Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Ue 2016/679 sulla privacy detto GDPR (General Data Protection Regulation), che abrogherà l’attuale Codice della Privacy (Dlgs n.196/2003).
La nuova normativa permetterà un’armonizzazione delle legislazioni vigenti, in quanto i singoli Stati non potranno modificare le regole indicate dall’Unione europea, ma solo eventualmente integrarle con norme interne in linea con i principi e i dettami del regolamento Ue. A quest’ultimo dovranno adeguarsi anche le imprese extra Ue che offrono servizi o scambiano prodotti all’interno del mercato Ue.
Il nuovo regolamento in materia di privacy stabilisce regole più chiare in merito all’informativa sulla privacy e sul consenso, fissa i limiti al trattamento automatizzato dei dati personali nonché regole più severe in merito al trasferimento dei dati al di fuori dell’Unione Europea, e introduce norme specifiche in caso di violazioni (data breach).
Ma andiamo a scoprire insieme i punti principali del regolamento.
Portabilità dei dati
Fra le novità del regolamento Ue c’è il diritto alla portabilità dei dati, che permetterà di trasferire i dati di un soggetto da un titolare del trattamento a un altro. Ad esempio, si potrà cambiare il provider di posta elettronica trasferendo tutte le informazioni (contatti, messaggi etc) salvate dal vecchio provider, salvo obbligo – a trasferimento avvenuto – di eliminare tutte le informazioni fino a quel momento gestite. La portabilità sarà limitata al territorio Ue e ai dati trattati con il consenso dell’interessato o sulla base di un contratto con esso stipulato. Esclusi invece i dati il cui trattamento si basa sull’interesse pubblico o legittimo del titolare.
Informativa e consenso
L’informativa sulla privacy dovrà essere più chiara e semplice, e contenere delle informazioni aggiuntive a quelle precedentemente previste:
– i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer), nuova figura introdotta dal regolamento, avente il compito di vigilare sulla correttezza della gestione e del trattamento dei dati personali raccolti dall’azienda o dall’ente presso i quali presta la propria attività;
– gli strumenti utilizzati per il trasferimento dei dati, qualora essi vengano trasferiti al di fuori dell’Unione europea;
– la durata della conservazione dei dati;
– la possibilità di presentare un reclamo all’autorità di controllo;
– i processi decisionali per i casi in cui il trattamento comporti decisioni automatizzate.
Il consenso sarà valido solo se frutto di una volontà libera e inequivocabile di accettazione, mediante dichiarazione scritta o orale, ma mai tacita, indiretta o raccolta attraverso la presentazione di opzioni già selezionate. Tale consenso sarà in ogni caso revocabile in qualsiasi momento, mentre il trattamento precedentemente effettuato sulla base del consenso accordato resterà legittimo.
Diritto all’oblio
Il diritto all’oblio è quel diritto che consente di richiedere al titolare del trattamento la rimozione dei propri dati personali legati a un evento passato. Il titolare sarà obbligato a trasmettere la richiesta anche a tutti colori che utilizzano quei dati. Fanno eccezione i casi legati a un interesse pubblico generale (es. salute pubblica), all’esercizio del diritto alla difesa in sede giudiziaria o della libertà di espressione, a finalità di ricerca storica o finalità statistiche o scientifiche.
Minorenni
Il nuovo regolamento rafforza anche la protezione dei dati dei minorenni. Fino ai 16 anni, i fornitori di servizi Internet e i social media potranno infatti trattare i dati dei minori soltanto a fronte del consenso da parte dei genitori o di chi ne esercita la potestà genitoriale.
Data breach
Il titolare del trattamento dei dati dovrà comunicare al Garante della privacy le eventuali violazioni commesse. Le sanzioni previste vanno dal semplice richiamo a una multa fino al 4% del fatturato globale dell’azienda.
Il nuovo regolamento Ue in materia di privacy rappresenta una sfida importante quanto complessa per tutte le aziende, gli enti e i professionisti che – nelle proprie attività – hanno a che fare con il trattamento dei dati personali. Una sfida il cui esito dipenderà dalla loro capacità di adeguarsi trovando un nuovo equilibrio tra il rispetto della privacy delle persone e la tutela del proprio business.
Per il tuo sito o per una consulenza: