
Tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”.
10. PIA - valutazione d’impatto
I titolari dovranno effettuare una valutazione degli impatti privacy (Privacy Impact Assessment – PIA) fin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, nei casi in cui il trattamento, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati.