Da oggi in vigore il nuovo regolamento sulla Privacy


Da oggi entra in vigore il GDPR (General Data Protection Regulation) Regolamento n. 2016/679 il nuovo regolamento sulla privacy relativo alla protezione dei dati personali.

Il legislatore europeo si preoccupa della protezione dei dati personali e della loro libera circolazione per favorire il mercato digitale in modo da renderlo più sicuro e affidabile per i cittadini. Il Regolamento non modifica in modo sostanziale i principi fondamentali della legislazione in materia di protezione dei dati. In sostanza i titolari del trattamento e dei responsabili del trattamento che rispettino già le attuali disposizioni dell’Ue non dovrà introdurre stravolgere le proprie operazioni di trattamento dei dati per conformarsi al regolamento. Ad oggi però nessun ente può definirsi completamente “Gdpr compliant” perché la protezione dei dati va sviluppata su misura a seconda del trattamento dei dati e può quindi variare da struttura a struttura. Il Data Protection Officer (Dpo) o Responsabile della protezione dei dati, introdotta dalla nuova normativa, dovrà essere una figura indipendente e imparziale a tutela dei dati personali e potrà essere interna o esterna alla struttura.

In sostanza il Regolamento stabilisce che il consenso deve essere chiaro ed esplicito. “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”. Se il consenso è presentato in una dichiarazione scritta che riguarda anche altre questioni, deve essere distinguibile dalle altre parti e scritto in modo semplice e chiaro. “L’interessato ha il diritto di revoca del proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato” (art 7). Il nuovo Regolamento specifica l’attenzione che va riservata al trattamento di particolari categorie di dati personali. “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” (art 9). Il Regolamento inoltre garantisce il diritto di accesso ai propri dati: “L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo” (art. 17) e il diritto all’oblìo prevedendo che “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”. Di grande rilevanza per i cittadini è il diritto di opposizione (art. 21), visto lo sviluppo, negli ultimi anni, del telemarketing aggressivo. “Se i dati personali vengono trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto”. In caso di opposizione al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento. Un altro aspetto fondamentale della normativa è rappresentato dalle tutele in caso di violazione dei dati personali. Il regolamento stabilisce che “in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”(art 33). “....quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo” (art. 34), salvo che il titolare non abbia adottato misure tecniche che scongiurino questo rischio o qualora questa comunicazione non richieda sforzi sproporzionati.

Le informative e i consensi acquisiti sino ad oggi, se sviluppate correttamente, in linea con quanto previsto dalla normativa italiana, devono essere aggiornate con la nuova normativa prevista dal Gdpr e con le nuove esigenze della società digitale. Con l’entrata in vigore della nuova disciplina appare raccomandabile creare un team “privacy competente” costantemente aggiornato, che segua il processo di attuazione della normativa nella struttura in cui opera e che curi gli aspetti della privacy nell’ambito di hardware, software, o information security, e nell’ organizzazione delle risorse umane che devono essere adeguatamente formate e rese consapevoli della nuova normativa.


0 visualizzazioni0 commenti
A cura di