Search

Responsive image
Cosa occorre sapere sulla protezione dei dati personali
572

Cosa occorre sapere sulla protezione dei dati personali

L'approfondimento settimanale sul Reg. UE 2016/679

La Sede nazionale Aiop in collaborazione con lo studio legale Stefanelli&Stefanelli di Bologna, dà il via ad un progetto di approfondimento settimanale sul nuovo Regolamento UE 2016/679 in materia di protezione dei dati personali.
Il Regolamento troverà piena applicazione nel maggio 2018, sostituendo la Direttiva 95/46/UE (prima di questa data continueranno ad applicarsi la direttiva e le leggi nazionali che implementano la stessa negli Stati membri).
Diversamente dalla precedente disciplina europea, il Regolamento non necessita di atti nazionali attuativi: ciò vuol dire che il quadro legislativo che dovrà essere rispettato è già chiaro e completo sin da oggi.

Per illustrare i nuovi obblighi che il Regolamento impone ai destinatari, l'Aiop ha organizzato una serie di seminari gratuiti destinati alle Strutture associate e parallelamente lancia una campagna informativa su Informaiop che, attraverso un approfondimento settimanale, si pone come obiettivo quello di analizzare le principali modifiche introdotte dalla nuova disciplina.
Ogni settimana saranno illustrati i riferimenti normativi, un’analisi dettagliata della tematica con l’indicazione schematica dei cambiamenti rispetto alla normativa attuale (Direttiva 95/46/CE e Codice Privacy) e la sintesi delle principali attività che le organizzazioni dovrebbero intraprendere per avviare un aggiornamento del sistema di gestione di dati e informazioni.
L’obiettivo è quello di consentire alle funzioni preposte all'interno delle organizzazioni di identificare rapidamente i problemi sul trattamento del dato e fornire utili spunti di risoluzione degli stessi.

Un primo profilo di interesse è quello sulla nuova filosofia cui si ispira il Regolamento, nell’approccio alla gestione del dato.
Un claim che riassume l’obiettivo delle nuove regole europee potrebbe essere “Riprendiamo il controllo dei dati!
La nuova disciplina è fortemente innovativa nella sua architettura di fondo.
Seppure, infatti, alla prima lettura possa sembrare una rielaborazione (ampia) degli stessi principi della Dir 95/46/CEE, man mano che ci si addentra nell'analisi si coglie una nuova filosofia di fondo: il passaggio da una disciplina che raccoglieva una serie di adempimenti di natura per lo più formale, ad un quadro normativo fortemente sostanziale.

In tale nuovo assetto le scelte del titolare del trattamento (Controller) per una corretta tutela e protezione dei dati diventano cardine del sistema e misura della sua responsabilità.
Si tratta del c.d. principio dell’accountability (in italiano “responsabilizzazione”) secondo il quale il titolare del trattamento è competente per il rispetto della liceità, correttezza, trasparenza dell’intero trattamento dei dati e, soprattutto, è “ in grado di comprovarlo (art. 5 comma 2 Reg. 679/2016).
In altre parole, il titolare non è più chiamato a provare e dimostrare una serie di adempimenti formali, ma il rispetto sostanziale dei principi cardine del sistema: la liceità del trattamento dei dati nonché la correttezza e la trasparenza del trattamento stesso.

Alla luce di questa nuova filosofia, le principali novità che verranno poi approfondite nei prossimi numeri di Informaiop riguardano:

1) L'applicazione territoriale: il Regolamento si applica

- ai soggetti stabiliti sul territorio comunitario, sia che trattino i dati all’interno del territorio comunitario sia che li trattino fuori dal territorio comunitario;
- ai soggetti stabiliti al di fuori del territorio comunitario quando il trattamento riguarda: l’offerta di beni e servizi per soggetti residenti nell'UE ed il monitoraggio del comportamento dei cittadini dell’UE.

Ne consegue che molti soggetti che oggi non sono soggetti alla applicazione della Dir 95/46/CEE dovranno invece applicare il Reg 679/2016.

2) Il consenso: la disciplina relativa al consenso dell’interessato - che è base per la liceità di moltissimi trattamenti di dati - è decisamente più stringente.
Mentre, infatti, nella Dir 95/46/CE il consenso era “qualsiasi manifestazione di volontà libera, specifica e informata” nel nuovo Regolamento la disciplina del consenso è molto più articolata.
Più precisamente si afferma che esso deve essere espresso in forma comprensibile e facilmente accessibile, deve essere utilizzato un linguaggio semplice e chiaro e non contenere clausole abusive; l'interessato dovrebbe essere posto a conoscenza almeno dell'identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Inoltre il titolare deve essere in grado di operare una scelta autenti­camente libera, deve poter revocare o rifiutare il consenso senza subire pregiudizio.

3) Diritti degli interessati: nel nuovo Regolamento Ue i diritti degli interessati già esistenti (informativa, accesso, rettifica, oblio) sono rafforzati; sono altresì creati diritti nuovi quali il diritto di opporsi e la portabilità dei dati.

4) Data Breach: tutti i titolari di trattamento sono tenuti a notificare le violazioni alle Autorità di Controllo competenti entro 72 ore dalla rilevazione: ne consegue che i titolari sono tenuti ad attuare processi organizzativi interni per svolgere tempestivamente tale adempimento.

5) Obblighi di conformità in capo ai responsabili: mentre la Dir 95/46/CE non prevedeva responsabilità dirette e obblighi in capo ai responsabili, il Reg 679/2016 valorizza tale figura stabilendo una serie di adempimento precisi intatte a tale soggetto con la possibilità per l’autorità competente di agire anche nei confronti del Responsabile stessi (art. 28).

6) La nuova figura del Responsabile della Protezione dei dati (Data Protection Officer - DPO).

Sussiste l’obbligo di nominare tale figura ove: il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali (quindi ASL e Ospedali); le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; le attività principali del titolare o del responsabile del trattamento consistono in trattamenti, su larga scala, di dati relativi alla salute, dati biometrici e genetici. 

7)Rimedi e sanzioni: il calcolo delle sanzioni viene fatto a quota fissa (fino a 20 milioni di euro) oppure per le impresa dal 2% al 4% del fatturato.

Print

Please login or register to post comments.

NELLA RETE

Aiop Giovani

Uehp
European Union
of Private Hospitals

F.I.S.O.P.A.
Federazione Italiana;
Società Scientifiche
Ospedalità Privata Accreditata

CONTATTACI

Associazione Italiana Ospedalità Privata
Via Lucrezio Caro, 67
00193 Roma
Tel. 06 3215653
Fax 06 3215703
C.F. e P.IVA: 80202430585
     

Cookie PolicyPrivacyCopyright 2016 by AIOP - Powered By
Back To Top