Tabella di confronto tra Codice della Privacy (D.lgs. 196/2003) e Regolamento Europeo della Privacy (GDPR 2016/679).
Rinviando al precedente documento sulle novità del nuovo regolamento, in questa sede, al fine di comprendere meglio la portata delle attività di adeguamento che si renderanno necessarie, si effettua un confronto tra le disposizioni stabilite dalla normativa attuale ancora in corso con quelle di nuova introduzione.
Codice della Privacy
Normative frammentate, non uniformi fra i vari paesi membri dell’Unione Europea.
La privacy era intesa come elemento finale delle attività di trattamento, in quanto gli eventuali vizi nella raccolta dei dati potevano essere “sanati” anche dopo che i trattamenti erano già stati effettuati.
Per definire la legge applicabile si considerava la sede del Titolare del trattamento.
Non vi erano particolari requisiti per l’informativa, che pertanto era spesso lunga, incomprensibile e con richiami normativi complessi.
Il consenso doveva essere libero, specifico e informato, reso mediante un atto formale per l’accettazione del trattamento dei dati.
Non vi sono particolari obblighi di tenuta della documentazione comprovante il regolare espletamento dei trattamenti dati.
Le figure implicate nel trattamento dei dati erano il Titolare del Trattamento, il Responsabile e l’Incaricato del trattamento
Inizialmente era stato previsto che il solo Titolare del trattamento si dotasse del DPS (Documento Programmatico sulla Sicurezza), relativo al controllo del trattamento dei dati e la loro sicurezza, prevenendo ogni possibile sanzione da parte dell’Autorità Garante. Poi abrogato in un’ottica di un alleggerimento normativo e documentale.
E' previsto che prima dell’inizio di talune attività di trattamento sia necessario effettuare la notificazione all'Autorità Garante della Privacy.
Non era stabilito alcun obbligo di notifica delle eventuali violazioni dei dati personali
Non era prevista alcuna figura di raccordo tra i soggetti del trattamento e l’Autorità Garante.
|
Regolamento UE 2016/679.
Regole comuni per tutti i paesi così da eliminare disparità di trattamento per i soggetti interessati del trattamento.
Introdotti i principi di “Privacy by Design” e “Privacy by Default”, i quali implicano che i trattamenti debbano essere concepiti sin dal momento della loro ideazione nel rispetto delle regole fissate dal legislatore.
La legge applicabile è quella del soggetto interessato del trattamento. I Titolari (tra i quali anche social network, piattaforme web e motori di ricerca) saranno quindi soggetti alla normativa europea anche se aventi sede al di fuori dell’UE. Pertanto è prevista l’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, purché relativi a beni e servizi offerti ai cittadini UE.
L’informativa deve essere accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi.
Il consenso oltre che libero, specifico e informato, deve essere inequivocabile. E’ valido solo se la volontà è espressa in modo NON equivoco
Introdotto il principio di “Accountability”, ovvero della responsabilità “verificabile”. E’ necessario documentare tutti i trattamenti effettuati, poiché senza evidenze si è passibili di sanzioni.
Introduzione della Contitolarità nel trattamento dei dati. Eliminata a livello terminologico la figura dell’Incaricato, però mantenuta a livello formale in quanto sia il Titolare che il Responsabile del trattamento possono incaricare dei soggetti per lo svolgimento di determinati compiti.
Istituito il l Registro delle Attività di Trattamento, un documento ove non solo il Titolare ma anche il Responsabile del trattamento possano rendicontare tutte le attività in materia di protezione e circolazione dei dati personali che li riguardano. La ratio è quella di dimostrare la conformità del del trattamento alle disposizioni del Regolamento.
Con il nuovo Regolamento non si dovrà più effettuare la notificazione all'Autorità Garante, si potrà facoltativamente richiedere un parere per trattamenti dubbi. Rimane quanto detto per l'accountability
E’ stato sancito l’obbligo, per il Titolare, di comunicare le violazioni (data breach) all'Autorità Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, nonché al soggetto interessato, qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà.
Introduzione della figura del Data Protection Officer (DPO), figura professionale obbligatoria per alcune categorie di soggetti Titolari del trattamento, che dovrà fungere da referente con il Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.
|