GDPR 2018: la nuova legge europea sulla privacy

GDPR 2018: la nuova legge europea sulla privacy

Quello a cui stiamo assistendo in questi giorni è un vero e proprio conto alla rovescia: si sente sempre più spesso infatti parlare del nuovo GDPR, la nuova normativa europea sulla protezione dei dati personali che entrerà in vigore dal 25 Maggio 2018 in tutta l’Unione Europea. Vediamo insieme le novità e i cambiamenti a cui ci si deve preparare per il DGPR.

Legge Europea sulla Privacy: il GDPR in vigore dal 25 maggio 2018.

GDPR: dal 25 maggio 2018 attiva la nuova legge Europea sulla Privacy

GDPR: dal 25 maggio 2018 attiva la nuova legge Europea sulla Privacy

 

A partire dal 25 Maggio 2018, verrà ufficialmente applicato a tutti gli stati membri dell’Unione Europea il nuovo regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), che in Italia sostituirà in pieno il codice del 1995 e il successivo codice in materia di protezione dei dati personali (legge 296 del 2003).

Dalla commissione europea si nota come la nascita del GDPR sia stato un passo fondamentale e doveroso per andare incontro alla regolarizzazione e semplificazione delle norme riguardanti il passaggio di dati personali dall’Ue verso il resto del mondo. Grazie all’introduzione del GDPR si avrà infatti un’unica policy valida per tutti gli stati appartenenti all’Ue e le norme verranno applicate anche alle imprese con sede al di fuori dall’Unione che opereranno all’interno del mercato europeo.

In uno scenario e contesto tecnologico ed economico sempre più frenetico e mutevole, il nuovo provvedimento tiene sempre più conto delle esigenze di tutela dei cittadini sempre più consapevoli della fragilità della protezione dei propri dati, soprattutto dopo la scottante vicenda che ha visto protagonista Facebook e Cambridge Analytica.

GDPR: punto per punto tutto ciò che occorre sapere

GDPR 2018: la nuova legge europea sulla privacy

GDPR 2018: la nuova legge europea sulla privacy

Il Regolamento Europeo della Privacy introduce maggiori tutele per i consumatori ma altrettante nuove e importanti responsabilità per le imprese e le amministrazioni pubbliche. Per prepararci al cambiamento e capire farsi trovare pronti, ci viene in aiuto la guida dell’Autorità Garante che sviluppa punto per punto le nuove disposizioni che verranno introdotte.

1- L’informativa

Alla base del GDPR vi sono le nuove regole in materia di informativa e consenso: dovrà spiegare in maniera chiara, semplice e con un linguaggio di facile comprensione come saranno utilizzati i dati e per quanto tempo saranno conservati nelle banche dati. Per fare ciò si potrà fare uso anche di icone (che dovranno essere le stesse che vengono utilizzate in tutta Europa).

2 – Il Consenso

Punto cardine della normativa, il consenso al trattamento dei dati personali rimarrà preventivo ed inequivocabile come lo è oggi ma cambierà il metodo per esprimerlo: non varrà mai la regola del silenzio assenso, ma il consenso dovrà essere esplicito e non dovrà essere sottoposto all’interessato attraverso una serie di opzioni già selezionate. Nel caso in cui l’azienda in passato abbia raccolto il consenso dei propri clienti utilizzando un sistema di spunte precompilate, dovrà chiedere nuovamente ai clienti già “consenzienti” l’autorizzazione al trattamento dei dati utilizzando le modalità previste dal GDPR.

Il consumatore potrà revocare il proprio consenso in ogni momento e l’azienda sarà obbligata a cancellare tutti i dati raccolti. Ancora, il nuovo regolamento sulla privacy, prevede modifiche anche alle modalità di raccolta del consenso in caso di minori per la fruizione di servizi su internet e social media: per chi ha meno di 16 anni sarà necessario il consenso al trattamento dei genitori o di chi esercita la potestà genitoriale. In questo senso si stanno già muovendo i colossi come Whatsapp che ha annunciato che chi ha meno di 16 anni dovrà essere autorizzato dai genitori

3 – Portabilità dei dati

Questa novità interesserà di più gli utenti finali perchè consentirà di richiedere da parte del consumatore il trasferimento dei propri dati personali da un titolare del trattamento ad un altro (es provider di posta o compagnie telefoniche) senza perdere i contatti e i messaggi salvati, così come ad esempio, nel caso di cambio di gestore dell’energia. Questo comporta, oltre ad una maggiore tutela della privacy, anche ad una maggior libertà di scelta tra fornitori dei medesimi servizi.

4 – Diritto all’oblio

Regolamentato dall’articolo 17 del GDPR, viene introdotto un nuovo importante tema ovvero quello del “diritto all’oblio” o più semplicemente, alla possibilità da parte degli utenti di richiedere la cancellazione dei propri dati personali online (tipico l’esempio di richiesta cancellazione di un articolo online). Questa richiesta vale nel caso in cui questi siano trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento. Il diritto all’oblio tuttavia sarà escluso qualora si tratti di informazioni di interesse generale o necessari per finalità storiche, statistiche o scientifiche. A questo tema si collega anche un’ulteriore novità prevista dal GDPR: la conservazione dei dati dell’utente\cliente non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso. Pensiamo ad esempio ad un’azienda che si occupa di selezione del personale e che richiede il consenso al trattamento dei dati relativi ai curricula trasmessi: l’azienda in questione potrà conservare i dati raccolti per un periodo di tempo limitato e proporzionato all’attività di ricerca del personale nel medio e lungo termine.

Legge Europea sulla Privacy: il nuovo regolamento in vigore dal 25 maggio 2018.

Legge Europea sulla Privacy: il nuovo regolamento in vigore dal 25 maggio 2018.

5 – Violazione dei dati personali (o data breach)

Nel caso di data breach, ovvero di una violazioni di dati, il titolare ha l’obbligo di segnalare il fatto all’Autorità Garante entro le 72 ore dal momento in cui ne è a conoscenza, descrivendo la tipologia di violazione. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative. Potrà altrettanto decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza come un sistema di crittografia.

6 –  Il registro dei Trattamenti

Si tratta di un documento all’interno del quale bisognerà indicare le caratteristiche del titolare e del responsabile del trattamento: potrà essere utilizzato a fini di controllo e dovrà essere sempre a disposizione dell’ autorità di controllo o del Garante ogni qualvolta esso ne richieda l’ispezione ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere. Nonostante il registro debba essere obbligatoriamente conservato dalle aziende con più di 250 dipendenti, il suo possesso è necessario anche per aziende minori che effettuano regolarmente raccolta dati o che trattano dati di particolare rilevanza come quelli di natura penale o di reati.

7 – Il Data Protection Officer (DPO)

La normativa europea introduce una nuova figura, finora sconosciuta nel nostro ordinamento giuridico, il Data protection officer (DPO) o, all’italiana, il Responsabile della protezione dei dati (RPD). Il DPO è incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti: requisito fondamentale che il DPO deve possedere per garantire un servizio corretto ed efficace è la totale imparzialità nei confronti dei suoi collaboratori, non consentendo così favoritismi e fuga di informazioni. La figura del DPO è obbligatoria se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico, quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”, oppure quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (rectius, “categorie particolari di dati”) o “giudiziari” (rectius, “dati personali relativi a condanne penali e reati”).

8- Privacy By Design

Il GDPR trasforma in legge un concetto già diffuso, ma considerato solo una best practice. La protezione dei dati deve essere incorporata in prodotti e servizi a partire dalla fase di progettazione degli stessi, e non essere considerata in fasi successive come un elemento aggiuntivo a conclusione del progetto.

GDPR: multe e sanzioni per chi non rispetterà le regole

 

GDPR: multe e sanzioni per chi non rispetterà le regole

GDPR: multe e sanzioni per chi non rispetterà le regole

 

Il GDPR stabilisce rigorosi requisiti globali di privacy che regolano le modalità di trattamento e protezione dei dati personali delle persone fisiche, rispettando le scelte dei singoli individui rispetto ai propri dati, indipendentemente da dove i dati vengono inviati, trattati o archiviati.

Sarà importante quindi per tutte le aziende e coloro che raccolgono dati personali, adeguarsi entro il 25 Maggio alla nuova normativa, implementando una serie di misure per ridurre il rischio di violare il GDPR e consentire di dimostrare che si sta prendendo sul serio la governance sui dati. E’ altresì fondamentale che l’azienda comprenda l’importanza ed il valore che hanno le informazioni che possiede, soprattutto se relativi ai propri clienti, mettendo in atto un processo di adeguamento per mantenere la tutela e rispettare la privacy.

Ancora più delicata la questione se si pensa alle multe e sanzioni a cui si può incappare se non ci si adegua alla nuova informativa. Le sanzioni penali per chi viola il nuovo Regolamento sulla Privacy rimangono invariate mentre cambiano quelle pecuniarie amministrative tenendo ben presente le esigenze delle micro e piccole e medie imprese che operano nell’UE. Le sanzioni 2018 per chi viola il regolamento GDPR possono infatti arrivare fino a 20 milioni o, per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

 

Add a comment

*Please complete all fields correctly

Related Blogs

Posted by Marcella Bellio | 4 luglio 2018
Come aumentare la visibilità del tuo hotel online
Una vacanza in Puglia, un weekend a Parigi, una fuga dall’afa della città o un viaggio di lavoro. Sarà la voglia di relax o la timida ripresa economica, tuttavia i...
Video professionali di lunga durata su Instagram: arriva la IGTV
Posted by Linda Pasqualato | 22 giugno 2018
Video professionali di lunga durata su Instagram: arriva la IGTV
È  ufficiale! Gli utenti di Instagram possono pubblicare dei video professionali di lunga durata, con un limite massimo di 60 minuti. Questa applicazione, chiamata IGTV, è stata presentata lo scorso...
Posted by Linda Pasqualato | 12 giugno 2018
Netcomm Forum 2018: tra digital revolution e onlife consumer
Si è conclusa con grande successo la tredicesima edizione del Netcomm Forum 2018, evento chiave a livello nazionale in materia di e-commerce e retail digitale, tenutosi a Milano il 30...