Il GDPR in pillole

Dal 25 maggio 2018 il Regolamento Europeo generale sulla protezione dei dati – UE/2016/679 (GDPR) – sostituirà l’attuale direttiva UE sulla protezione dei dati (95/46/CE).

Il Regolamento garantisce nuovi diritti alle persone fisiche, estendendo la portata delle responsabilità del titolare e del responsabile del trattamento dei dati.

Verrà potenziato il regime di applicazione con l’introduzione del rischio di sanzioni pari a un massimo del 4% del fatturato globale annuo del soggetto che commette la violazione.

Cosa cambia

  • Le attuali norme sulla protezione dei dati personali saranno sostituite dal nuovo Regolamento generale sulla protezione dei dati.
  • Il Regolamento generale sulla protezione dei dati sarà applicabile in tutti gli Stati Membri dell’Unione europea a partire dal 25 maggio 2018.
  • La portata dei cambiamenti previsti è sostanziale, tanto da richiedere un’azione tempestiva ai fini di garantire la conformità.
  • Le organizzazioni dovranno adottare un approccio sistematico e coordinato per garantire la conformità di tutte le operazioni europee.
  • Le persone fisiche vedranno i propri diritti alla privacy considerevolmente rafforzati, con 
la possibilità di farli valere direttamente contro le organizzazioni.


I cambiamenti comprendono

  • la necessità di applicare i principi di “privacy by design” e di “privacy by default” nei processi di sviluppo e lancio di nuove tecnologie, prodotti o servizi
  • l’obbligo di effettuare il c.d. privacy impact assessment
  • i nuovi diritti alla portabilità dei dati e il diritto all’oblio
  • l’obbligo di comunicare alle autorità
 di controllo competenti eventuali data breach
  • sanzioni per inosservanza fino a un massimo di
 € 20 milioni o (se superiore) del 4% del fatturato globale annuo dell’organizzazione
  • norme speciali sulla profilazione e sull’utilizzo dei dati dei minori


Le basi per un corretto trattamento

Perché il consenso sia valido, l’interessato deve manifestare un’intenzione libera, specifica, informata e supportata da un’inequivocabile manifestazione di accordo.

Non è legittimo esprimere il proprio consenso in termini generici o collegare il consenso all’esecuzione di un contratto o a una posizione professionale.

In ogni caso, il soggetto deve poter revocare tempestivamente il consenso prestato.

I prodotti
citati

In virtù della strategia descritta, in questo articolo si parla di


L’uomo medio non vuole essere libero. Vuole essere sicuro.

– Henry Louis Mencken

Speciali categorie di dati personali

Il Regolamento generale sulla protezione dei dati amplia la definizione di dato sensibile includendo nuovi campi.

Dati Biometrici

I dati biometrici sono i dati personali ottenuti da un trattamento tecnico specifico.

Si riferiscono alle caratteristiche fisiche, fisiologiche o comportamentali di una persona, che ne consentono o confermano l’identificazione univoca.

Ad esempio l’immagine facciale.

Profilazione

Il Regolamento introduce anche nuove regole riguardanti le situazioni in cui i dati vengono utilizzati per assumere delle decisioni automatizzate con impatto sugli individui.

La profilazione è qualsiasi forma di trattamento automatizzato di dati personali. Consiste nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona.

In particolare per analizzare o prevedere aspetti riguardanti la persona:

  • il rendimento professionale
  • la situazione economica
  • la salute
  • le preferenze personali
  • gli interessi
  • l’affidabilità
  • il comportamento
  • l’ubicazione o gli spostamenti


Cosa fare

  • Analizzare le procedure lavorative in cui ci si avvale della profilazione
  • Garantire fondamenti giuridici adeguati a sostegno di una profilazione conforme alla legge
  • Rispettare i requisiti di trasmissione di informazioni relative all’uso di un processo decisionale automatizzato e, se applicabile, introdurre l’intervento umano nel processo decisionale


Principio di trasparenza

Il Regolamento generale sulla protezione dei dati rafforza l’obbligo di fornire informazioni agli interessati relativamente alle modalità e alle finalità del trattamento dei dati personali e accresce i diritti a disposizione dei medesimi.

L’informativa sulla privacy deve essere redatte in maniera chiara e sintetica in un linguaggio semplice, in modo da risultare facilmente accessibile.

Cosa fare

  • Rivedere e, se necessario, modificare l’informativa sulla privacy e le clausole informative
  • Prendere in considerazione il possibile uso di grafici in modo da poter comunicare le informazioni sulla privacy in maniera più efficace
  • Assicurarsi che, se i dati sono trattati per scopi secondari, tutte le informazioni necessarie siano fornite nei termini previsti dal Regolamento
  • Assicurarsi che i partner commerciali adempiano i propri obblighi di fornire informazioni alle persone, nel caso in cui si debbano riutilizzare gli stessi dati
  • Verificare se il quadro normativo nazionale consente eventuali esoneri dall’obbligo di fornire informazioni.

 

Articolo a cura dell’avvocato Silvia di Virgilio, specializzata nella tutela dei marchi e nella valorizzazione del patrimonio aziendale, argomenti che tratta con dedizione nel suo blog  www.lexaround.me.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Digital transformation?
Parliamone