Privacy, in arrivo le nuove regole. La protezione dei dati personali nel regolamento europeo

Privacy, il 25 maggio 2018 troverà piena applicazione il nuovo Regolamento europeo sulla protezione dei dati personali, che introduce importanti novità in materia.

di Barbara De Lorenzis*

Per “Gdpr” (“General data protection regulation”) si intende il nuovo Regolamento europeo n. 679/2016 varato in materia di protezione dei dati personali. La nuova normativa ora entrerà pienamente in vigore in tutti i Paesi dell’Unione Europea.

Il Gdpr introduce importantissime novità per cittadini e imprese, con l’obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell’economia digitale. Le regole introdotte vogliono adattare la legislazione Ue (in vigore da 19 anni) alle nuove tecnologie e all’uso sempre più disparato che si fa di internet. I dati presenti nella rete sono in continuo aumento e le connessioni tra i diversi Paesi del mondo sempre più fitte, per questo è stata anche regolamentata la diffusione di dati personali all’esterno dell’Unione Europea.

Per dato personale si intende qualunque informazione riconducibile ad un individuo.

Ad esempio, sono dati personali il nome e cognome di una persona e tutti i suoi dati anagrafici, l’indirizzo e-mail, il numero di telefono, ma anche una fotografia, i suoi dati biometrici (es. l’impronta digitale o le caratteristiche della sua firma autografa), il suono della sua voce, le sue abitudini alimentari.

Alcune categorie di dati (come quelli relativi ai dati genetici, allo stato di salute, all’orientamento sessuale o all’apparenza a partiti e sindacati) sono considerati sensibili e richiedono misure aggiuntive di protezione in base alla normativa.

Venendo al caso concreto, poniamo il caso che il professionista raccolga e tratti i dati personali esclusivamente per la finalità connessa al servizio richiesto dal cliente, quindi ad esempio il commercialista per fornire consulenza in materia contabile o fiscale ai propri clienti, l’avvocato per curare la difesa in giudizio, redigere contratti o pareri, il consulente del lavoro per amministrare le pratiche in materia di diritto del lavoro di un’ impresa cliente, l’ingegnere edile per curare progetti ad esempio nel settore della domotica, innanzitutto, una delle prime operazioni da compiere è quella di controllare che il trattamento sia fondato sui principi per l’appunto del Gdpr, principi di liceità, correttezza, trasparenza e quindi, è opportuno verificare che i dati raccolti e trattati siano esclusivamente quelli strettamente necessari, pertinenti e adeguati a svolgere la finalità per cui sono richiesti, che siano adottate misure per aggiornarli o rettificarli tempestivamente al bisogno, che siano conservati per il tempo necessario a espletare l’incarico conferito (salvo il tempo ulteriore necessario a rispettare le norme amministrative), che siano adeguatamente protetti. Pertanto, dovranno essere aggiornate le informative rese ai clienti ed eventuali collaboratori, rendendole conformi all’art. 13 del Gdpr, in questo caso, significativo sarà precisare nell’informativa i diritti degli interessati e dotarsi di strumenti che assicurino al cliente, in maniera effettiva, il facile esercizio degli stessi.

I dati su internet saranno inoltre maggiormente protetti con alcune restrizioni sui meccanismi di profiling e verrà introdotto l’obbligo di utilizzare un linguaggio chiaro nelle regole relative alla privacy. Chi fornisce servizi internet, infine, avrà bisogno di un consenso esplicito prima di utilizzare i dati personali dei clienti, per cui chi ha un’azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, sarà tenuto ad adeguarti al Gdpr.

Il Gdpr si applica anche a imprese ed enti che hanno sede al di fuori dell’Unione Europea, ad esempio se vendono beni o servizi, anche via internet.

Ecco alcuni esempi di quello che ad esempio un’azienda dovrà fare per adeguarsi al Gdpr:

·       informare in modo chiaro e semplice i tuoi clienti, dipendenti e gli altri interessati di come tratti i loro dati: dì loro chi sei quando richiedi dei dati, perché li stai trattando, per quanto tempo verranno conservati e a chi devono essere comunicati;

·       chiedere in modo esplicito il consenso delle persone di cui raccogli i dati; in caso di minori, verificare il limite di età per chiedere il consenso dei genitori;

·       assicurarsi di poter rispondere alle richieste degli interessati: il Gdpr attribuisce a tutte le persone il diritto di sapere chi e perché tratta i loro dati, di modificarli, di cancellarli, di opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati a un’altra azienda (i.e. portabilità);

·       in caso di violazioni di dati o data breach – ad esempio, in caso di divulgazione non autorizzata di dati a causa di un problema di sicurezza – occorrerà darne comunicazione entro 72 ore all’Autorità di controllo.

Nel caso in cui si intenda affidare operazioni di trattamento a soggetti esterni, sarà opportuno assicurarsi di ricorrere solamente a responsabili del trattamento che chiaramente presentino sufficienti garanzie in merito alla conformità al Regolamento e alla tutela dei diritti degli interessati.

Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, che comprendono multe fino a 20milioni di euro o – nel caso di imprese – fino al 4% del fatturato globale dell’esercizio precedente, se superiore.

Ai fini di questa nuova normativa, il Gdpr richiede di tenere (anche in formato elettronico) un Registro aggiornato dei dati personali che gestisci. Per le aziende e studi professionali sono rappresentate da: anagrafiche clienti, anagrafiche dipendenti, anagrafiche fornitori, videosorveglianza, campagne commerciali e di marketing, gestione di un sito web . Il Registro dei trattamenti potrebbe non essere necessario in alcuni casi specifici, tuttavia, anche in questi casi è raccomandato dal Garante per la Protezione dei dati personali in quanto rappresenta uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte dell’Autorità di controllo, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti svolti ed è uno strumento indispensabile per ogni valutazione e analisi del rischio.

Con il nuovo regolamento europeo si inserisce poi un dato di non secondaria importanza: il diritto alla portabilità dei dati (posso pretendere che il soggetto a cui ho concesso l’uso dei miei dati me li restituisca su un supporto elettronico strutturato così che io possa farne ulteriore uso, anche presso un altro fornitore), diritto a essere totalmente dimenticato da chi ha raccolto i miei dati.

*rubrica legale a cura dell’avvocata

Annunci

Un pensiero su “Privacy, in arrivo le nuove regole. La protezione dei dati personali nel regolamento europeo

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

This site uses Akismet to reduce spam. Learn how your comment data is processed.