Accedi

OMCeO Sassari

OMCeO Sassari Ordine dei Medici Chirurghi e degli Odontoiatri della Provincia di Sassari

La nuova Privacy

LA NUOVA PRIVACY

NOVITA’ IN MATERIA DI PROTEZIONE DEI DATI DOPO L’ENTRATA IN VIGRE DEL D.LGS 101 DEL 13.09.2018

Regolamento UE 2016/679 sulla protezione dei dati personali e la libera circolazione dei dati che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

PERCORSO NORMATIVO

GDPR UE 2016/679

in vigore dal 25.05.2016 applicabile a decorrere dal 25.05.2018

D. Lgs 10.08.2018 n. 101 in vigore dal 19.08.2018

Il Regolamento UE 2016/679 è definitamente e direttamente applicabile in tutti i Paese dell’UE a decorrere dal 25.05.2018.

La normativa europea, tesa ad assicurare un’applicazione coerente delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutti gli Stati dell’Unione Europea – prevede oltre all’introduzione di nuovi diritti in capo agli interessati in materia di accesso, rettifica e cancellazione dei dati personali che li riguardano, nuovi obblighi in capo a coloro che effettuano il trattamento dei dati personali e modifica il modo di rapportarsi con il Garante per la protezione dei dati personali, prevedendo istituti quali la notifica di violazione , la figura del Responsabile della protezione dei dati (noto anche come DPO) e

In data 10.08.2018 è stato pubblicato il Dlgs n.101 Decreto attuativo del legislatore italiano che è volto ad armonizzare il Codice della Privacy alla normativa europea, che è diventata pienamente operativa a partire dal mese di maggio 2018.

 

Il Regolamento ha introdotto nuove regole organizzative e di sistema :

  • SISTEMA DI GESTIONE PRIVACY non sarà più un adempimento ma diventa un processo del professionista che inciderà sull’organizzazione dello studio
  • APPROCCIO BASATO SUL RISCHIO ponendo l’accento sulla responsabilizzazione dei titolari e responsabili e sulla necessità di fare un’analisi preventiva del rischi e un impegno applicativo specifico e dimostrabile.
  • Definisce SANZIONI molto pesanti

 

Nuovi principi cardine

  1. RESPONSABILIZZAZIONE
  • Richiede comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento
  • Viene affidato ai Titolare il compito di decidere autonomanente le modalità le garanzie e i limite del trattamento dei dati

 

  1. PROGETTAZIONE 

BY DESIGN E BY DEFALT

Il titolare mette in campo misure tecniche e organizzative adeguate per l’attuazione GDPR e delle garanzie indispensabili

Sia in fase di determinazione sia nel corso del trattamento

Configurando il trattamento prevedendo la soddisfazione dei requisiti tenendo conto dei costi, natura, ambito, contesto finalità dei trattamenti

 

  1. RENDICONTAZIONE 
  • Tracciabilità
  • Conservazione della documentazione dei trattamenti indicando informazioni atte a comprovare conformità
  • DPIA (valutazione d’impatto): una delle maggiori novità del GDPR, necessità di capacità di organizzazione e documentazione dei processi da attivare, valutazione del rischio per i diritti e libertà fondamentali degli interessati, rischi noti o evidenziabili e le misure di sicurezza adottabili
  • Tenuta registri ex art. 30 e data breach

 

COSA RIMANE DEL CODICE

  • La definizione di dato e di trattamento
  • I principi di liceità, trasparenza, correttezza, esattezza, necessità
  • Liceità: alla base del consenso, adempimento obblighi contrattuali, interessi vitali dell’interessato o di terzi, obblighi di legge, interesse pubblico o interesse legittimo del titolare o di terzi prevalente
  • I soggetti della normativa (si aggiunge la nuova figura DPO)
  • Obbligo informativa (concisa, trasparrente, facilmente accessibile, indicazione dei tempi di conservazione
  • Diritti dell’interessato (nuovi diritti all’oblio e alla portabilità)
  • Protezione delle sole persone fisiche.

 

L’INFORMATIVA – LE NOVITA’  

  • Contenuti già ampi ma forma concisa trasparente linguaggio semplice
  • Informativa stratificata con uso iconografia
  • Deve specificare i dati di contatto del DPO
  • Finalità nonché base giuridica del trattamento e l’interesse legittimo se costituisce la base giuridica del trattamento
  • Se si trasferiscono in paesi terzi i dati e con quali strumenti
  • Periodo di conservazione di dati e i criteri seguiti per stabilire tale periodo
  • Profilazione: La logica utilizzata processo decisionale automatizzato e le conseguenze per l’interessato
  • Diritti dell’interessato (portabilità dei dati, reclamo al Garante)

 

DIRITTI DELL’INTERESSATO

  • Accesso
  • Rettifica
  • Revoca consenso
  • Cancellazione (diritto all’oblio)
  • Limitazione del trattamento
  • Portabilità
  • Opposizione
  • Reclamo autorità di controllo

Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il consenso, INFORMATO, LIBERO, LIMITATO ED EPLICITO ad uno specifico trattamento non deve essere necessariamente documentato per iscritto.

Consenso acquisto prima del 25 maggio 2018 resta valido solo se ha le caratteristiche sopra descritte.

SOGGETTI – L’ORGANIGRAMMA

  • Titolare (contitolari) e titolare autonomo
  • Responsabili interni
  • Responsabili esterni
  • Incaricati del trattamento
  • (amministratore di sistema)
  • Interessati al trattamento

 

AZIONI DA METTERE IN CAMPO

  • Redigere organigramma privacy
  • Rivedere gli incarichi, in particolare quelli dei responsabili esterni
  • Formazione generale e degli incaricati
  • Esaminare e adeguare informative e consensi
  • Definire le procedure
  • Predisporre un piano di sicurezza anche al fine della comunicazione di data breach softawre sentinella

 

REGISTRI DEL TRATTAMENTO

  • Non sono adempimento formale ma parte integrante del sistema di corretta gestione privacy
  • Strumento fondamentale per avere un quadro aggiornato dei trattamenti in essere all’interno del soggetto pubblico e in caso di controlli
  • Indispensabile per ogni valutazione e analisi del rischio

 

DATA BREACH

VIOLAZIONE DI DATI PERSONALI

  • Rilevata dal titolare o dal responsabile che deve comunicarla senza indebito ritardo
  • Valutata autonomamente dal titolare come suscettibile di comportare rischi e in che intensità per i diritti e el libertà fondamentali
  • Notificazione al garante entro le 72 re
  • Informazione agli interessati senza ingiustificato ritardo
  • Documentazione completa delle violazioni anche se non notificate e non comunciate.

 

QUADRO SANZIONATORIO

Per il quadro sanzionatorio si rimanda al testo integrato del Regolamento.

 

Ultimo aggiornamento

3 Maggio 2021, 07:56

Skip to content