Nuove regole europee per la privacy

Il Regolamento europeo generale sulla protezione dei dati, in vigore dal 25 maggio 2018, prevede nuovi diritti e regole per la gestione e il trattamento dei dati, assegna maggiori responsabilità al titolare del trattamento e inasprisce le sanzioni in caso di violazione della normativa.

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (G.U.U.E n. L 119, 4 maggio 2016)

http://www.garanteprivacy.it/regolamentoue

Il 25 maggio 2018 entra in vigore il Regolamento europeo 2016/679 in materia di protezione dei dati personali. Il Regolamento generale sulla protezione dei dati (GDPR – General Data Protection Regulation) è un provvedimento normativo applicabile in tutti i Paesi dell’Unione europea senza necessità di una legge di recepimento nazionale.

Per semplificare la gestione dei trattamenti dei dati e garantire un approccio uniforme, il Regolamento prevede lo sportello unico (one stop shop). Salvo casi specifici, le imprese stabilite in più Paesi UE o che offrono prodotti e servizi in vari Paesi UE, per risolvere possibili problematiche sull’applicazione e il rispetto del Regolamento possono rivolgersi a un unico interlocutore, rappresentato dall’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.

Il Regolamento introduce il principio della responsabilizzazione (accountability) dei titolari del trattamento, i quali devono effettuare e documentare un’analisi dei rischi e devono valutare le modalità di gestione più adatte a prevenirli.

La privacy viene considerata un processo aziendale (privacy by design); occorre garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche. Vi è l’obbligo di effettuare valutazioni di impatto prima di procedere a un trattamento di dati che presenti rischi elevati per i diritti delle persone, consultando l’Autorità di protezione dei dati in caso di dubbi.

Viene inoltre introdotta la figura del Responsabile della protezione dei dati (DPO – Data Protection Officer), una figura professionale che si aggiunge a quelle del titolare del trattamento e del responsabile del trattamento dei dati. Il DPO deve essere presente nelle imprese e negli enti che trattano i dati di un elevato numero di soggetti e trattano dati che presentano particolari rischi. La principale responsabilità del DPO è di osservare, valutare e organizzare la gestione e la protezione del trattamento di dati personali all’interno di un’azienda in maniera conforme alla normativa.

Il titolare del trattamento deve comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati. Se la violazione dei dati (per esempio, la condivisione non autorizzata dei dati) rappresenta una minaccia per i diritti e le libertà delle persone, il titolare del trattamento deve informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

Il Regolamento introduce due nuovi diritti per gli interessati al trattamento dei dati personali: il diritto all’oblio e il diritto alla portabilità. Il diritto all’oblio consente agli interessati di ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento (dati trattati solo sulla base del consenso, dati non più necessari per gli scopi rispetto ai quali sono stati raccolti, dati trattati illecitamente, opposizione legittima al trattamento dei dati da parte dell’interessato). Il diritto all’oblio può essere limitato solo in alcuni casi specifici, per esempio, quando si tratta di garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria.

Attraverso il diritto alla portabilità i dati personali possono essere trasferiti da un titolare del trattamento a un altro. Tale diritto non può essere esercitato quando si tratta di dati contenuti in archivi di interesse pubblico (anagrafi).

In caso di violazioni del Regolamento sono previste sanzioni amministrative pecuniarie, che nei casi più gravi hanno un limite massimo pari a 20.000.000 di euro o al 4% del fatturato complessivo totale annuo del gruppo aziendale.

Gruppo Mondadori | Copyright 2018 © Rizzoli Education S.p.A. - P.Iva 05877160159 | Privacy Policy - Cookie Policy