Nuovi obblighi sulla privacy
Ecco cosa prevede il nuovo Regolamento Europeo sulla protezione dei dati
Dal 25 maggio scorso è entrato in vigore il nuovo Regolamento europeo sulla protezione dei dati (UE 2016/679, noto anche come GDPR (General Data Protection Regulation). Avendo natura di regolamento, il nostro legislatore non ha dovuto approvare una normativa per recepirlo, poiché è stato direttamente applicabile e ha conseguentemente abrogato la precedente disciplina del Codice della Privacy (Dlgs 196/2003).
E’ un regolamento che ha valore in tutti gli Stati membri e consente un’armonizzazione della disciplina in tutta l’area UE. Non può essere modificato da leggi nazionali, ma soltanto eventualmente integrato con regole e norme che non siano comunque in contrasto con il regolamento stesso. Il nuovo regolamento sulla privacy, inoltre, deve essere rispettato anche dalle aziende ubicate al di fuori dell’area Ue, ma che intrattengono rapporti commerciali con società europee.
Ma cosa prevede il nuovo regolamento europeo?
Le misure previste dal regolamento hanno come obiettivo primario una maggiore protezione dei cittadini, i quali avranno maggiori strumenti per monitorare la diffusione e l’utilizzo dei propri dati personali. Un secondo obiettivo, non meno importante in un mondo globalizzato, è semplificare le relazioni tra aziende localizzate in Paesi differenti e finora soggetti a normative nazionali diverse in tema di privacy.
Ecco allora i punti principali che riguardano gli utenti:
Portabilità dei dati - è questo un diritto rivolto agli utenti che possono trasferire i propri dati personali da un titolare del trattamento ad un altro all’interno dell’area UE. Il trasferimento non è possibile, invece, nel caso il nuovo titolare sia extraeuropeo oppurenel caso di archivi di interesse pubblico, come ad esempio le anagrafi. Attraverso il passaggio, il nuovo titolare del trattamento gestirà i dati personali del nuovo utente, mentre quello di provenienza ha l’obbligo di rimuovere tutti i dati a trasferimento avvenuto.
Informativa e consenso - Il nuovo regolamento prevede un’informativa alla privacy più chiara e più facilmente comprensibile all’utente in modo da non generare dubbi. Ugualmente, sono state estese le informazioni da fornire, ovvero: i riferimenti della nuova figura del RPD - DPO (Responsabile della protezione dei dati - Data Protection Officer) che è stata introdotta con il regolamento; la durata della conservazione dei dati; le modalità di trasferimento dei dati nel caso di titolari di Paesi extra Ue; le modalità per poter presentare un reclamo all’autorità di controllo; i processi decisionali seguiti nel caso di trattamento dati tramite processi automatizzati. Sul fronte consenso, questo risulterà valido solamente se ottenuto in maniera inequivocabile, pur se attraverso una dichiarazione orale. Non sarà valido, al contrario, un consenso ottenuto in maniera tacita o indiretta. Infine, come avveniva pure in precedenza, il consenso può essere revocato dall’utente in qualunque momento.
Diritto all’oblio - è questo un punto che è stato molto discusso a ragione delle conseguenze sull’utente che, a distanza di diversi anni, vede contro la sua volontà ancora diffuse notizie su eventi passati che lo riguardano (il problema è principalmente sentito sui contenuti diffusi via web). Grazie al nuovo regolamento, l’utente può chiedere al titolare del trattamento la cancellazione dei propri dati personali o delle notizie che lo riguardano e quest’ultimo è obbligato a trasmettere la richiesta anche a tutti coloro che utilizzano i dati stessi. Vi sono delle limitazioni, però, nel caso in cui le notizie siano legate a un interesse pubblico generale o per finalità di ricerca o scientifiche.
Limitazione all’iscrizione sui social per i minorenni - i minorenni fino ai 16 anni potranno iscriversi ai social e i gestori potranno trattare i loro dati soltanto dopo aver ottenuto il consenso da parte dei genitori o di chi esercita la potestà genitoriale.
Da un punto di vista aziendale, ecco le novità:
Responsabile della protezione dei dati - Data Protection Officer - è la nuova figura introdotta dal GDPR che ha il compito di monitorare e vigilare i processi del trattamento dei dati da parte del gestore. Proprio per la natura del suo ruolo, è una figura indipendente dalla direzione aziendale che, a fronte di anomalie, deve intervenire al fine di rimuoverle.
Data breach - Le violazioni devono essere comunicate al Garante della privacy da parte del titolare del trattamento, pena le sanzioni che, in base al livello di gravità, prevedono il semplice richiamo fino a una multa che può ammontare finoal 4% del fatturato dell’azienda.
I nuovi obblighi dettati dal regolamento impongono un adeguamento rapido e immediato. Il nostro studio, tramite un proprio consulente dedicato, è in grado di fornire assistenza circa l’adeguamento alla nuova normativa. Siamo, quindi, a vostra disposizione per ulteriori informazioni al riguardo.
E’ un regolamento che ha valore in tutti gli Stati membri e consente un’armonizzazione della disciplina in tutta l’area UE. Non può essere modificato da leggi nazionali, ma soltanto eventualmente integrato con regole e norme che non siano comunque in contrasto con il regolamento stesso. Il nuovo regolamento sulla privacy, inoltre, deve essere rispettato anche dalle aziende ubicate al di fuori dell’area Ue, ma che intrattengono rapporti commerciali con società europee.
Ma cosa prevede il nuovo regolamento europeo?
Le misure previste dal regolamento hanno come obiettivo primario una maggiore protezione dei cittadini, i quali avranno maggiori strumenti per monitorare la diffusione e l’utilizzo dei propri dati personali. Un secondo obiettivo, non meno importante in un mondo globalizzato, è semplificare le relazioni tra aziende localizzate in Paesi differenti e finora soggetti a normative nazionali diverse in tema di privacy.
Ecco allora i punti principali che riguardano gli utenti:
Portabilità dei dati - è questo un diritto rivolto agli utenti che possono trasferire i propri dati personali da un titolare del trattamento ad un altro all’interno dell’area UE. Il trasferimento non è possibile, invece, nel caso il nuovo titolare sia extraeuropeo oppurenel caso di archivi di interesse pubblico, come ad esempio le anagrafi. Attraverso il passaggio, il nuovo titolare del trattamento gestirà i dati personali del nuovo utente, mentre quello di provenienza ha l’obbligo di rimuovere tutti i dati a trasferimento avvenuto.
Informativa e consenso - Il nuovo regolamento prevede un’informativa alla privacy più chiara e più facilmente comprensibile all’utente in modo da non generare dubbi. Ugualmente, sono state estese le informazioni da fornire, ovvero: i riferimenti della nuova figura del RPD - DPO (Responsabile della protezione dei dati - Data Protection Officer) che è stata introdotta con il regolamento; la durata della conservazione dei dati; le modalità di trasferimento dei dati nel caso di titolari di Paesi extra Ue; le modalità per poter presentare un reclamo all’autorità di controllo; i processi decisionali seguiti nel caso di trattamento dati tramite processi automatizzati. Sul fronte consenso, questo risulterà valido solamente se ottenuto in maniera inequivocabile, pur se attraverso una dichiarazione orale. Non sarà valido, al contrario, un consenso ottenuto in maniera tacita o indiretta. Infine, come avveniva pure in precedenza, il consenso può essere revocato dall’utente in qualunque momento.
Diritto all’oblio - è questo un punto che è stato molto discusso a ragione delle conseguenze sull’utente che, a distanza di diversi anni, vede contro la sua volontà ancora diffuse notizie su eventi passati che lo riguardano (il problema è principalmente sentito sui contenuti diffusi via web). Grazie al nuovo regolamento, l’utente può chiedere al titolare del trattamento la cancellazione dei propri dati personali o delle notizie che lo riguardano e quest’ultimo è obbligato a trasmettere la richiesta anche a tutti coloro che utilizzano i dati stessi. Vi sono delle limitazioni, però, nel caso in cui le notizie siano legate a un interesse pubblico generale o per finalità di ricerca o scientifiche.
Limitazione all’iscrizione sui social per i minorenni - i minorenni fino ai 16 anni potranno iscriversi ai social e i gestori potranno trattare i loro dati soltanto dopo aver ottenuto il consenso da parte dei genitori o di chi esercita la potestà genitoriale.
Da un punto di vista aziendale, ecco le novità:
Responsabile della protezione dei dati - Data Protection Officer - è la nuova figura introdotta dal GDPR che ha il compito di monitorare e vigilare i processi del trattamento dei dati da parte del gestore. Proprio per la natura del suo ruolo, è una figura indipendente dalla direzione aziendale che, a fronte di anomalie, deve intervenire al fine di rimuoverle.
Data breach - Le violazioni devono essere comunicate al Garante della privacy da parte del titolare del trattamento, pena le sanzioni che, in base al livello di gravità, prevedono il semplice richiamo fino a una multa che può ammontare finoal 4% del fatturato dell’azienda.
I nuovi obblighi dettati dal regolamento impongono un adeguamento rapido e immediato. Il nostro studio, tramite un proprio consulente dedicato, è in grado di fornire assistenza circa l’adeguamento alla nuova normativa. Siamo, quindi, a vostra disposizione per ulteriori informazioni al riguardo.
Articolo del: