1. NUOVI CRITERI DI LEGITTIMAZIONE
Applicazione del diritto dell’UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni e servizi a cittadini UE o tali da comportare il monitoraggio dei loro comportamenti.
2. IL NUOVO CRITERIO DI ACCOUNTABILITY
Diventa obbligatorio elaborare un sistema documentale di gestione della privacy elaborato per soddisfare i requisiti di conformità al regolamento. Il principio dell’accountability stabilisce il principio di corretta organizzazione e della tracciabilità obbligatoria dell’attività di trattamento.
3. NUOVA INFORMATIVA
Non più solo strumento burocratico e formale ma deve essere chiara, concisa, trasparente, intellegibile, facilmente accessibile, con linguaggio semplice e chiaro, specie in caso si rivolga a minori. Ovviamente la forma è scritta.
4. SEMPLIFICAZIONE DEI SISTEMI PER L’ESERCIZIO DEI DIRITTI DEGLI INTERESSATI
Modalità volte ad agevolare l’esercizio da parte dell’interessato dei suoi diritti
5. DAL DOCUMENTO PROGRAMMATICO DI SICUREZZA (DPS) AL DOCUMENTO DI VALUTAZIONE DI IMPATTO NEL TRATTAMENTO DEI DATI (PIA)
E’ una vera e propria analisi dei rischi generati in concreto dal trattamento dei dati aziendali con tre distinte fasi:
a) Analisi dei rischi
b) Definizione della lista delle criticità
c) Definizione del programma di intervento
Si punta a gestire i rischi legati al trattamento dei dati prevenendoli
6. NASCE IL RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (DPO).
È una figura obbligatoria o facoltativa (a seconda della natura dell’attività svolta dall’azienda e dal reale impatto che il trattamento dei dati ha nell’ambito del servizio offerto dall’azienda) deve possedere requisiti di professionalità, autonomia e indipendenza. Sarà un auditor interno e referente per il garante.
7. MENO BUROCRAZIA
Viene abolita la comunicazione al Garante e sostituita con una valutazione di impatto nel trattamento dei dati
8. DUE NUOVI MODELLI PROCEDURALI: PRIVACY BY DESIGN E PRIVACY BY DEFOULT
PRIVACY BY DESIGN: la tutela va pensata e organizzata fin dalla fase progettuale della raccolta di informazioni; PRIVACY BY DEFOULT : si evita di raccogliere dati non necessari e superflui. La privacy diventa elemento essenziale della pianificazione ambientale per evitare di avere problemi in futuro per non avere rispettato i dettami normativi.
9. OBBLIGO DI AUTODENUNCIA PER LE VIOLAZIONI DI DATI SUBITE DA CHI TRATTA I DATI STESSI
Bisogna segnalare all’Autorità garante le violazioni di dati subite da chi li tratta : per violazioni si intende la distruzione, la modifica, la perdita, la rivelazione non autorizzata o l’accesso in modo accidentale o non autorizzato, ai dati personali trasmessi, memorizzati o elaborati.
La procedura prevede a) la notificazione della violazione che deve avvenire entro 72 ore dal fatto; b) segnalazione all’interessato. Il mancato rispetto comporta sanzioni penali.
10. SANZIONI DI NUOVA GENERAZIONE
Le sanzioni diventano “personalizzate” e molto più pesanti : a) fino a 20.000 di € per privati o aziende non facenti parte di gruppi; b) fino al 4% del fatturato complessivo per gruppi societari e multinazionali.
11. CONSENSO E PROFILAZIONE
Il consenso dovrà essere espressione di una volontà chiara e distinta, mediante un’AZIONE specifica, informata, espressione di una intenzione LIBERA E INQUIVOCABILE. NON è ammesso il consenso TACITO O PASSIVO. La profilazione consiste nell’analisi di sati cui fa seguito un’azione automatica senza l’intervento umano.
RIPRODUZIONE RISERVATA