Le differenze tra il Codice della Privacy (D.lgs. 196/2003) e Regolamento Europeo della Privacy (GDPR 2016/679)
GDPR
[su_table responsive=”yes” fixed=”yes”]
| Codice della Privacy | Regolamento UE 2016/679 |
| Normative frammentate, non uniformi fra i vari paesi membri dell’Unione Europea. | Regole comuni per tutti i paesi così da eliminare disparità di trattamento per i soggetti interessati del trattamento. |
| La privacy era intesa come elemento finale delle attività di trattamento, in quanto gli eventuali vizi nella raccolta dei dati potevano essere “sanati” anche dopo che i trattamenti erano già stati effettuati. | Introdotti i principi di “Privacy by Design” e “Privacy by Default”, i quali implicano che i trattamenti debbano essere concepiti sin dal momento della loro ideazione nel rispetto delle regole fissate dal legislatore. |
| Per definire la legge applicabile si considerava la sede del Titolare del trattamento. | La legge applicabile è quella del soggetto interessato del trattamento. I Titolari (tra i quali anche social network, piattaforme web e motori di ricerca) saranno quindi soggetti alla normativa europea anche se aventi sede al di fuori dell’UE. Pertanto è prevista l’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, purché relativi a beni e servizi offerti ai cittadini UE o tali da permetterne il monitoraggio dei comportamenti. |
| Non vi erano particolari requisiti per l’informativa, che pertanto era spesso lunga, incomprensibile e con richiami normativi complessi. | L’informativa deve essere accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto. |
| Il consenso doveva essere libero, specifico e informato, reso mediante un atto formale per l’accettazione del trattamento dei dati. | Il consenso oltre che libero, specifico e informato, deve essere inequivocabile. E’ valido solo se la volontà è espressa in modo NON equivoco per ogni singolo trattamento. |
| Non vi erano particolari obblighi di tenuta della documentazione comprovante il regolare espletamento dei trattamenti dati. | Introdotto il principio di “Accountability”, ovvero della responsabilità “verificabile”. E’ obbligatorio documentare tutti i trattamenti effettuati, poiché è sufficiente non avere i documenti per essere passibili delle sanzioni stabilite dal Regolamento. |
| Le figure implicate nel trattamento dei dati erano il Titolare del Trattamento, il Responsabile e l’Incaricato del trattamento. | Introduzione della Contitolarità nel trattamento dei dati. Eliminata a livello terminologico la figura dell’Incaricato, però mantenuta a livello formale in quanto sia il Titolare che il Responsabile del trattamento possono incaricare dei soggetti per lo svolgimento di determinati compiti. |
| Inizialmente era stato previsto che il solo Titolare del trattamento si dotasse del DPS (Documento Programmatico sulla Sicurezza), relativo al controllo del trattamento dei dati e la loro sicurezza, prevenendo ogni possibile sanzione da parte dell’Autorità Garante. Poi abrogato in un’ottica di un alleggerimento normativo e documentale. | Istituito il l Registro delle Attività di Trattamento, un documento ove non solo il Titolare ma anche il Responsabile del trattamento possaIno rendicontare tutte le attività in materia di protezione e circolazione dei dati personali che li riguardano. La ratio è quella di dimostrare la conformità del del trattamento alle disposizioni del Regolamento |
| Era previsto che prima dell’inizio di talune attività di trattamento fosse necessario effettuare la notificazione all’Autorità Garante della Privacy. | Con il nuovo Regolamento non si dovrà più effettuare la notificazione all’Autorità Garante, ma per il Titolare (e i suoi rappresentanti) sarà necessario tenere i registri delle attività di trattamento, che ricalcano il vecchio DPS, poiché ove possibile bisognerà fornire la descrizione delle misure di sicurezza adottate. |
| Non era stabilito alcun obbligo di notifica delle eventuali violazioni dei dati personali. | E’ stato sancito l’obbligo, per il Titolare, di comunicare le violazioni (data breach) all’Autorità Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, nonché al soggetto interessato, qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà. |
| La vecchia normativa riconosceva al soggetto interessato diversi diritti, sebbene molti fossero di origine giurisprudenziale. | Codificati i diritti di elaborazione giurisprudenziale, affiancati dall’introduzione di nuovi diritti quali: diritto alla portabilità dei dati, diritto all’oblio. |
| Non era prevista alcuna figura di raccordo tra i soggetti del trattamento e l’Autorità Garante. | Introduzione della figura del Data Protection Officer (DPO), figura professionale obbligatoria per alcune categorie di soggetti Titolari del trattamento, che dovrà fungere da referente con il Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto. |
[/su_table]