Il dato diventa un bene che va tutelato a sé, e il titolare diventa il solo responsabile dei trattamenti e deve dimostrare di aver valutato i rischi connessi al trattamento dei dati e di aver adottato tutte le misure idonee a garantire la tutela del dato: tenendo conto degli strumenti tecnologici a disposizione del titolare, dei costi di attuazione e dei rischi, il titolare dovrà mettere in atto misure tecniche e organizzative adeguate a garantire la protezione dei dati (trattare solo i dati necessari alle proprie finalità

e limitarne l’accesso alle sole persone che ne fanno uso per la propria attività all’interno dell’organizzazione).

Per dimostrare la conformità del trattamento il titolare deve adottare la Privacy by default, cioè un sistema di corretta organizzazione, documentazione e tracciabilità durante il trattamento dei dati (processi gestionali e policy interne, il registro dei trattamenti o l’adesione a codici di condotta o meccanismi di certificazione), e la Privacy by design, cioè l’uso di sistemi informatici con il quale vengano trattati dati personali che dev’essere progettato e realizzato in modo tale da garantire la tutela del dato stesso.

Ai cittadini europei sarà garantito un diritto di accesso più facile ai propri dati personali e potranno ottenerne copia (in un formato elettronico e strutturato, di uso comune, sul cui formato è lasciato al Titolare il compito di valutare quale sia il più adeguato) per trasferire gli stessi dati da un ambiente informatico ad un altro (ad esempio da un social network ad un altro). I dati personali in questione non sono solo quelli relativi a nome ed indirizzo, ma possono essere, ad esempio, la libreria online o la playing list ascoltata in streaming. Si fa riferimento anche ai dato raccolti prima dell’entrata in vigore del Regolamento.

Il diritto è esercitabile quando i dati sono stati ottenuti dal Titolare attraverso sistemi automatizzati, attraverso il consenso o per l’esecuzione di un contratto.

Il Titolare non è tenuto a verificare la conformità al Regolamento del soggetto a cui trasmette i dati, ma deve imporre contrattualmente al responsabile a cui trasferisce i dati di poter adempiere alle richieste di portabilità dell’interessato.

Ai cittadini europei sarà garantito un diritto di accesso più facile ai propri dati personali e potranno ottenerne copia (in un formato elettronico e strutturato, di uso comune, sul cui formato è lasciato al Titolare il compito di valutare quale sia il più adeguato) per trasferire gli stessi dati da un ambiente informatico ad un altro (ad esempio da un social network ad un altro). I dati personali in questione non sono solo quelli relativi a nome ed indirizzo, ma possono essere, ad esempio, la libreria online o la playing list ascoltata in streaming. Si fa riferimento anche ai dato raccolti prima dell’entrata in vigore del Regolamento.

Il diritto è esercitabile quando i dati sono stati ottenuti dal Titolare attraverso sistemi automatizzati, attraverso il consenso o per l’esecuzione di un contratto.

Il Titolare non è tenuto a verificare la conformità al Regolamento del soggetto a cui trasmette i dati, ma deve imporre contrattualmente al responsabile a cui trasferisce i dati di poter adempiere alle richieste di portabilità dell’interessato.

Prima di procedere al trattamento, il titolare deve svolgere un’analisi dei rischi generati in concreto dal trattamento dei dati, soprattutto se il trattamento prevede l’uso di nuove tecnologie (privacy by design)
Questa analisi deve:
• Considerare l’intero ciclo di vita dei dati, dalla raccolta alla cancellazione
• Descrivere in dettaglio tutte le operazioni di trattamento
• Descrivere le misure previste per affrontare i rischi connessi al trattamento
• Indicare le garanzie e le misure di sicurezza adottate per ridurre il rischio
• Essere formalizzata in un documento

Il Regolamento prevede che i Titolari ed i Responsabili tengano un registro delle attività di trattamento. Sebbene rappresenti un obbligo solo per alcune tipologie di imprese o organizzazioni (quelle con oltre 250 dipendenti, quelle con meno di 250 dipendenti che trattino in modo non occasionale dati particolari, giudiziari ecc.), l’Autorità Garante ne consiglia la tenuta per tenere costantemente monitorati i flussi e quindi i rischi.
La novità è rappresentata dalla necessità di indicare – ove possibile – il termine ultimo per la cancellazione delle diverse categorie di dati, ovvero di indicare i criteri per individuare il predetto termine.
Nel caso di associazioni con più sedi sul territorio italiano, se esiste una “capogruppo” che impartisce linee guida alle altre sedi, il registro potrà essere tenuto solo dalla capogruppo e sarà sufficiente la nomina di un solo DPO; la capogruppo dovrà però impartire regole chiare e omogenee a tutte le sedi, e dovrà verificare con cadenza regolare (1 o 2 volte all’anno) che le regole siano scrupolosamente rispettate.

Il Data Breach è ogni violazione di sicurezza che accidentalmente o in modo illecito comporta la distruzione, la perdita, la modifica o la divulgazione e accesso non autorizzati ai dati personali trattati.
Entro 72 ore dalla scoperta il Titolare deve informare l’Autorità indicando le circostanze relative alla violazione, le sue conseguenze e i provvedimenti adottati per porvi rimedio
Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento deve comunicare la violazione all’interessato senza ingiustificato ritardo

E’ obbligatoria solo in alcuni casi:
• Se il titolare è un soggetto pubblico
• Se l’attività principale del Titolare consiste in trattamenti che, per loro natura, ambito di applicazione o finalità comportano il monitoraggio regolare e sistematico degli interessati “su larga scala”,
• Se l’attività principale del Titolare consiste in trattamenti regolari e sistematici di dati particolari o giudiziari
La nomina del DPO non dipende dal numero di soci, ma dalla tipologia di trattamento effettuata e dal rischio cui si espongono i dati.
Deve essere un soggetto esterno all’azienda, deve avere requisiti di professionalità e di esperienza commisurati alla sensibilità, complessità e quantità di dati trattati e deve godere di indipendenza ed autonomia di spesa.
HA COMPITI SPECIFICI:
• Informare e fornire consulenza al Titolare del trattamento nonché ai dipendenti che eseguono il trattamento
• Predisporre relazioni periodiche per il management
• Sorvegliare l’osservanza del Regolamento e di tutte le altre disposizioni anche nazionali in materia di protezione dei dati
• Vigilare che il Titolare ed il Responsabile conferiscano nomine a soggetti adeguati
• Verificare l’adozione di policy adeguate
• Sensibilizzare e formare il personale che partecipa ai trattamenti e alle attività di controllo
• Assistere il Titolare nello svolgimento della valutazione di impatto
• Predisporre e mantenere aggiornato il registro dei trattamenti
• Cooperare con l’Autorità di controllo
Per questo l’organizzazione dovrà mettere a disposizione del DPO un budget specifico.

Mentre rimangono invariate le sanzioni penali, le sanzioni pecuniarie amministrative subiranno un deciso incremento.
Tenendo conto delle esigenze delle micro, piccole e medie imprese e organizzazioni, le sanzioni amministrative devono essere effettive, proporzionate e dissuasive, e sono suddivise in due scaglioni:
• Fino a 10 milioni di euro (o, per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore)
• Fino a 20 milioni (o, per le imprese fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore)
Nell’applicazione delle sanzioni le Autorità Garanti dovranno valutare il tipo e durata della violazione, le misure di sicurezza adottate dal titolare, la natura doloso o colposa della condotta.

L’Autorizzazione generale n. 3/2016 consentiva fino ad oggi il trattamento dei dati sensibili alle associazioni, fondazioni, comitati e altri organismi di tipo associativo, che possono trattare i dati sensibili senza richiedere uno specifico consenso per perseguire gli scopi determinati dalla legge, dall’atto costitutivo o dallo statuto (in particolare scopi culturali, religiosi, politici, sindacali, sportivi o agonistici non professionisti e di istruzione, di formazione, di ricerca scientifica, patrocinio, tutela dell’ambiente, salvaguardia dei diritti civili, nonché assistenza sociale o socio sanitaria o beneficienza).
Dal 24 maggio 2018 l’Autorizzazione generale n. 3 / 2016 è diventata inefficace ed è necessario attendere che il Comitato indichi i trattamenti che si ritiene improbabile possano presentare un rischio elevato. Da tale data le organizzazioni non profit si sono adeguate al regolamento europeo. In sintesi, tutti i soggetti pubblici e privati che trattano dati di cittadini europei sono soggetti al regolamento, quindi anche tutte le associazioni indistintamente.