GDPR 2018: la sintesi dei cambiamenti sul trattamento dei dati personali

Il 28 maggio entrerà in vigore il Regolamento Europeo per la Protezione dei Dati, un corpus unico di norme valevoli in tutta l’UE che sostituisce le 28 diverse leggi sulla protezione dei dati personali sino ad oggi operanti nei singoli paesi membri. La normativa interessa più da vicino – ma non esclusivamente – le realtà che trattano massivamente dati personali su internet.

Cogliamo il “nucleo” delle novità per l’utente i cui dati vengono trattati (il cd “interessato”) e per il titolare del trattamento, vale a dire l’impresa che raccoglie e tratta i dati nell’esercizio della propria attività.

Gli obiettivi per gli utenti sono:

  • Una corretta informativa sul trattamento: semplice e comprensibile, l’interessato deve sapere chi sta trattando i suoi dati, quali nello specifico, il motivo del trattamento, il periodo di conservazione degli stessi, gli eventuali destinatari o categorie di destinatari a cui verranno comunicati, l’elenco dei suoi diritti sul trattamento (accesso, rettifica, cancellazione etc., Artt. 12-14). Il titolare, dal canto suo, dovrà revisionare la vecchia modulistica dell’informativa e semplificarla, il GDPR la vuole concisa, trasparente, intellegibile e facilmente accessibile. L’informativa deve esser data per iscritto – preferibilmente in formato elettronico – è autorizzato l’utilizzo di “icone” standardizzate per dare, in modo facilmente visibile, un quadro d’insieme del trattamento previsto.

  • Garantire un consenso consapevole: Quando si va aldilà del trattamento dei dati necessari per fornire un servizio, il trattamento stesso deve fondarsi sul consenso: ad esempio quando riguarda dati sensibili (dati della salute, genetici, biometrici, relativi all’orientamento religioso ecc..), o in caso di trattamenti automatizzati, come la nel caso della profilazione, (intesa l’insieme di attività di raccolta ed elaborazione dei dati inerenti agli utenti di servizi, in particolare tramite internet per suddividere l’utenza in gruppi di comportamento). La richiesta del consenso dovrà essere semplice e chiara, indicando altresì l’utilizzo che si intende fare dei dati. Dovrà constare di una manifestazione di volontà libera, specifica, informata e inequivocabile, tramite dichiarazione o azione positiva (Artt. 4, paragrafo 11, e 7). A livello operativo si dovrebbe assistere ad una maggior evidenza delle specifiche del consenso e di una semplificazione del linguaggio. Dovrebbero sparire le postille minuscole e le procedure internet pseudo-fraudolente che non permettono all’interessato di ponderare il suo consenso, come form precompilati e caselle già prespuntate. Se i consensi raccolti prima del 25 maggio rispettano i principi di cui sopra non sarà necessario raccogliere un nuovo consenso per continuare a trattarli ai sensi del GDPR.

  • L’accesso in qualsiasi momento ai dati personali: che permetta all’interessato di sapere se presso un determinato interlocutore sia in corso o meno un trattamento di dati che lo riguardano (Art. 15). Il titolare dovrà dunque essere pronto, all’occorrenza, a fornire tutte le informazioni previste dalla normativa in esame;

  • Garantire il diritto all’oblio: ovvero la cancellazione dei propri dati personali (Art. 17) che non siano più necessari, per i quali si sia revocato il consenso, trattati illecitamente, o che non si desideri più che vengano ulteriormente trattati non sussistendo motivi legittimi per la loro conservazione. L’oblio si rivela cruciale in ambito internet per la cancellazione di link, copie o riproduzioni dei dati resi pubblici e quindi indicizzati nei motori di ricerca. L’oblio non è possibile quando il trattamento sia necessario alla libertà di espressione ed al diritto di cronaca, l’equilibrio tra i valori qui è perlopiù affidato alla giurisprudenza;

  • Permettere cd. portabilità dei dati: poter richiedere che i dati precedentemente forniti (ad es. ad una piattaforma social o un provider di servizi) vengano trasmessi dal titolare del trattamento ad un altro fornitore restituendoglieli in un formato strutturato di uso comune leggibile da dispositivo automatico (Art. 20 del Reg.). Si prevede che questa facoltà possa agevolare la concorrenza tra operatori facilitando l’interessato nella migrazione da un fornitore all’altro di servizi.

  • Maggiori garanzie per i dati persi o rubati: in presenza di una violazione (cd data breach) reputata potenzialmente produttiva di danni, la società che l’ha causata, e per essa il relativo titolare del trattamento dovrà – a pena di sanzione – comunicarla senza ritardo all’interessato ed all’autorità di vigilanza competente (Artt. 33-34). Il responsabile del trattamento risponde anche del danno eventualmente causato all’interessato che sia conseguenza della violazione.

Le aziende dovranno operare:

  • secondo Il principio di accountability (“responsabilizzazione”) ponendo in atto tutte le misure tecniche e organizzative necessarie per assicurare, ed essere in grado di dimostrare, che la raccolta e l’utilizzo dei dati siano conformi alle nuove regole;

  • ispirando la loro azione al principio della Privacy By Design: un approccio di prevenzione volto a mettere gli utenti al centro di ogni progetto di lavoro. La garanzia della riservatezza e la protezione dei dati personali che vengono toccati di volta in volta, individuando a priori eventuali rischi, devono essere i criteri fondanti la politica aziendale rivolta agli utenti.

  • considerando il principio di Privacy By Default: trattando, per impostazione predefinita, i dati personali nella sola misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Il sistema di trattamento di dati dovrà garantire la non eccessività dei dati raccolti.

  • tenendo ed utilizzando il registro delle attività di trattamento, un documento in cui il titolare deve tenere traccia dettagliata delle attività compiute con dati relativi a dipendenti, fornitori, partner e soprattutto clienti;

  • effettuare valutazioni di impatto (art. 35) sulla protezione dei dati, necessarie quando un tipo di trattamento, in particolare quando prevede l’uso di cd nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone;

  • Nominando un Data Protection Officer (“DPO”) che vigilerà affinché l’azienda rispetti effettivamente le regole in materia di privacy allo scopo di evitare le ingenti sanzioni previste. Il DPO deve avere formazione specialistica in materia di privacy e può essere un terzo come un legale o altro esperto;

  • Le piccole e medie imprese (comunque al di sotto dei 250 dipendenti) sono esentate da una serie di adempimenti:

    • dal registro delle attività di trattamento, a meno che non realizzino trattamenti che possono presentare un rischio per i diritti e le libertà degli interessati, se il trattamento risulta occasionale e non includa i dati di cui all’art. 9.1 (cd “sensibili”) o all’Art. 10 (dati relativi a condanne penali e reati).

    • Dalla nomina del DPO nel momento in cui il trattamento dei dati non sia cruciale rispetto all’attività di un’impresa.

    • Dalla valutazione di impatto, salvo che per rischi specifici dovuti a grandi quantità di dati trattati, soprattutto tramite internet;

In conclusione non vengono imposti strumenti tipici ma un metodo e filosofia di azione preventiva diretta alla massima tutela dei dati personali da adeguare al proprio contesto aziendale. Il piccolo commerciante al dettaglio, e in generale chi non tratta dati dei clienti, non avrà nuove incombenze.

 

 

Avv. Andrea Fucci
About Avv. Andrea Fucci 160 Articles
Nato a Carmagnola (TO) il 08/01/1973, Avvocato Civilista iscritto presso l’Ordine di Pinerolo (TO); AREE TEMATICHE DI COMPETENZA: commercio elettronico, condominio, contratti in genere,diritti del consumatore, diritti reali, diritto agrario, diritto amministrativo, diritto commerciale, diritto del lavoro, diritto della proprietà immobiliare, diritto di famiglia, fallimento, infortunistica stradale, locazione/sfratti, marchi/brevetti, successioni ereditarie; Fondatore e responsabile del sito www.lexconsulenza.it; dr.fucci@gmail.com ;

Be the first to comment

Leave a Reply

L'indirizzo email non sarà pubblicato.


*