Regolamento Europeo: cosa cambia in pillole

Il Regolamento Europeo sul Trattamento dei dati personali è in vigore da maggio 2016 ed il tempo per le aziende per adeguarsi scadrà il 24 maggio 2018.
Cosa cambia in pillole
Accountability
Se con la 196/03 il codice prevedeva un elenco preciso delle misure di sicurezza da adottare, ora l’attuale normativa europea non entra nello specifico, ma lascia al titolare del trattamento la responsabiltà di disporre delle procedure di sicurezza da adottare in azienda. Se da un lato il codice lascia più liberi, dall’altro penalizza in caso violazione dei dati (data breach) con sanzioni molto pesanti.
Analisi del rischio e PIA
Ritorna l’analisi dei rischi ed un approccio basato sull’analisi dei trattamenti applicati che tenga conto della verifica dell’impatto che possano avere sui dati dei soggetti interessati. Il Privacy Impact Assessment (PIA) è l’analisi dei dati trattatti sulla categoria dei soggetti, quindi: occorre verificare di quali dati parliamo e della loro natura, occorre verificarne le finalità al trattamento e le modalità, chi sono le figure che internamente possono trattare queste informazioni e con quali autorizzazioni, se i dati vengono comunicati a terzi oppure vengono diffusi. Inoltre occorre verificare la reale ubicazione dei dati: se sono fuori dalla Comunità Europea si deve verificare che lo Stato ospitante abbia le carte in regola con la normativa Europea. Una volta verificati i dispositivi ospitanti il titolare al trattamento deve verificarne la messa in sicurezza, andando in modo puntuale a verificarne gli aspetti tecnici ed organizzativi. Solo successivamente dovrà fare un’accurata analisi dei rischi che possono incombere su questi dati e solo a questo punto potrà arrivare alla corretta decisione “del se e del come” trattare i dati ed in funzione di questo potrà stabilire un piano di miglioramento che possa efficientare la sicurezza.
Data Protection Officer
Con il Regolamento Europeo si introduce una nuova figura, il Responsabile della Protezione dei Dati. Sarà obbligatorio nella pubblica amministrazione e sarà fortemente consigliato nel privato. Nel settore privato, tuttavia, sarà obbligatorio nominare un DPO qualora i trattamenti coinvolti saranno su larga scala e monitorati sistematicamente o nel caso di trattamenti effettuati su larga scala di dati sensibili. Accanto al concetto di larga scala occorre far riferimento al core business aziendale per determinarne l’obbligatorietà o meno: ad esempio le aziende ospedaliere, le aziende che offrono servizi proprietari in cloud, le aziende che offrono servizi di sorveglianza, dovranno obbligatoriamente dotarsene.
Il Data Protection Officer avrà competenze normative sul trattamento dei dati personali e competenze sui processi informatici, ma se nominato internamente all’organizzazione non potrà svolgere mansioni che possano andare in conflitto d’interesse come ad esempio la figura dell’IT Manager.
Portabilità
Il soggetto interessato ha il diritto di richiedere al titolare del trattamento di rendere tutte le informazioni in suo possesso in un formato inteleggibile, in modo da poter comunicare i dati ad altro titolare per l’espletamento dei servizi.
Registri dei trattamenti
Come con la 196 anche il Regolamento Europeo obbliga le organizzazioni a redigere la documentazione che fotografi la gestione dei trattamenti applicati. Una descrizione delle categorie di dati trattati, chi li può trattare nell’organizzazione, con quali permessi, quali sono le finalità e le misure di sicurezza adottate.
Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...