Privacy-GDPR
Il GDPR
Dal 1996 a oggi le normative sul trattamento dei dati personali hanno avuto un’evoluzione continua fino ad arrivare ai giorni nostri, con la pubblicazione, nella primavera del 2016, del GDPR – General Data Protection Regulation – ossia il Regolamento dell’Unione Europea sulla protezione dei Dati che ha sostituito l’attuale Direttiva Privacy 95/46/CE.
Dal 25 maggio 2018 tutte le aziende pubbliche e private che possiedono informazioni personali rilasciate dai cittadini europei si sono dovute adeguare ai principi espressi nel GDPR, relativi al trattamento dei dati personali (art. 5.1):
1. Liceità dei dati in possesso, ovvero i dati devo essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
2. Limitatezza delle finalità, quindi i dati sono raccolti per finalità determinate, esplicite e legittime e, successivamente, trattati in modo compatibile e coerente con tali finalità ;
3. Minimizzazione, i dati raccolti devono essere pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
4. Esattezza, ossia, i dati personali raccolti saranno esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
5. Limitazione della conservazione, quindi i dati dovranno essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
6. Sicurezza dei dati personali, cioè trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
I dieci punti che sono cambiati con l’adozione del GDPR
Dal 25 maggio 2018 le norme contenute in questo testo devono essere rispettate da tutti i titolari e responsabili del trattamento dei dati operanti nell’Unione Europea. Tali figure sono infatti tenute a gestire le informazioni ottenute dai fornitori dei propri dati in tutte le fasi del trattamento; dalla stesura dell’informativa sulla privacy all’eliminazione dei dati obsoleti.
In generale, cosa è cambiato per le aziende operanti nel nostro Paese, rispetto alla normativa vigente?
1. Il consenso al trattamento dei dati deve essere inequivocabile e ottenibile dall’individuo che lo rilascia mediante dichiarazione o azione positiva ed esplicita (art.4 comma 11).
2. L’informativa sul trattamento dei dati personali deve essere stesa in un formato breve, cioè privo di contenuti normativi chiaro e intelleggibile, per poter essere comprensibile anche ai minori che dall’età di 16 anni avranno diritto a rilasciare i propri dati personali senza l’autorizzazione dei genitori. Inoltre, nell’informativa, deve essere inserito il tempo previsto di conservazione dei dati (art.13).
3. Per gli individui che rilasceranno i propri dati, sono stati introdotti nuovi diritti come il diritto alla portabilità dei dati, attraverso cui, gli interessati del trattamento avranno diritto a ricevere, previa richiesta esplicita, i dati personali raccolti dal titolare del trattamento (art. 15). Una volta espressa la richiesta, gli individui riceveranno i propri dati in un formato “strutturato, di uso comune e leggibile meccanicamente” che possono, eventualmente, inviare ad altre aziende (https://www.cyberlaws.it/2017/articolo-20-gdpr-regolamento-generale-sulla-protezione-dei-dati-ue2016679/).
4. È stato introdotto un registro delle attività del trattamento con l’biettivo di deviare il precedente obbligo di notificazione all’organo collegiale il Garante Privacy, ossia l’autorità di controllo nazionale preposta alla protezione dei dati nel territorio nazionale italiano (art. 30).
5. Per quanto riguarda i Data Breach, il GDPR prevede che le aziende si impegnino a notificare e comunicare la violazione rilevata sia al titolare di tali dati, sia all’autorità di controllo dei dati stessi entro 72 ore dal momento in cui ne è venuto a conoscenza (art. 33).
6. Dovrà essere stilato dalle attività titolari del trattamento dei dati personali un documento di valutazione d’impatto del trattamento dei dati, anche in caso di fornitori esterni.
In questo caso specifico, sarà premura del committente valutare l’adeguatezza e la qualità del fornitore di dati. Nel caso in cui il fornitore scelto non fosse affidabile, anche l’azienda committente sarà chiamata a rispondere, in caso di irregolarità dei dati forniti (art. 35).
L’obiettivo finale per cui è stato inserito questo diritto è quello di migliorare il controllo che gli individui hanno sui propri dati personali.
7. È stata introdotta una nuova figura, il Data Protection Officer che in italiano trova il suo equivalente nel termine Responsabile della Protezione dei Dati che ha l’obbligo di supportare i titolari e i responsabili, oltre a presidiare la gestione dei dati personali raccolti dal titolare (art. 37).
8. Si incoraggia l’elaborazione di codici di condotta e l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati (art. 40).
9. Tutti i cittadini hanno diritto a vedere rispettati i propri diritti sia da parte delle aziende provenienti dall’UE sia da parte delle imprese che operano all’interno dell’Unione Europea, pur non facendone parte (articolo 3).
10. In caso di sinistri legati all’ottenimento o alla gestione dei dati, le sanzioni a carico di queste imprese aumentano notevolmente. Per esempio, per le multinazionali, è possibile arrivare a sanzioni pari a 20 milioni di euro e, se maggiore, fino al 4% del fatturato annuo dell’impresa (art. 83).
È importante sottolineare che i consensi raccolti precedentemente la data di attuazione del GDPR, se ad oggi sono considerati conformi, vengono ritenuti automaticamente validi. In caso contrario è necessario adoperarsi quanto prima per raccogliere nuovamente il consenso degli individui che hanno dato in precedenza l’autorizzazione al trattamento dei propri dati con un’informativa che sia perfettamente in linea con il nuovo regolamento.
Link al sito del Garante della Privacy
Link alla Guida all'Applicazione del Regolamento Europeo
Contatti
IL CONTATTO UFFICIALE DEL RTD/DPO DELL'ISTITUTO E' IL SEGUENTE:
Mauro Falchero
indirizzo e-mail: info@fasered.it
SITI E DOCUMENTAZIONE UTILE
Guida all'applicazione del regolamento europeo in materia di protezione dei dati personali