SPECIALE GDPR – Ecco le novità del Regolamento europeo sulla privacy

SPECIALE GDPR – Ecco le novità del Regolamento europeo sulla privacy

GENERAL DATA PROTECTION REGULATION -GDPR

♦ QUANDO: Approvato dal parlamento europeo il 14 Aprile 2016, entra in vigore il 25 Maggio 2018

♦ PERCHÉ: Il GDPR sostituirà la Direttiva sulla Protezione dei Dati 95/46/EC, al fine di armonizzare le leggi sulla privacy dei dati in Europa, proteggere meglio la privacy dei dati dei cittadini e riformare il modo in cui le organizzazioni europee si approcciano al tema.

♦ COSA: Il GDPR offrirà una migliore protezione dei “personal data”, ovvero qualsiasi informazione relativa a una persona o a un “data subject”, che può essere usato per identificare, in maniera diretta o indiretta una persona. Tali dati possono essere qualsiasi cosa, partendo da un nome, una foto, un indirizzo mail, dati bancari, post sui social network, informazioni mediche o indirizzi IP del computer.

♦ PRINCIPALI CAMBIAMENTI RISPETTO ALLA DIRETTIVA 95/46/EC:

1. Estensione della giurisdizione: La GDPR si applicherà a tutte le compagnie che trattano i dati personali di persone residenti nell’UE, indipendentemente dal luogo in cui ha sede la compagnia. La GDPR infatti si applicherà anche qualora il trattamento di dati personali di soggetti europei avvenga fuori dall’Europa, nel caso di attività legate all’offerta di beni e servizi ai cittadini europei (indipendentemente dal fatto che sia richiesto un pagamento), e al monitoraggio del comportamento che ha luogo in UE. Aziende non europee che trattano i dati dei cittadini europei dovranno pertanto nominare un rappresentante in Europa.

2. Penalità: Le organizzazioni che violeranno la GDPR potranno essere multate fino al 4% del fatturato globale annuo, o fino a 20 milioni di euro nel caso in cui sia di più. Questa è la multa massima che potrà essere imposta per le violazioni più gravi (per esempio, il fatto di non avere sufficiente consenso da parte dei clienti nel trattamento dei dati). È importante notare che queste regole si applicano sia ai titolari che agli incaricati.

3. Consenso: Le condizioni per il consenso sono state rafforzate, e le compagnie non saranno più in grado di utilizzare termini incomprensibili e condizioni piene di “legalese”. La richiesta di consenso per il trattamento di dati personali dovrà essere effettuata in forma chiara e accessibile a tutti i clienti.

4. Notifica di violazione: Sotto la GDPR, le notifiche di violazione diventeranno vincolanti in tutti gli stati membri nei casi in cui una violazione dei dati è probabile che “diventi un rischio per i diritti e le libertà degli individui”. La notifica dovrà essere fatta entro 72 ore, a partire dal momento in cui si è venuti a conoscenza della violazione.

5. Diritto di accesso: È stato inserito nella GDPR il diritto per i soggetti di ottenere la conferma da parte degli incaricati aziendali sul se i loro dati verranno trattati o no, quando e a quale scopo. Inoltre, gli incaricati dovranno fornire una copia dei dati personali, gratuita, in formato elettronico.

6. Diritto all’oblio: Tale diritto garantisce ai soggetti la possibilità che i loro dati vengano eliminati, cessando un’ulteriore disseminazione dei dati e impedendo il potenziale utilizzo dei dati da parte di persone terze.

7. Diritto alla portabilità dei dati: Tale diritto garantisce al soggetto di ricevere i dati personali che lo riguardano, i quali sono stati prima organizzati in un “commonly use and machine readable format”, e offre poi la possibilità di trasmetterli ad un altro incaricato.

8. Privacy by design: Il principio della “privacy fin dalla progettazione” implica che la protezione dei dati sia parte del progetto del sistema e non venga aggiunta solamente in fase successiva. Inoltre, secondo questo principio, le aziende si impegnano a trattare solamente i dati assolutamente necessari (data minimisation), al processo e a limitare l’accesso ai dati a coloro che agiscono all’esterno di tale processo.

9. Responsabili della protezione dei dati: Attualmente, i controllori sono tenuti a notificare le loro attività di elaborazione dei dati con DPA locali, e questo è spesso un incubo burocratico per le multinazionali, dato che la maggior parte degli Stati membri ha requisiti di notifica diversi. Con il GDPR, non sarà necessario presentare notifiche a ciascun DPA locale delle attività di elaborazione dei dati, né sarà richiesto di notificare i trasferimenti in base alle Clausole contrattuali tipo (MCC).Al contrario, ci saranno requisiti interni per la tenuta dei registri, e l’incarico del DPO (Data Protection Officer) sarà obbligatorio solo per quei responsabili del trattamento e processori le cui attività principali consistono in operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, o di speciali categorie di dati o dati relativi a condanne penali e reati. È importante sottolineare che il DPO:

  • Deve essere nominato sulla base delle qualità professionali e, in particolare, delle conoscenze specialistiche in materia di diritto e pratiche di protezione dei dati
  • Può essere un membro dello staff o un fornitore di servizi esterno
  • I dettagli di contatto devono essere forniti al DPA pertinente
  • Devono essere fornite risorse adeguate per svolgere i loro compiti e mantenere le loro conoscenze specialistiche


Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi