Mondo-Privacy-Blog-guida-gdpr-garante-2

GUIDA AL GDPR: FIGURE, ACCOUNTABILITY, VALUTAZIONE DEL RISCHIO E TRASFERIMENTO DI DATI

La scorsa settimana abbiamo approfondito insieme le novità del Regolamento Europeo su liceità del trattamento e informativa.
Oggi vediamo le novità in merito alle ultime quattro sezioni della Guida al GDPR elaborata dal Garante per la Privacy.

DIRITTI DEGLI INTERESSATI

  • Per tutti i diritti degli interessati, il Regolamento prevede il termine di un mese (estendibile fino a tre mesi in casi complessi) per la risposta da parte del Titolare del trattamento, anche in caso di diniego
  • Il Titolare del trattamento può decidere, sulla base della complessità del riscontro, di chiedere un contributo (in caso di richieste manifestamente infondate o eccessive);
  • Il Titolare del Trattamento deve dare il riscontro agli interessati in forma scritta, anche tramite strumenti elettronici; in forma orale solamente se lo richiede l’interessato stesso;
  • La risposta all’interessato deve essere intelligibile, concisa, trasparente, facilmente accessibile e data in un linguaggio semplice e chiaro;
  • Il diritto di accesso dell’interessato comporta in ogni caso il diritto di ricevere una copia dei dati oggetto di trattamento;
  • Il diritto all’oblio, cioè il diritto di cancellazione dei dati, è più esteso rispetto a quanto previsto nel Codice (per esempio, l’interessato può richiedere la cancellazione dei propri dati anche dopo la revoca del consenso);
  • Il diritto di limitazione del trattamento (non di “blocco”, come nel Codice), non si applica più solo se c’è stata una violazione dei fondamenti di liceità del trattamento, ma anche se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento;
  • Il diritto alla portabilità dei dati si applica a trattamenti automatizzati e può essere esercitato solo qualora siano trattati in forza del consenso dell’interessato o di un contratto con lui stipulato, inoltre i dati devono essere stati forniti al Titolare direttamente dall’interessato.

 

TITOLARE, RESPONSABILE, INCARICATO

  • Il Regolamento disciplina la contitolarità del trattamento: impone ai titolari di definire in modo specifico il rispettivo ambito di responsabilità e i compiti. Gli interessati possono rivolgersi ad uno o all’altro indifferentemente;
  • I responsabili devono essere nominati tramite un contratto (o altro atto giuridico conforme al diritto nazionale) che deve disciplinare puntualmente le materie previste al par. 3 dell’art. 28., così da poter dimostrare che il Responsabile fornisce “garanzie sufficienti”;
  • E’ possibile per un responsabile del trattamento nominare sub-responsabili, nel rispetto degli stessi obblighi contrattuali con il Titolare del trattamento; il responsabile primario risponde nei confronti del Titolare di eventuali inadempimenti del sub-responsabile;
  • Ai responsabili del trattamento è dato l’obbligo di tenere il registro dei trattamenti svolti, di adottare idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti e di designare un DPO (qualora richiesto dal Regolamento);
  • Il Titolare del trattamento e/o il responsabile che non abbia sede nell’UE, dovrà nominare un Rappresentante in Italia, qualora trattasse dati personali di interessati italiani;
  • I titolari dovranno notificare all’autorità di controllo violazioni di dati personali di cui siano a conoscenza entro 72 ore, se ritengono che da tale violazione derivino dei rischi.

 

ACCOUNTABILITY E VALUTAZIONE DEL RISCHIO

Nel Regolamento, nuovo principio fulcro è quello dell’accountability (responsabilizzazione) di titolari e responsabili.
Questi, secondo tale principio, devono riuscire a dimostrare di attuare misure per essere conformi al GDPR, alla luce di criteri indicati nel Regolamento stesso:

  • Privacy by design e privacy by default: la necessità di configurare il trattamento stabilendo fin dall’inizio (quindi prima ancora che il trattamento abbia inizio) le garanzie indispensabili ai sensi del Regolamento;
  • Approccio basato sulla valutazione del rischio di impatti negativi sulle libertà e sui diritti degli interessati;
  • Intervento dell’autorità di controllo principalmente a seguito delle determinazioni del titolare (per questo sono stati aboliti alcuni istituti, come la notifica preventiva dei trattamenti al Garante Privacy).

 

TRASFERIMENTO INTERNAZIONALE DI DATI

  • Il trasferimento verso un Paese ritenuto “adeguato” (sulla base di decisioni della Commissione Europea, clausole contrattuali modello o norme vincolanti d’impresa) non avrà bisogno dell’autorizzazione del Garante, salvo in casi specifici (per esempio se il Titolare vuole utilizzare clausole contrattuali non ritenute adeguate o accordi amministrativi stipulati tra autorità pubbliche);
    Per dimostrare le “garanzie adeguate” richieste dal GDPR, il titolare in un paese estero potrà aderire a codici di condotta o schemi internazionali che disciplinino i trasferimenti di dati verso Paesi terzi. Questi titolari dovranno in ogni caso assumere un impegno tramite contratto o strumento giuridicamente vincolante;
  • Sono vietati i trasferimenti verso un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese, a meno che non vi siano accordi internazionali di mutua assistenza giudiziaria o analoghi accordi fra gli Stati;
  • Il regolamento fissa i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbligatori delle stesse.

 

La guida completa è disponibile sul sito del Garante.

[Fonte: Garante per la protezione dei dati]

Ilaria

About Ilaria

Sempre disponibile a rispondere alle vostre domande, sarò felice di accompagnarvi nel percorso necessario per allineare la vostra azienda al nuovo Regolamento Europeo.