Legal

Data privacy: multe fino a 20 milioni

Silvia StefanelliDopo il recentissimo accordo di collaborazione fra PKE e lo studio legale Stefanelli&Stefanelli di Bologna (leggi la news a riguardo), nato con lo scopo di affrontare insieme temi legati alla data privacy, l’avvocato Silvia Stefanelli, fondatore dello studio, ci parla di data privacy e data protection:

“Il recente Reg.Ue 679/2016 in materia di privacy e data protection troverà piena applicazione il prossimo 25 maggio 2018.

La disciplina introduce un nuovo modo di pensare e gestire il trattamento dei dati: non si tratta quindi di un mero aggiornamento della direttiva precedente, ma proprio di una diversa architettura giuridica del sistema che comporta un modo sostanzialmente nuovo di pensare e gestire il trattamento dei dati.
Da dove cominciare allora?

Abbiamo identificato 10 step che possono essere seguiti per l’implementazione; esaminiamo i primi 5:

  1.  conoscenza del nuovo Regolamento: Il Reg. 679/2016 sostituirà in toto la dir 95/46/CE: si tratta di un provvedimento più complesso rispetto alla Direttiva e che arriva (dopo oltre 20 anni) a regolare una realtà sostanzialmente diversa da quella del ’95 e sempre più digitale. Occorre capirne i punti cardine e la ratio di fondo, nonché verificare che chi opera all’interno della propria struttura abbia consapevolezza di tale evoluzione.
  2.     analisi dei dati trattati: Occorre mappare con esattezza quali dati si trattano, perché si trattano e come si trattano. Il Regolamento infatti richiede, in sostanza, di effettuare una analisi del rischio dei dati trattati, per  definire quali misure adottare al fine di tutelare i diritti degli interessanti, proteggendo i loro dati e gestendo i rischi ineliminabili.
  3.   revisione della Informativa: Il nuovo Regolamento si incardina su un principio (in parte) nuovo: l’interessato deve avere il controllo dei propri dati (considerando n. 6). Sotto questo profilo appare chiaro come l’informativa deve essere chiara, completa ed esaustiva: con la nuova disciplina potranno essere usate anche le icone. Da rivedere quindi le informative “copia-incolla”: la logica del sistema richiede che l’informativa sia lo strumento principe per permettere all’interessato di sapere e, quindi, di decidere se e come permettere il trattamento dei dati.      
  4.  verifica dell’impatto dei nuovo diritti del soggetto interessato: La nuova disciplina non solo ribadisce ed amplia la tutela dei diritti dell’interessato già esistenti, ma ne crea dei nuovi. Oltre infatti ai diritti conoscitivi dell’informativa ed accesso, sono disciplinati i c.d. diritti di controllo, quali la limitazione al trattamento, la revoca del consenso, il diritto all’oblio, ed altresì il diritto alla portabilità dei dati. E’ necessario quindi verificare le procedure interne atte a dare risposta ove l’interessato azioni i suoi diritti e, per quanto riguarda in particolare, il (nuovo) diritto diritto alla portabilità valutare una eventuale riorganizzazione interna, atta a consentire all’interessato di poter ricevere i propri dati in formato strutturato, di uso comune e leggibile.
  5.   l’acquisizione del consenso:  Il consenso non è più scritto o verbale, ma per tutti libero (non condizionato), specifico (uno per ogni finalità), inequivocabile (certo) ed espresso. Per chi tratta poi dati sensibili deve essere anche “esplicito”. Poiché, poi, è in capo al titolare la prova di aver acquisito correttamente il consenso, occorre verificare con precisione il rapporto tra chiarezza della informativa e modalità di acquisizione dei diversi consensi a seconda delle diverse finalità.

Ci sono 457 giorni per essere compliance al nuovo Regolamento; in carenza scatterà il rischio sanzioni che con la nuova disciplina potranno  arrivare fino a 20 milioni di euro e/o 4% del fatturato mondiale annuo dell’azienda (art. 83 co 4 e 5). Il tempo non è molto, mentre il rischio è molto alto: occorre partire.” continua...

Contattaci subito per iniziare

 
Autore:

Silvia Stefanelli

Silvia Stefanelli è avvocato cassazionista, fondatore e co-titolare dello Studio Legale Stefanelli&Stefanelli, specializzato in ambito di sanità ed appalti. Esperta di diritto sanitario, con particolare competenza in materia di organizzazione di servizi sanitari in ambito pubblico e privato, dispositivi medici, data protection e responsabilità medica. Si occupa ampiamente di sanità digitale.

Segui Silvia Stefanelli: