Normative Europee GDPR & Privacy

Sempre più spesso si parla delle nuove normative Europee EU 2016/679 in materia di privacy a tutela dei dati personali.

Le nuove Normative Europee introducono regole più chiare in materia di informativa e consenso, definiscono dei limiti al trattamento automatizzato dei dati personali e pongono le basi per l’esercizio di nuovi diritti, come ad esempio il diritto all’oblio. Stabiliscono inoltre criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).

Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una legge di recepimento nazionale grazie al cosiddetto «sportello unico» (one stop shop), che semplifica la gestione dei trattamenti e garantisce un approccio uniforme. Salvo casi specifici, le imprese stabilite in più Stati membri o che offrono prodotti e servizi in vari Paesi dell’Ue, per risolvere possibili problematiche sull’applicazione e il rispetto del Regolamento possono rivolgersi ad un solo interlocutore.

 

Vediamo alcuni cambiamenti e cosa invece è rimasto invariato:

"Consenso" - Cosa Cambia
  • Per i dati “sensibili” il consenso deve essere “esplicito” (art. 9); lo stesso per decisioni basate su trattamenti automatizzati (profilazione compresa – art. 22);
  • il titolare (art. 7.1) deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento;
  • Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale);

  

"Consenso" - Cosa Non Cambia
  • Deve essere, in tutti i casi, libero, specifico e inequivocabile; non è ammesso il consenso tacito o presunto (no a caselle pre-selezionate su un modulo);
  • Deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”;

  

"Informativa" - Cosa Cambia
  • il titolare deve sempre specificare i dati di contatto del RPD-DPO se esistente, la base giuridica del trattamento, nonché l'eventuale trasferimento di dati personali in Paesi terzi;
  • Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14), l’informativa deve essere fornita entro e non oltre un mese dalla raccolta;
  • L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (si veda art. 12, paragrafo 1);

  

"Informativa" - Cosa Non Cambia
  • L’informativa (art. 13 e 14 del regolamento) deve essere fornita all’interessato prima di effettuare la raccolta dei dati;

  

"Diritto di limitazione del trattamento (art. 18)" - Cosa Cambia
  • Si tratta di un diritto più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3 del Codice: è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento, bensì anche se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento;

 

Il Regolamento promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

Il principio chiave del nuovo regolamento è basato sul concetto della «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema e adottare comportamenti che consentano di prevenire possibili problematiche. Ad esempio, è previsto l’obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti delle persone.

 

“Sanzioni Amministrative”

Il presidente per l’autorità GDPR, Antonello Soro, afferma in un intervista del 21/05/2018 di italiaoggi che le sanzioni amministrative sono solo parte delle possibili “reazioni” all’illecito.

Alcune cifre riguardo le sanzioni:

  • fino a 20 milioni per i singoli;
  • fino al 4% del fatturato mondiale totale annuo per le imprese;

Scarica qui il regolamento ufficiale del parlamento europeo aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione Europea 127 del 23 maggio 2018.

 

Runscode ed un team di professionisti esperti in materia di privacy sono sempre disponibili.
Per qualsiasi informazione o adeguamenti non esitate a contattarci.