Misure di sicurezza
Nel Regolamento europeo non è presente un elenco di misure di sicurezza, come nel Codice Privacy italiano, ma viene fatto riferimento a misure adeguate in funzione del rischio associato alle operazioni di trattamento dei dati, in termini di stato dell’arte, di costi di attuazione e della natura e finalità del trattamento.
Introduzione dei principi di “Privacy by design” e “Privacy by default” (art. 25)
il principio di Privacy by design presuppone che già nella fase progettuale di un sistema di gestione dell’informazione, devono prevedersi soluzioni in grado di ridurre al minimo l’utilizzo dei dati e di attuare in modo efficace misure tecniche di protezione dei dati.
il principio Privacy by default è un principio complementare al principio di privacy by design, poiché presuppone che la garanzia di utilizzo dei soli dati personali necessari alla finalità di trattamento avvenga per impostazione predefinita delle misure e tecniche. In proposito può essere utilizzato un meccanismo di certificazione.
Valutazione di impatto (Privacy Impact Assessment) (artt: 35-36): presuppone che in caso di utilizzo di tecnologie a rischio per i diritti della persona, compresa la “profilazione”, è necessario effettuare valutazioni preliminari sulle procedure aziendali utilizzate per il trattamento ed eventualmente consultare preventivamente l’Autorità Garante. Per contro non è previsto l’obbligo di Notificazione all’Autorità Garante come disposto nel Codice Privacy.
Tra le misure sono comprese:
la “pseudonimizzazione” , che consiste nell’applicazione di misure tecniche in grado di rendere complessa la riferibilità del dato alla persona senza tuttavia romperne il legame, come invece avviene per le tecniche di anonimizzazione. Il principale strumento di allontanamento del dato alla persona è la criptografia o cifratura dei dati”.
la capacità di ripristino, la capacità di assicurare l’integrità dei dati e la riservatezza nonché le procedure di verifica per testare, verificare e valutare l’efficacia delle misure adottate.
Tutto ciò al fine di garantire un livello adeguato di sicurezza contro la perdita, la distruzione e l’accesso non autorizzato dei dati.
Tutela
Reclamo
L’interessato ha diritto di proporre reclamo, in caso di violazioni, all”Autorità Garante dello stato in cui risiede abitulmente, lavora, oppure del luogo dove si è verificata la presunta violazione (art.77).
Le associazioni possono ricorrere all’Autorità Garante competente per conto dei cittadini (art. 80): i cittadini possono dare mandato a un organismo, un’organizzazione, un’associazione senza scopo di lucro che tuteli i diritti e gli interessi degli interessati in relazione alla protezione dei loro dati personali e che sia debitamente costituito o costituita secondo la legislazione di uno Stato membro, di proporre reclamo per loro conto e di esercitare per loro conto i diritti sui propri dati (v. artt. 77, 78 e 79) nonché, il diritto di ottenere il risarcimento dei danni causato dalla violazione del regolamento.
Ogni organismo, organizzazione o associazione che ritenga che sussista violazione dei dati personali ha il diritto di proporre reclamo all’autorità di controllo di qualunque Stato membro, indipendentemente dall’eventuale reclamo dell’interessato (art.80 c.2).
Ricorso
Le azioni contro il titolare e il responsabile possono essere promosse dinnanzi alle autorità giurisdizionali dello Stato membro in cui il responsabile o il titolare del trattamento ha uno stabilimento, oppure dinnanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il responsabile del trattamento sia un’autorità pubblica nell’esercizio dei pubblici poteri (art.79 c.2).
Sanzioni
Inasprimento delle sanzioni amministrative (dal 2% al 4% sul fatturato globale annuo); spetta all’Autorità di controllo di ciascuno stato membro stabilire l’entità della sanzione in relazione alla gravità della violazione.
Per quanto riguarda le sanzioni penali spetta agli Stati Membri UE stabilire quali dovranno essere le misure da applicare in modo tale che le sanzioni siano effettivamente applicate, efficaci, proporzionate e dissuasive.