Dal 25 maggio 2018 il Regolamento Europeo generale sulla protezione dei dati – UE/2016/679 (GDPR) – sostituirà l’attuale direttiva UE sulla protezione dei dati (95/46/CE).
Il Regolamento garantisce nuovi diritti alle persone fisiche, estendendo la portata delle responsabilità del titolare e del responsabile del trattamento dei dati.
Verrà potenziato il regime di applicazione con l’introduzione del rischio di sanzioni pari a un massimo del 4% del fatturato globale annuo del soggetto che commette la violazione.
Cosa cambia con la nuova normativa GDPR
- Le attuali norme sulla protezione dei dati personali saranno sostituite dal nuovo Regolamento generale sulla protezione dei dati.
- Il Regolamento generale sulla protezione dei dati sarà applicabile in tutti gli Stati Membri dell’Unione europea a partire dal 25 maggio 2018.
- La portata dei cambiamenti previsti è sostanziale, tanto da richiedere un’azione tempestiva ai fini di garantire la conformità.
- Le organizzazioni dovranno adottare un approccio sistematico e coordinato per garantire la conformità di tutte le operazioni europee.
- Le persone fisiche vedranno i propri diritti alla privacy considerevolmente rafforzati, con la possibilità di farli valere direttamente contro le organizzazioni.
I cambiamenti comprendono
- la necessità di applicare i principi di “privacy by design” e di “privacy by default” nei processi di sviluppo e lancio di nuove tecnologie, prodotti o servizi
- l’obbligo di effettuare il c.d. privacy impact assessment
- i nuovi diritti alla portabilità dei dati e il diritto all’oblio
- l’obbligo di comunicare alle autorità di controllo competenti eventuali data breach
- sanzioni per inosservanza fino a un massimo di € 20 milioni o (se superiore) del 4% del fatturato globale annuo dell’organizzazione
- norme speciali sulla profilazione e sull’utilizzo dei dati dei minori
Le basi per un corretto trattamento dei dati personali
Perché il consenso sia valido, l’interessato deve manifestare un’intenzione libera, specifica, informata e supportata da un’inequivocabile manifestazione di accordo.
Non è legittimo esprimere il proprio consenso in termini generici o collegare il consenso all’esecuzione di un contratto o a una posizione professionale.
In ogni caso, il soggetto deve poter revocare tempestivamente il consenso prestato.
L’uomo medio non vuole essere libero. Vuole essere sicuro.
– Henry Louis Mencken
Speciali categorie di dati personali
Il Regolamento generale sulla protezione dei dati amplia la definizione di dato sensibile includendo nuovi campi.
Dati Biometrici
I dati biometrici sono i dati personali ottenuti da un trattamento tecnico specifico.
Si riferiscono alle caratteristiche fisiche, fisiologiche o comportamentali di una persona, che ne consentono o confermano l’identificazione univoca.
Ad esempio l’immagine facciale.
Profilazione
Il Regolamento introduce anche nuove regole riguardanti le situazioni in cui i dati vengono utilizzati per assumere delle decisioni automatizzate con impatto sugli individui.
La profilazione è qualsiasi forma di trattamento automatizzato di dati personali. Consiste nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona.
In particolare per analizzare o prevedere aspetti riguardanti la persona:
- il rendimento professionale
- la situazione economica
- la salute
- le preferenze personali
- gli interessi
- l’affidabilità
- il comportamento
- l’ubicazione o gli spostamenti
Cosa fare per essere in regola con la nuova GDPR?
- Analizzare le procedure lavorative in cui ci si avvale della profilazione
- Garantire fondamenti giuridici adeguati a sostegno di una profilazione conforme alla legge
- Rispettare i requisiti di trasmissione di informazioni relative all’uso di un processo decisionale automatizzato e, se applicabile, introdurre l’intervento umano nel processo decisionale
Principio di trasparenza
Il Regolamento generale sulla protezione dei dati rafforza l’obbligo di fornire informazioni agli interessati relativamente alle modalità e alle finalità del trattamento dei dati personali e accresce i diritti a disposizione dei medesimi.
L’informativa sulla privacy deve essere redatte in maniera chiara e sintetica in un linguaggio semplice, in modo da risultare facilmente accessibile.
Cosa fare
- Rivedere e, se necessario, modificare l’informativa sulla privacy e le clausole informative
- Prendere in considerazione il possibile uso di grafici in modo da poter comunicare le informazioni sulla privacy in maniera più efficace
- Assicurarsi che, se i dati sono trattati per scopi secondari, tutte le informazioni necessarie siano fornite nei termini previsti dal Regolamento
- Assicurarsi che i partner commerciali adempiano i propri obblighi di fornire informazioni alle persone, nel caso in cui si debbano riutilizzare gli stessi dati
- Verificare se il quadro normativo nazionale consente eventuali esoneri dall’obbligo di fornire informazioni.
Articolo a cura dell’avvocato Silvia di Virgilio, specializzata nella tutela dei marchi e nella valorizzazione del patrimonio aziendale, argomenti che tratta con dedizione nel suo blog www.lexaround.me.
![Come aprire un coworking? [Guida pratica]](https://hubstrat.it/wp-content/plugins/wp-fastest-cache-premium/pro/images/blank.gif "Come aprire un coworking? [Guida pratica] - Hubstrat.")