Nuovo regolamento generale sulla protezione dei dati personali

Professione | Nadia Martini | 14/03/2016 16:51

Le principali modifiche apportate dal RGPD

Cosa serve sapere

Dopo anni di trattative, il Consiglio Europeo, il Parlamento Europeo e la Commissione Europea, il 15 dicembre 2015, hanno raggiunto un accordo riguardo al testo di un nuovo Regolamento Generale sulla Protezione dei Dati (RGPD), la cui prima proposta risale al gennaio del 2012. E’ previsto che tale provvedimento venga formalmente approvato nella primavera di quest’anno. Il Regolamento sarà direttamente applicabile all’interno degli ordinamenti degli Stati Membri dell’Unione senza la necessità per ciascuno di essi di dover adottare provvedimenti interni necessari per il suo recepimento. Il RGPD, che sostituirà la direttiva 95/46/EC, mira a creare un unico quadro normativo per il trattamento dei dati, applicabile sia agli enti pubblici che agli enti privati di tutti gli stati membri dell’Unione ed è previsto che tutti dovranno adeguarsi entro il 2018.

Le principali modifiche apportate dal RGPD

I cambiamenti contenuti nel RGPD saranno i seguenti:

- Aumento dell’ambito di applicazione

Le nuove regole non saranno applicabili soltanto alle società che hanno sede in Europa, ma a tutte le società che offrono i loro beni e servizi nell’Unione Europea o effettuino attivita' di monitoraggio del comportamento degli interessati (cd. Targeting, profilazione). Pertanto, anche le società che hanno sede in stati terzi, come Google e Amazon, dovranno ottemperare al RGPD .

- One-stop-shop

Le società che operano in diversi stati dell’Unione Europea non saranno più sottoposte alla vigilanza delle Autorità di Vigilanza di tutti gli stati in cui operano (come avviene attualmente), ma saranno sottoposte soltanto all’Autorità di Vigilanza dello stato in cui hanno la propria sede legale. L’autorità competente sarà responsabile del coordinamento di tutti i procedimenti. Tale meccanismo, cosiddetto one-stop-shop, ha lo scopo di aiutare le imprese, nonché di agevolare il trasferimento transfrontaliero dei dati.

- Il Privacy Officer

I titolari del trattamento dei dati, la cui attività consiste nel monitoraggio regolare e sistematico sul larga scala di soggetti interessati al trattamento, o che trattano dati sensibili, o che sono enti pubblici, dovranno nominare un Privacy Officer.

- Consenso

Il RGPD prevede un approccio basato sul consenso, il che significa che di regola per il trattamento dei dati personali serve il consenso prestato in forma non ambigua da parte del interessato del trattamento. Per tale ragione la persona interessata del trattamento dei dati deve prestare in maniera espressa e libera il proprio consenso, a seguito di una adeguata informativa. Per il trattamento di particolari categorie di dati, quali sono i dati sensibili, il consenso dovrà essere prestato in maniera espressa. Quando gli interessati al trattamento sono persone di età inferiore ai 16 anni, il consenso dovrà essere prestato dal loro genitori. Gli stati membri possono ridurre fino a 13 anni l’età per cui è richiesto il consenso dei genitori.

Portabilita' dei dati e il diritto di essere dimenticati.

Il RGPD prevede il diritto degli interessati di trasferire i loro dati personali da un fornitore del servizio ad un altro.

Inoltre, postula il diritto ad essere dimenticati. In particolare gli interessati del trattamento dei dati hanno il diritto di chiedere ai titolari del trattamento dei dati  di cancellare i propri dati quando non sono più necessari in relazione allo scopo per cui furono raccolti e trattati o nei casi in cui gli interessati del trattamento abbiano  revocato il proprio consenso in relazione al trattamento.

- Privacy by design e by default

Attraverso l’utilizzo di appropriate misure tecniche ed organizzative (ad es. pseudoanonimizzazione) i titolari del trattamento devono garantire che i dati personali siano trattati soltanto nella misura necessaria per soddisfare uno scopo specifico; per impostazione predefinita i dati personali non dovrebbero essere raccolti o conservati  oltre il minimo necessario (minimizzazione dei dati). In molti casi le società dovranno adottare “valutazioni di impatto sulla protezione dati”.

- Responsabilità dei titolari del trattamento dati

In base al nuovo quadro normativo i titolari sono direttamente responsabili per le violazioni fatte da terzi. Pertanto devono dimostrare di adempiere alla normativa, adottando misure di sicurezza idonee, valutando i rischi, facendo una gap analysis, determinando le misure da adottare, nominando gli incaricati e il privacy officer e compiendo una valutazione d'impatto della protezione dei dati.

- Notificazioni non più necessarie

Mentre attualmente in alcuni Stati Membri, come in Italia, i responsabili del trattamento dei dati sono tenuti a registrare o notificare alle autorità nazionali di vigilanza le attività da loro svolte, con l’entrata in vigore del RGPD tale attività non sarà più necessaria. In ogni caso i titolari dovranno tenere un registro per annotare le attività da loro svolte.

- Notifica della violazione dei dati

In caso di violazione dei dati personali (“data breach”), ad es. da hacker o in caso di perdita, il titolare del trattamento è tenuto a informare l’autorità nazionale di vigilanza senza ritardo e quando è possibile entro 72 ore da quando è stata commessa la violazione.

- Sanzioni amministrative più alte.

Con il nuovo regolamento le sanzioni amministrative sono aumentate e non è previsto alcun limite fisso per quanto riguarda le sanzioni pecuniarie in caso di violazione dei dati personali. Le sanzioni possono raggiungere il 4% del fatturato annuo globale di una società in relazione ad ogni violazione. Pertanto in futuro potranno essere sanzionate milioni di società che dovessero rendersi responsabili della violazione dei dati personali.

Cosa fare ora

Anche se ci sono due anni per adeguarsi al regolamento, le società e gli enti dovrebbero iniziare a rivedere sin d'ora le loro politiche di elaborazione e tutela dei dati esistenti, nonché valutare l’impatto che il RGPD avrà sulla loro attività affidandosi agli esperti del settore. Il periodo transitorio di due anni dovrebbe essere utilizzato per la revisione e l’attuazione di nuove politiche e processi di protezione dei dati. Peraltro, gli Stati Membri hanno la possibilità di adottare disposizioni per specificare la portata di alcune disposizioni del nuovo regolamento, pertanto le società dovrebbero monitorare i nuovi sviluppi in relazione al RGPD.

“Contenuto a carattere medico o sanitario proveniente da una esperienza personale dell’utente”

I Correlati

I Correlati

Widget: 91798 (categoria) non supportato