30/05/2018 SPECIALE REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI/QUARTA PARTE
Il Registro del trattamento, le informative e i diritti degli interessati: sono alcuni dei temi approfonditi nella quarta parte dello speciale, realizzato dalla società di brokeraggio Golinucci , sul Regolamento europeo Gdpr, e le novità per gli intermediari assicurativi: la prima è visibile a questo link, www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-dati, la seconda a www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-datiseconda-parte, la terza a www.iotiassicuro.it/redazionali/speciale-regolamento-europeo-sulla-protezione-dei-datiterza-parte
Registro del trattamento (articolo 30). Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
1) il nome e i dati di contatto del titolare del trattamento;
2) le finalità del trattamento;
3) una descrizione delle categorie di soggetti interessati;
4) le categorie di destinatari a cui i dati personali sono stati, o saranno comunicati;
5) i trasferimenti di dati personali verso un paese terzo
6) i termini ultimi previsti per la cancellazione delle diverse categorie di dati (data retention);
7) una descrizione generale delle misure di sicurezza tecniche e organizzative.
E’ obbligatorio per:
1) tutte le imprese e organizzazioni con più di 250 dipendenti;
2) se il trattamento presenta un rischio per i diritti e le libertà dell’interessato;
3) il trattamento include categorie particolari di dati.
E’ consigliato in ogni caso dal Regolamento:
1) per poter avere la tracciabilità dei dati trattati, delle misure di sicurezze e dei data flow;
2) per facilitare l’analisi dei rischi dell’azienda
Informative e nuovi diritti degli interessati. Le informative dovranno essere sempre più complete, per permettere all’interessato di essere a conoscenza delle modalità di trattamento e di averne il controllo attraverso i propri diritti, che dovranno essere ben riportati.
Le informazioni sono fornite dal Titolare del trattamento per iscritto o con altri mezzi come quelli elettronici (il Garante sottolinea che è preferibile l’informativa in formato digitale). Le informative dovranno essere fornite all’interessato in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro e dovranno sostituire quelle in essere. Dovranno indicare:
1) i dati di contato del titolare e del Dpo (Data protection officer);
2) le finalità del trattamento;
3) le basi giuridiche del trattamento;
4) i destinatari con cui saranno condivisi i dati;
5) eventuali trasferimenti a un paese terzo;
6) il periodo di conservazione dei dati;
7) i diritti degli interessati.
Basi giuridiche. Le basi giuridiche di un trattamento sono:
1) due obblighi, legale o contrattuale;
2) tre interessi: Interesse pubblico, interesse vitale dell’interessato o di un terzo, interesse legittimo del titolare del trattamento;
3) consenso dell’interessato.
Il Regolamento impone requisiti più severi per ottenere il consenso valido delle persone per giustificare il trattamento dei loro dati personali. Il consenso dev’essere un'indicazione “liberamente data, specifica, informata e inequivocabile dei desideri dell'individuo”, in particolar modo per i dati sensibili o quelli soggetti al trasferimento al di fuori dell’Unione europea. Silenzio, caselle pre-spuntate o inattività non sono accettate come consenso.
I diritti degli interessati. I diritti degli interessati sono otto:
1) a essere informati;
2) di accesso;
3) di rettifica;
4) di limitazione al trattamento;
5) di opposizione;
6) di cancellazione (“diritto all’oblio”);
7) di portabilità dei dati;
8) diritto a un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.
Tra questi, il diritto alla portabilità e il diritto all’oblio sono la novità del Gdpr. Cosa cambia?
Il diritto all'oblio si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Prevede l'obbligo per i titolari (se hanno "reso pubblici" i dati personali dell'interessato) di informare della richiesta di cancellazione altri titolari che trattano i dati personali.
Il diritto alla portabilità dei dati prevede che il titolare trasferisca direttamente i dati portabili a un altro titolare indicato dall'interessato, se tecnicamente possibile. Si applica ai trattamenti automatizzati (quindi non agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell'interessato e solo quelli che siano stati "forniti" dall'interessato al titolare.
Le sanzioni amministrative pecuniarie sono inflitte, in funzione di ogni singolo caso, fino a venti milioni di euro, o fino al 4% del fatturato per le imprese.
Risarcimento danni (Articolo 82 e Considerando 146 Gdpr). Il principio del risarcimento danni stabilisce che chiunque subisca un danno cagionato da un trattamento illecito o da altro atto incompatibile con il Regolamento pivacy abbia il diritto di chiedere il risarcimento del danno al Titolare o al Responsabile del trattamento.
Copertura dai danni on una polizza di protezione dei dati. Le compagnie specializzate in queste polizze garantiscono:
1) responsabilità civile dell’assicurato (Violazione Privacy…)
- danni propri (Perdita di affari, danni al sistema informatico…)
- generale danni materiali – Rcot;
- danni immateriali - rc professionale;
- di malagestio - rc amministratori;
- del titolare del trattamento cyber;
- responsabilità professionale del Dpo (Data protection officer):
- responsabilità per mancata tutela dei dati personali;
- perdita di profitto;
- perdita e ripristino di dati;
10) spese per Incident Response e costi investigativi;
11) costi derivanti da ritardo o interruzione;
12) spese legali;
13) spese sostenute per la comunicazione;
14) estorsione/riscatto/Cyber Crime;
15) Responsabilità per gestione di media online