Privacy, nuove regole in arrivo: cosa cambia

GDPR – General data protection regulation – è il nuovo regolamento europeo sulla privacy (Ue 2016/679 – entrato in vigore il 24 maggio 2016). Questa novità riguarda tutti coloro che hanno un’attività e utilizzano internet per fare marketing. Chiunque maneggi dati personali altrui, infatti, dovrà adeguarsi per continuare a farlo.

L’obiettivo del regolamento è che la relazione tra chi raccoglie i dati personali e chi li concede sia chiara, intenzionale, esplicita e volontaria. Alla base del GDPR la vera grande novità è il principio di responsabilità da parte del titolare del trattamento dei dati.

Nel dettaglio, le novità che vengono introdotte con il GDPR sono:

Consenso

Con la nuova normativa le aziende dovranno chiedere il consenso non solo all’uso dei dati, ma dovranno specificare anche l’utilizzo che ne faranno, in dettaglio. Ogni tipo di “attività di trattamento” implicherà un consenso specifico da firmare. Nessuna accettazione tacita, nessuna casella già spuntata. Il consenso dell’interessato al trattamento dei dati personali dovrà essere libero, specifico, informato e inequivocabile.

Il consenso al trattamento dei dati sensibili dovrà essere esplicito. L’informativa dovrà essere chiara e comprensibile.

Il consenso espresso prima del 25 maggio 2018 rimane valido se ha le caratteristiche sopra indicate. In caso contrario, è necessario raccoglierlo di nuovo.

Scadenza dei dati

Una novità è il principio di “retentio”. I dati forniti alle imprese non sono di loro proprietà per sempre. In ogni informativa sulla privacy verrà specificato il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo.

Responsabile della protezione dei dati (RPD)

Una grande novità è rappresentata dall’introduzione della figura del Responsabile del trattamento dei dati, che ha il compito di:

  1. Informare e fornire consulenza al titolare del trattamento o al responsabile
  2. Sorvegliare l’osservanza del Regolamento
  3. Fornire un parere sulla valutazione di impatto sulla protezione dei dati
  4. Essere il punto di contatto per l’autorità di controllo.

Il RPD deve agire in modo indipendente, quindi non deve ricoprire una carica aziendale in conflitto d’interessi con quella di RPD.

Diritto d’accesso ai dati

L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali (art. 15). In caso di richiesta di accesso, e se c’è un trattamento di dati personali relativi alla persona che ha fatto richiesta di accesso, il titolare del trattamento deve fornire all’interessato una copia dei dati personali oggetto di trattamento che lo riguardano, a titolo gratuito, in via elettronica, al più tardi entro un mese.

Data breach – violazioni

Viene introdotto il diritto degli interessati di venire a conoscenza delle violazioni dei propri dati personali (data breach).

I dati possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. In questi casi, il Titolare dovrà comunicare all’Autorità Nazionale tale violazione. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

La comunicazione non è richiesta se:

  • il titolare ha messo in atto la cifratura dei dati, che ne rende impossibile la decodifica;
  • il titolare ha adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • la comunicazione agli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato). E’ richiesta, in questo caso, una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile .

Applicazione territoriale del GDPR

Il regolamento si applica ai soggetti stabiliti sul territorio comunitario, sia che trattino i dati all’interno del territorio comunitario sia che lo facciano fuori dal territorio comunitario.

Il regolamento è esteso anche ai soggetti stabiliti al di fuori del territorio comunitario quando il trattamento riguarda l’offerta di beni e servizi per soggetti residenti nell’UE o il monitoraggio del comportamento dei cittadini dell’UE.

Il Regolamento Europeo non si esaurisce qui, ma ha molti altri aspetti impattanti sull’attività dei soggetti che trattano dati personali. È quindi di fondamentale importanza adeguarsi alle novità, facendosi guidare da un team di esperti per evitare di incorrere in errori e sanzioni.

div#stuning-header .dfd-stuning-header-bg-container {background-image: url(https://theoriginalconsulting.com/wp-content/uploads/2018/05/banner-gdpr-background.jpg);background-size: cover;background-position: center bottom;background-attachment: initial;background-repeat: no-repeat;}#stuning-header div.page-title-inner {min-height: 650px;}
Translate »