Iscriviti alla newsletter

Privacy. Da oggi in vigore il GDPR. Punto per punto tutte le principali novità

Maria Luisa Astadi
Maria Luisa Asta
Pubblicato il: 25/05/2018 vai ai commenti

Attualità

Da oggi entra in vigore il GDPR – General Data Protection Regulation, ovvero il Regolamento europeo sulla privacy approvato il 14 aprile 2016, che delinea un nuovo quadro normativo in materia di protezione dei dati personali.

l concetto di dati personali si allarga a tutto ciò che ti distingue in modo univoco, comprese le caratteristiche fisiche e fisiologiche, ossia:

 

  • i dati genetici, ereditati o acquisiti, ottenibili tramite analisi di DNA da campioni biologici;

  • i dati biometrici, come la scansione dell'iride o l'analisi facciale;

  • ogni informazione sul tuo stato di salute, mentale e fisica, passata, presente e futura.

     

A chi si applica

Il nuovo GDPR si applica a tutti i professionisti e le imprese che, a prescindere da dove si trovino, vengano in contatto con i dati personali dei cittadini europei.

 

Il regolamento è composto da 99 articoli che istituiscono una serie di novità importanti, le maggiori delle quali sono:

 

  • il diritto all’oblio, ovvero alla cancellazione di informazioni a proprio riguardo dai database e dagli archivi di chi tratta i dati, quando il trattamento non è più necessario per le finalità per le quali il dato era stato acquisito.

  • la portabilità dei dati, ovvero il trasferimento dei propri dati da una piattaforma all’altra senza vincolarsi a un account preciso

  • comunicazione data breach, ovvero l’obbligo per le aziende che subiscono intrusioni nei database o “fughe di dati” a comunicarlo agli utenti nel giro di massimo 72 ore (art. 33).

     

 

I principi cardine del trattamento dati

  • devono essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza;

  • devono essere raccolti per finalità determinate, esplicite e legittime e trattati in maniera compatibile con tali finalità;

  • devono rispondere al principio di minimizzazione e, quindi, essere adeguati, pertinenti e limitati a quanto necessario per rispettare le finalità del trattamento;

  • devono essere esatti e, quindi, eventualmente aggiornati;

  • devono essere conservati in maniera da consentire l'identificazione degli interessati solo per il tempo necessario al conseguimento delle finalità del trattamento e per periodi più lunghi solo per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica, statistici;

  • devono essere trattati in maniera tale che sia garantita una loro adeguata sicurezza.

 

Il consenso

La richiesta di consenso deve essere chiara, l'onere di dimostrare che l'interessato ha prestato il proprio consenso al trattamento grava sul titolare. Il consenso può essere revocato, il trattamento effettuato prima della revoca resta comunque lecito e di tale circostanza l'interessato deve essere informato prima di esprimere il proprio consenso.

 

Una delle novità del nuovo regolamento della privacy è il Diritto all’oblio.

E’ il diritto dell'interessato a che il titolare del trattamento cancelli senza ingiustificato ritardo i suoi dati personali. Tale diritto, infatti, è esercitabile nelle seguenti ipotesi:

  • i dati personali non sono più necessari rispetto alle finalità della raccolta o del trattamento;

  • l'interessato ha revocato il consenso su cui si fonda il trattamento e quest'ultimo non ha altro fondamento giuridico;

  • l'interessato si oppone al trattamento e non sussiste alcun motivo giuridico per procedervi comunque;

  • i dati personali sono stati trattati illecitamente;

  • i dati personali devono essere cancellati per adempiere a un obbligo legale cui è soggetto il titolare del trattamento;

  • i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione.

 

Nasce la figura del DPO – Data Protection Officer, al quale viene affidato il compito di garantire che le imprese e gli enti gestiscano i dati personali trattati in maniera corretta; può essere sia un dipendente del titolare o del responsabile del trattamento, che un soggetto esterno chiamato ad assolvere i suoi compiti in base a un contratto di servizi.

Il GDPR prevede l’ introduzione di due registri fondamentali nella gestione dei dati personali: il registro delle attività di trattamento ed il registro delle categorie di attività svolte per conto di un titolare del trattamento.

Il registro delle attività di trattamento prevede:

  • le finalità del trattamento;

  • la descrizione delle categorie di interessati e delle categorie di dati personali;

  • le categorie di destinatario cui sono stati o saranno comunicati i dati personali raccolti;

  • gli eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, con l'identificazione di tali soggetti e, ove necessaria, la documentazione delle garanzie adeguate;

  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati (ove possibile);

  • la descrizione generale delle misure di sicurezza tecniche e organizzative (ove possibile).

Il registro delle categorie di attività svolte per conto di un titolare di trattamento prevede:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale si agisce, del rappresentante del titolare del trattamento o del

  • responsabile del trattamento e, ove applicabile, del DPO;

  • le categorie dei trattamenti che sono stati effettuati per conto di ogni titolare del trattamento;

  • gli eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale e, se del caso, la documentazione delle garanzie adeguate;

  • una descrizione generale delle misure di sicurezza tecniche e organizzative (ove possibile).

  • Entrambi i registri devono essere tenuti in forma scritta, anche in formato elettronico.

Il mancato adeguamento e il mancato rispetto delle norme in materia di privacy introdotte dal GDPR può comportare l'applicazione di sanzioni di carattere sia amministrativo che penale.

Le più importanti sanzioni riguardano due casi:

  • mancata comunicazione in caso di Data Breach, con multe fino a 10 milioni di Euro, o per le imprese fino al 2% del fatturato globale dell'ultimo esercizio per le imprese, se superiore. Tali importi raddoppiano se la violazione è avvenuta intenzionalmente

  • danno materiale o immateriale subito da un individuo per la violazione del regolamento: in tal caso si dovrà risarcire completamente il danno, tranne quando l'ente/impresa dimostri che il danno non è stato causato da una propria mancanza o da un proprio dolo.

 

Da StudioCataldi