Il nuovo regolamento UE sulla privacy
In vigore dal prossimo 25 maggio, introduce novità. Ecco i punti fondamentali
Mancano ancora pochi giorni al 25 maggio 2018, data in cui sarà operativo e applicabile in tutti gli Stati Membri il nuovo regolamento UE 2016/679 sulla privacy, conosciuto come GDPR (General Data Protection Regulation). Ricordo che, essendo un regolamento, è direttamente applicabile nelle diverse normative nazionali senza la necessità di essere recepito con una legge dall’ordinamento interno. Ciò comporta l’abrogazione dell’attuale Codice della Privacy (Dlgs 196/2003) e, inoltre, un’armonizzazione delle legislazioni vigenti tra tutti gli Stati membri, dato che il regolamento è lo stesso per tutte le nazioni. Non può essere modificato, ma eventualmente solo integrato con norme interne che rispettino i principi e i dettami del regolamento UE.
Infine, il regolamento deve essere rispettato anche dalle imprese situate fuori dall’area dell’Unione europea, ma che offrono servizi o scambiano prodotti all’interno del mercato Ue.
Il regolamento è finalizzato alla protezione delle persone fisiche e disciplina il trattamento alla libera circolazione dei dati personali. Introduce regole più chiare sull’informativa sulla privacy e sul consenso, sono delineati i limiti al trattamento automatizzato dei dati personali, sono fissate regole ferree in merito al trasferimento dei dati al di fuori dell’Unione Europea e, infine, sono fissate norme specifiche in caso di violazioni (data breach).
Ma veniamo ai punti fondamentali del regolamento.
Portabilità dei dati - sarà possibile trasferire i propri dati personali da un titolare del trattamento a un altro all’interno degli Stati Ue. Ciò non è possibile verso Paesi extra Ue o organizzazioni internazionali che non rientrano nella sfera di tutela e sicurezza del regolamento. Ugualmente, il trasferimento non è possibile in caso di archivi di interesse pubblico, come ad esempio le anagrafi.
In tutti gli altri casi, si potrà procedere al trasferimento. Ad esempio, di potrà cambiare il provider di posta elettronica trasferendo tutte le informazioni (contatti, messaggi, ecc...) salvati dal vecchio provider che ha l’obbligo, a trasferimento avvenuto, di eliminare tutte le informazioni fino a quel momento gestite.
Informativa e consenso - L’informativa alla privacy dovrà essere esposta in maniera chiara e semplice in modo che sia comprensibile senza generare dubbi nel lettore. Inoltre, è stato ampliato il numero delle informazioni da inserire, tra cui:
- i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), nuova figura introdotta
- nel caso di trasferimento dei dati in Paesi extra Ue, occorre indicare gli strumenti utilizzati
- la durata della conservazione dei dati
- la possibilità di presentare un reclamo all’autorità di controllo
- i processi decisionali nel caso in cui il trattamento comporti decisioni automatizzate
Per quanto riguarda il consenso, questo risulterà valido solo se frutto di una volontà libera, e inequivocabile di accettazione, attraverso una dichiarazione scritta o orale, purché certa.
Non sarà valida alcuna accettazione tacita oppure raccolta in maniera indiretta del consenso. Resta salva la possibilità di revocarlo in qualunque momento.
Responsabile della protezione dei dati - Data Protection Officer - è una nuova figura introdotta dal regolamento che, avendo una conoscenza specifica della disciplina in merito, ha il compito di vigilare sulla corretta gestione e trattamento dei dati personali raccolti da un’azienda o da un ente presso il quale vigile. E’ una figura indipendente dal vertice aziendale, al quale riferisce criticità ed eventuali correzioni da apportare e ha a disposizione risorse necessarie da gestire per svolgere il suo compito.
Diritto all’oblio - è il diritto in base al quale può essere richiesta la rimozione di notizie personali ancora diffuse, ma legate a un evento passato o che si vuole semplicemente cancellare. Sarà possibile richiedere, al titolare del trattamento, la cancellazione dei propri dati personali e quest’ultimo è obbligato a trasmettere
la richiesta anche a tutti coloro che utilizzano i dati stessi. Il diritto all’oblio potrà essere limitato solo in alcuni specifici casi legati, ad esempio, a un interesse pubblico generale, a un diritto alla difesa in sede giudiziaria o per finalità di ricerca o scientifiche.
Minorenni - fino ai 16 anni, i fornitori di servizi Internet ed i social media potranno trattare i dati del minore soltanto a fronte del consenso da parte dei genitori o di chi esercita la potestà genitoriale.
Data breach - Il titolare del trattamento dovrà comunicare al Garante della privacy le eventuali violazioni commesse a cui sono legate sanzioni che vanno dal semplice richiamo a una multa fino al 4% del fatturato globale dell’azienda.
Infine, il regolamento deve essere rispettato anche dalle imprese situate fuori dall’area dell’Unione europea, ma che offrono servizi o scambiano prodotti all’interno del mercato Ue.
Il regolamento è finalizzato alla protezione delle persone fisiche e disciplina il trattamento alla libera circolazione dei dati personali. Introduce regole più chiare sull’informativa sulla privacy e sul consenso, sono delineati i limiti al trattamento automatizzato dei dati personali, sono fissate regole ferree in merito al trasferimento dei dati al di fuori dell’Unione Europea e, infine, sono fissate norme specifiche in caso di violazioni (data breach).
Ma veniamo ai punti fondamentali del regolamento.
Portabilità dei dati - sarà possibile trasferire i propri dati personali da un titolare del trattamento a un altro all’interno degli Stati Ue. Ciò non è possibile verso Paesi extra Ue o organizzazioni internazionali che non rientrano nella sfera di tutela e sicurezza del regolamento. Ugualmente, il trasferimento non è possibile in caso di archivi di interesse pubblico, come ad esempio le anagrafi.
In tutti gli altri casi, si potrà procedere al trasferimento. Ad esempio, di potrà cambiare il provider di posta elettronica trasferendo tutte le informazioni (contatti, messaggi, ecc...) salvati dal vecchio provider che ha l’obbligo, a trasferimento avvenuto, di eliminare tutte le informazioni fino a quel momento gestite.
Informativa e consenso - L’informativa alla privacy dovrà essere esposta in maniera chiara e semplice in modo che sia comprensibile senza generare dubbi nel lettore. Inoltre, è stato ampliato il numero delle informazioni da inserire, tra cui:
- i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), nuova figura introdotta
- nel caso di trasferimento dei dati in Paesi extra Ue, occorre indicare gli strumenti utilizzati
- la durata della conservazione dei dati
- la possibilità di presentare un reclamo all’autorità di controllo
- i processi decisionali nel caso in cui il trattamento comporti decisioni automatizzate
Per quanto riguarda il consenso, questo risulterà valido solo se frutto di una volontà libera, e inequivocabile di accettazione, attraverso una dichiarazione scritta o orale, purché certa.
Non sarà valida alcuna accettazione tacita oppure raccolta in maniera indiretta del consenso. Resta salva la possibilità di revocarlo in qualunque momento.
Responsabile della protezione dei dati - Data Protection Officer - è una nuova figura introdotta dal regolamento che, avendo una conoscenza specifica della disciplina in merito, ha il compito di vigilare sulla corretta gestione e trattamento dei dati personali raccolti da un’azienda o da un ente presso il quale vigile. E’ una figura indipendente dal vertice aziendale, al quale riferisce criticità ed eventuali correzioni da apportare e ha a disposizione risorse necessarie da gestire per svolgere il suo compito.
Diritto all’oblio - è il diritto in base al quale può essere richiesta la rimozione di notizie personali ancora diffuse, ma legate a un evento passato o che si vuole semplicemente cancellare. Sarà possibile richiedere, al titolare del trattamento, la cancellazione dei propri dati personali e quest’ultimo è obbligato a trasmettere
la richiesta anche a tutti coloro che utilizzano i dati stessi. Il diritto all’oblio potrà essere limitato solo in alcuni specifici casi legati, ad esempio, a un interesse pubblico generale, a un diritto alla difesa in sede giudiziaria o per finalità di ricerca o scientifiche.
Minorenni - fino ai 16 anni, i fornitori di servizi Internet ed i social media potranno trattare i dati del minore soltanto a fronte del consenso da parte dei genitori o di chi esercita la potestà genitoriale.
Data breach - Il titolare del trattamento dovrà comunicare al Garante della privacy le eventuali violazioni commesse a cui sono legate sanzioni che vanno dal semplice richiamo a una multa fino al 4% del fatturato globale dell’azienda.
Articolo del: