11/06/2018

LE NUOVE NORME SULLA PRIVACY, GDPR 679/2016

Il 25 maggio 2018 è entrato in vigore il nuovo regolamento europeo in materia di protezione dei dati personali: il Regolamento Ue 2016/679, meglio conosciuto con l’acronimo inglese GDPR, “General Data Protection Regulation”.

Chi riguarda?

Il GDPR è destinato a tutte quelle aziende che raccolgono e/o elaborano dati personali di cittadini europei

Quali sono i dati personali?

Il Regolamento individua quattro macro-categorie di interesse:

  1. dati personali:qualsiasi informazione che possa identificare la persona, incluso nome, cognome, caratteristiche fisiche e anche identificativi online;
  2. dati genetici:dati ottenuti tramite analisi di DNA o RNA da un campione biologico;
  3. dati biometrici:qualsiasi caratteristica fisica identificativa della persona, come l’impronta digitale, l’iride o l’immagine facciale;
  4. dati sulla salute:qualsiasi dato relativo alla salute, tanto fisica quanto mentale, presente, passato o futuro.

Raccolta e Trattamento dei Dati

Per adeguarsi al nuovo regolamento, nel raccogliere i dati, le aziende devono seguire innanzitutto questi punti specifici:

  • permettere all’utente di fornire il proprio consenso in modo esplicito e tracciabile;
  • predisporre un’informativa sul trattamento dei dati personali che sia trasparente, chiara e facilmente accessibile;
  • garantire che i dati raccolti siano pertinenti, adeguati e limitati alle finalità per cui vengono richiesti e trattati.
  • garantire all’utente il diritto di revocare il proprio consenso in qualsiasi momento

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali, con cui si è inteso dare la possibilità a qualsiasi utente di trasferire i dati da un titolare del trattamento a un altro. Il cittadino deve, infatti, poter ottenere facilmente una copia dei propri dati personali, in un formato leggibile e facilmente trasferibile.

Principio di accountability

Il principio di accountability, è stato tradotto in italiano con il termine “responsabilizzazione”: con la responsabilizzazione del titolare del trattamento, si richiede non solo il rispetto degli obblighi iniziali previsti nel Regolamento, ma anche una continua attività di controllo e verifica delle proprie attività di trattamento.

Data Breach

È stato disciplinato l’obbligo, in capo al titolare del trattamento, di comunicare eventuali violazioni di dati personali (data breach) all’Autorità Garante e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

Diritto all’oblio

Il nuovo GDPR ha introdotto, all’art.17, una norma apposita dedicata al “diritto alla cancellazione o diritto all’oblio”, nel quale viene stabilito che ogni interessato ha diritto ad ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.

Dal canto suo il titolare del trattamento ha l’obbligo di cancellare, senza ingiustificato ritardo, i dati personali di chi lo richiede qualora ricorrano le condizioni previste dalla norma.

Sanzioni

Nel regolamento europeo sulla privacy sono state inasprite le sanzioni amministrative pecuniarie applicabili in caso di trattamento dei dati personali effettuato in modo non conforme a quanto previsto dalla normativa. Stabilito un importo massimo applicabile dal Garante e, ove si tratti di impresa, un metodo di quantificazione alternativo che consiste nel calcolo di una percentuale del fatturato mondiale annuo dell’esercizio precedente. In aggiunta, il regolamento riconosce all’interessato il diritto al risarcimento del danno dal titolare o dal responsabile del trattamento.