BLOG

gdpr

GDPR, il nuovo regolamento per la privacy

08 Mag 2018, by Luca Borsani in Area Finanziaria e aziendale, Area legale, Diritto civile, Diritto commerciale

GDPR, il nuovo regolamento della privacy

Il GDPR (General Data Protection Regulation) è il nuovo Regolamento Generale sulla Protezione dei dati, adottato dal Parlamento Europeo con regolamento UE 2016/679 il 24 maggio 2016. Esso troverà applicazione dal 25 maggio 2018, abrogando l’attuale disciplina in vigore.

I soggetti maggiormente interessati dalla normativa sono la PA, le PMI e tutte le aziende all’interno dei confini dell’unione europea che sono dotate di un sistema di elaborazione dei dati personali. La finalità dell’introduzione di questo sistema innovativo risiede nel prevenire la perdita e impedire la condivisione non autorizzata dei dati.

Le principali innovazioni rispetto alla precedente disciplina riguardano

  • accountability, ovvero la responsabilizzazione del titolare del trattamento
  • trattamento dei dati
  • introduzione di figure professionali
  • sanzioni

Accountability

In primo luogo le imprese dovranno adottare un sistema di gestione del trattamento che sia in grado, sin dall’introduzione dei dati, di tenere sotto controllo i rischi che il trattamento possa comportare per la tutela degli interessati.

Il GDPR affida al titolare del trattamento e, ove previsto, al responsabile del trattamento il dovere di porre in essere tutte le misure tecniche e organizzative idonee a garantire un livello di sicurezza e trasparenza adeguato al rischio (impatti negativi sulle libertà e i diritti degli interessati), compreso l’organizzazione di corsi di formazione per il personale che venga in contatto con i dati.

La figura del titolare del trattamento diventa cruciale, in quanto è colui che comunica con l’interessato e con il Garante per la protezione dei dati personali. Egli provvede al mantenimento del registro delle attività di trattamento (non obbligatorio fino a 250 dipendenti) e procede inoltre alla nomina del responsabile dei dati (DPO).

DPO è una figura professionale, introdotta dal GDPR, con il compito osservare, valutare e organizzare la gestione del trattamento dei dati personali all’interno di un’azienda. La designazione di tale soggetto è obbligatoria per gli enti pubblici e per le aziende private nel caso di trattamento effettuato su larga scala (es. marketing) e sistematici, comandato da una Pubblica Autorità, o che riguardino alcune categorie di dati sensibili. Nel caso di violazione del trattamento dei dati, il DPO ha l’obbligo di notificare la notizia al Autorità di controllo entro 72 ore (Segnalazione Data Breach) e, qualora vi fosse un rischio elevato per i diritti e le libertà delle persone, allertare l’interessato della violazione.

gdpr2Trattamento dei dati

Il GDPR prevede che la richiesta di consenso debba essere “intellegibile e facilmente accessibile” e dovrà contenere, oltre alle informative di cui all’art. 13 paragrafo 1 e 14 paragrafo 1 del GDPR, in maniera esplicita:

  1. dichiarazione sull’uso che il titolare intende fare
  2. periodo di conservazione
  3. intenzione di trasferirli ad un paese terzo e strumenti di diffusione
  4. Dati di contatto del DPO
  5. base giuridica del trattamento e l’interesse legittimo
  6. diritto di presentare reclamo all’Autorità di controllo

Non è necessaria la forma scritta per la prestazione del consenso, ma il titolare deve essere in grado di provare in qualsiasi momento l’avvenuto consenso al trattamento.

Per quanto riguarda i minori, il regolamento stabilisce che per coloro che abbiano un’età inferiore ai 16 anni, il consenso è prestato validamente dai genitori o dal responsabile di essi. In tutti gli altri casi si prevede che l’informativa sul trattamento dei dati sia ancora più chiara e leggibile.

L’utente avrà in ogni momento la possibilità di richiedere informazioni sul trattamento dei dati (principio di trasparenza), limitare o revocare il consenso e richiedere la cancellazione dei dati stessi. In caso di esercizio del diritto all’oblio, il responsabile del trattamento ha l’obbligo di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati.

Le sanzioni

Il GDPR prevede delle aspre sanzioni per tutti coloro che alla data del 25 maggio 2018 non si siano adeguati alla normativa in esso contenuta.

L’articolo 83 del GDPR prevede che la violazione delle disposizioni del Regolamento UE possa comportare l’applicazione di sanzioni amministrative pecuniarie fino a 10 o 20 milioni di euro a seconda dei casi, o pari rispettivamente al 2% o al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Sulla scorta di criteri valutativi indicati dal regolamento, le Autorità legittimate ad emettere la sanzione avranno l’opportunità inoltre di sostituire la sanzione pecuniaria con un ammonimento nei casi di violazioni minori, o qualora la sanzione pecuniaria dovesse costituire un onere sproporzionato.

Articolo redatto con la collaborazione della Dott.ssa Chiara Servidio

 

 

 

GDPR, il nuovo regolamento per la privacy

by Luca Borsani time to read: 3 min
0