Page 5 - Protezione dati personali e videosorveglianza
P. 5

Presentazione


                  L’unifi cazione sostanziale del quadro normativo dell’Unione europea, in materia di protezione e
               circolazione dei dati personali, avviata il 25 maggio 2018, con l’applicazione del Regolamento (UE)
               n. 2016/679, del Parlamento e del Consiglio, del 27 aprile 2016 (cd. GDPR), nei primi tre anni di
               applicazione, ha dimostrato di rispondere in maniera adeguata allo sviluppo delle tecnologie e all’e-
               voluzione delle esigenze economiche e sociali.
                  Il presente lavoro aff ronta i principi che hanno ispirato la disciplina europea e le novità riguardanti
               argomenti di carattere generale e approfondimenti per alcuni specifi ci settori quali in particolari:
               •  le autorizzazione rilasciate dal Garante prima del 25 maggio 2018;
               •  i procedimenti sanzionatori non defi niti entro la data del 25 maggio 2018;
               •  il principio di “responsabilizzazione” (cd. Accountability, art. 5, GDPR) che attribuisce diretta-
                 mente ai titolari e ai responsabili del trattamento il compito di garantire e dimostrare il rispetto
                 dei principi del regolamento UE sul corretto trattamento dei dati personali;
               • l’introduzione della fi gura di Responsabile della protezione dei dati - Data Protection Offi  cer
                 (RPD-DPO), la cui designazione è obbligatoria per i soggetti pubblici e per le imprese la cui
                 attività principale consista nel trattamento di dati richiedenti il monitoraggio non occasionale su
                 larga scala degli interessati o di dati sensibili (categorie particolari, art. 9 reg.) o di dati relativi a
                 condanne penali e a reati (art. 10 reg.);
               •  l’istituzione del Registro delle attività di trattamento da tenere in forma cartacea o in formato
                 elettronico per la registrazione di tutte le attività dei trattamenti (art. 30 e considerando 171 del
                 reg.). Istituzione di cui sono esentate le imprese e le organizzazioni con meno di 250 dipen-
                 denti, salvo che eff ettuino trattamenti che possano presentare rischi per i diritti e le libertà degli
                 interessati, o trattamenti non occasionali di categorie particolari di dati (art. 9, par. 1) o di dati
                 relativi a condanne penali e a reati (art. 10);
               • la semplifi cazione delle registrazioni dei trattamenti per le piccole e medie imprese (che ope-
                 rano nel settore delle tecnologie e dell’informatica, cd. PMI) esentate dalla registrazione delle
                 attività di trattamento occasionale di dati, salvo i casi in cui il trattamento possa comportare
                 rischi per i diritti e le libertà degli interessati;
               •  l’obbligo di notifi ca delle violazioni dei dati personali (cd. data breach), previsto per i soli casi in
                 cui appaia probabile che dalla violazione derivino rischi per i diritti e le libertà degli interessati
                 (considerando 85), posto a carico dei titolari del trattamento e dei fornitori di servizi di comuni-
                 cazione elettronica accessibili al pubblico. Detti soggetti sono tenuti a notifi care all’Autorità di
                 controllo le violazioni dei dati personali di cui siano venuti a conoscenza, “senza ingiustifi cato
                 ritardo” e comunque entro il termine di 72 ore (art. 33 e 34 reg.);
               •  la portabilità dei dati che riconosce agli interessati il diritto di trasmettere i propri dati personali
                 da un titolare del trattamento a un altro “senza impedimenti”, facilitandogli, in tal modo, la cir-
                 colazione, la copia o il trasferimento dei “propri” dati personali da un ambiente informatico ad
                 un altro, nonché il loro riutilizzo per scopi o servizi diversi (ad esempio per cambiare gestore
                 telefonico o altro fornitore di servizi);
               • il nuovo obbligo per i titolari del trattamento di informare gli interessati dell’esistenza del diritto alla
                 portabilità dei propri dati personali attraverso un’informativa redatta “...in forma concisa, traspa-
                 rente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”. Va comunque
                 ricordato che la portabilità dei dati personali è subordinata a specifi che condizioni:
                 -  deve riguardare dati personali trattati con strumenti automatizzati (sono esclusi quindi gli
                    archivi cartacei) per i quali sia stato prestato il consenso preventivo dell’interessato salvo
                    che si tratti di dati necessari per l’esecuzione di un contratto di cui l’interessato sia parte
                    contraente;
                 -  deve trattarsi di dati personali dell’interessato e dallo stesso forniti, fatta eccezione per i dati
                    di soggetti terzi che siano collegati o nel contesto dei dati dell’interessato (come ad esempio i


                                                                                       5
   1   2   3   4   5   6   7   8   9   10