E' il regolamento europeo che riscrive la privacy per gli europei, con effetti su tutta l'internet mondiale.
Tabula rasa, ma non troppo.
Il nuovo regolamento si applica a tutti gli europei. I fornitori esteri dovranno nominare un rappresentante e un dpo se necessario.
99 articoli, in media tre regole per ogni articolo, e decine di eccezioni.
La critica più feroce parla di testo troppo generalista incapace di esprimere criteri chiari e uguali per tutti.
Le tesi più favorevoli parlano di semplificazione, armonizzazione, maggiore protezione.
Cambierà molto nella documentazione quotidiana.
In due parole: "Soro si è poi anche è soffermato sulla “forte responsabilizzazione” che la nuova normativa imporrà dal 25 maggio a imprese e pubblica amministrazione. “Nel trattamento dei dati”, ha affermato il presidente dell’Autorità Garante per la protezione dei dati personali, si verificherà quindi “un rovesciamento di sistema” per cui “non si aspetterà di sapere dal Garante cosa si può o non si può fare”, ma spetterà ai titolari di aziende o funzionari pubblici “decidere come organizzare la propria attività nel rispetto della legge e, solo in via successiva, arriverà la verifica dell’Autorità”. Soro ha ricordato, inoltre, il sistema sanzionatorio per le aziende in caso di violazione della normativa: è “molto elevato e incisivo” infatti prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato internazionale annuo lordo." Da key4biz
Le norme applicate dal 25 maggio 2018 sono:
- il regolamento (testo e considerando)
- il codice privacy abrogato
- le guidelines del wp29 (gruppo che riunisce i garanti europei)
- le decisioni dei garanti nazionali non contrarie al gdpr
- la giurisprudenza
Si attendono modifiche / integrazioni significative da:
- d.lgs attuativo del Governo
- e-privacy (disposizioni specifiche per internet)
In breve alcuni adempimenti sono:
- documentare le attività con il registro dei trattamenti
- raccogliere il consenso e dare le informativa
- aggiornare i contratti con i fornitori
- nominare e dare mansioni anche ai collaboratori dipendenti con atti scritti e separati.
- valutare i rischi
- comunicare all'autorità di controllo le violazioni che comportano rischi a diritti e libertà di persone.
- titolare (chi raccoglie e tratta dati personali)
- interessato (i cui dati personali sono trattati)
- responsabile (fornitore)
- incaricato (collaboratore)
- dpo (un "garante" dell'applicazione del GDPR in certi tipi di aziende )
- autorità di controllo (il Garante)
- il diritto alla portabilità dei dati
- il registro dei trattamenti
- la valutazione d'impatto e l'analisi dei rischi
- la documentazione di nomine e mansioni di collaboratori e i contratti con i fornitori
- il data breach e le notifiche ad autorità di controllo e interessati
- il dpo
Il carattere principale del GDPR rispetto al codice privacy è l'abbandono delle misure minime per l'introduzione di un obbligo di rendere conto delle scelte aziendali nel contesto, nel costo, nelle dimensioni, e di poterle documentare.
Il sito PrivacyKit.it è la nostra monografia con servizi.