L’ultima versione del codice in materia di protezione dei dati personali con Decreto Legislativo n. 196 del 2003, ha abolito il DPS “formale” che è sempre stato previsto dalla normativa, ma ha mantenuto l’obbligatorietà dell’adozione delle misure di sicurezza (Allegato B) e la necessità di redigere annualmente un disciplinare tecnico.

Sono tenuti a rispettare la normativa tutti coloro che possiedono una partita iva.

E’ obbligatorio sia per coloro che trattano i dati con i mezzi informatici, sia per coloro che hanno archivi solamente cartacei.

Lo scopo della normativa è quello di certificare un sistema di protezione capace di custodire i dati di natura personale e/o sensibili, ridurre al minino i rischi di distruzione o perdita, anche accidentale, e impedirne l’accesso alle persone non autorizzate.

Il disciplinare deve essere redatto ed aggiornato annualmente e, anche se non più previsto dalla normativa, suggeriamo che venga avallato dall’apposizione di una data certa.

In caso di variazioni delle condizioni di custodia dei dati nell’anno di validità del documento, il disciplinare deve essere aggiornato.

A seguito della rettifica legislativa, in particolar modo sono rimasti invariati tutti gli aspetti tecnici della normativa:

ü  Autenticazione informatica;

ü  Adozione di procedure di gestione delle credenziali di autenticazione;

ü  Utilizzazione di un sistema di autorizzazione;

ü  Aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

ü  Individuare le figure attive del trattamento: il Titolare, l'incaricato, il Responsabile (figura facoltativa), l'amministratore di sistema, il soggetto preposto alla custodia delle parole-chiave. Nominare tali soggetti in forma scritta, fornendo le relative istruzioni;

ü  Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

ü  Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei Sistemi;

ü  Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;

ü  Notifica e comunicazione agli organi competenti;

ü  Semplificazioni ed esoneri nella notificazione;

ü  Autorizzazione del Garante per i dati sensibili;

ü  Gli adempimenti del datore di lavoro; L’autorizzazione nel rapporto di lavoro.

In data 15 dicembre 2015 è stato raggiunto un accordo per il nuovo Regolamento Europeo sulla Privacy o GDPR (General Data Protection Regulation) che in Italia abrogherà la direttiva 95/46/CE, così detta “Direttiva Madre” e andrà a sostituire il Codice Privacy.

Il 4 maggio 2016 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la versione definitiva del testo del Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova Legge sulla Privacy.

Ricordiamo che i regolamenti UE sono immediatamente esecutivi, non richiedendo la necessità di recepimento da parte degli Stati membri. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE. L’entrata in vigore di questo Regolamento permetterà che le la medesima normativa sia contemporaneamente in vigore in ventisette stati membri UE uniformandoli sotto un unica disciplina.

Il Regolamento Europeo Privacy o GDPR introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Segnaliamo l’introduzione del diritto dell’interessato alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) e del diritto all’oblio per cui ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime). Questo potrà accadere ad esempio in ambito web quando un utente richiederà l’eliminazione dei propri dati in possesso di un social network o di altro servizio web.

Per Titolari e Responsabili del trattamento le novità saranno parecchie. Il principio della accountability comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure privacy adottate nel rispetto del Regolamento Europeo. Bisognerà redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento (art. 30) in cui vengano riportare tutte le attività di trattamento dati svolte sotto la responsabilità del titolare al trattamento o del responsabile. Viene richiesto di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato (art. 32-34).

La designazione del Data Protection Officer sarà obbligatoria nel caso in cui:

(a) il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali), ovvero

(b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala, o ancora

(c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).

Il Privacy Officer potrà essere interno o esterno. Esso dovrà possedere un’ampia conoscenza della normativa e sarà in relazione diretta con i vertici aziendali. Al Data Protection Officer, figura competente sia in aree giuridiche che informatiche, verrà affidato il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti.

Per poter svolgere le attività richieste, il responsabile della protezione dei dati deve avere un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali. Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza.

All’interno del Regolamento Europeo viene indicato che il Data Protection Officer è una figura autonoma, che esegue le proprie funzioni in completa indipendenza (senza ricevere alcuna istruzione o impostazione gerarchica), e riferisce sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti si occupano di fornire le risorse necessarie.

La Normativa Privacy è in continua evoluzione e, con l’arrivo del Regolamento Europeo, le aziende italiane dovranno adattare la propria documentazione, le procedure, l’organizzazione e i ruoli in base a nuove regole.

Non rischiare di farti trovare impreparato, contattaci per una consulenza preventiva gratuita al fine di consentire alla vostra azienda di adeguarsi al nuovo Regolamento entro maggio 2018.

Nuovo Regolamento UE 2016/679 sulla protezione dei dati, dal 25 maggio 2018:

Il video istituzionale del Garante Privacy, realizzato per spiegare l’importanza delle novità introdotte dal nuovo Regolamento Ue in materia di dati personali che gli Stati membri dovranno applicare a partire da maggio del 2018.

In più il video che celebra il 20° Anniversario della legge sulla Privacy in Italia (1997-2017)