GDPR

GDPR, regolamento UE 2016/679: cosa cambia nel trattamento dei dati personali

Il GDPR, General Data Protection Regulation, ovvero il regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, datato 27 aprile 2016 (applicabile dal 25 maggio 2018), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) segnerà una svolta epocale, rivoluzionando la modalità di raccolta, accesso, archiviazione e gestione dei dati personali, da parte di imprese, Enti Pubblici e Liberi Professionisti.

In base a quanto stabilito dall’Art. 2 del Regolamento UE 2016/679, lo stesso si applica al trattamento automatizzato dei dati personali, sia interamente o parzialmente, e a al trattamento non automatizzato dei dati personali contenuti in un archivio o destinati a figurarvi.

Il Regolamento non si applica ai trattamenti di dati personali:

  • effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
  • effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
  • effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
  • effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Con l’entrata in vigore del GDPR 2018, la gestione della privacy avrà un proprio processo, che andrà attentamente gestito in ogni sua fase. Il GDPR non sostituisce, ma integrerà l’attuale Codice della Privacy, abrogandolo solo nelle parti con esso incompatibili.

Nei prossimi mesi, le agenzie di recupero del credito, le società di informazioni commerciali e le agenzie investigative, e più in generale tutte le aziende (pubbliche e private) ed i professionisti che, nell’ambito della propria attività e/o professione, si occupano del trattamento di dati personali, dovranno adeguarsi a quanto sancito dal Regolamento UE 2016/679, emanato il 24 maggio 2016, ma in vigore, in tutti gli Stati membri della Comunità Europea, a partire dal 25 maggio 2018.

Sino ad ora, in materia di “protezione dei dati“, l’attenzione è stata focalizzata  principalmente alle persone fisiche, con l’entrata in vigore del GDPR le aziende ed i professionisti europei dovranno adeguarsi al corretto trattamento dei dati.

Con il nuovo Regolamento Europeo 679/16, viene mantenuto il criterio dello stabilimento, per cui la disciplina europea in materia di privacy dovrà essere osservata dall’impresa con stabilimento in Italia o in altro Paese dell’UE, ma si attribuisce rilievo anche al luogo in cui si trovano gli interessati, per cui anche una società con stabilimento all’estero sarà tenuta a rispettare il Regolamento UE, qualora il trattamento sia relativo ad offerta di beni o di servizi ad utenti che siano in Europa, oppure qualora il trattamento riguardi il monitoraggio del loro comportamento.

Con lo scopo di garantire la protezione dei dati, fin dalla fase d’ideazione e progettazione di un trattamento o di un sistema, ed adottare comportamenti che permettano di prevenire criticità, il regolamento UE 2016/679 promuove la responsabilizzazione dei titolari del trattamento e l’adozione di approcci e politiche preventive, mediante “Accountability”, che tengano conto del rischio che un determinato trattamento può comportare (Risk Based Approach) per i diritti e le libertà degli interessati. Nell’ipotesi di contitolarità del trattamento dei dati, è necessario determinare, tramite accordi interni, le rispettive responsabilità sul rispetto del Regolamento e con riguardo all’esercizio dei diritti dell’interessato.

Con il GDPR 2018 viene regolamentato anche il “diritto all’oblio”, consistente nella cancellazione dei dati personali, senza indugio alcuno, a fronte di determinate condizioni che rendano impossibile il proseguimento del trattamento.

Il GDPR introduce il diritto alla portabilità dei propri dati personali, per trasferirli da un titolare del trattamento ad un altro. Esemplificativamente, si potrà cambiare il provider di posta elettronica, senza perdere i contatti e i messaggi preventivamente salvati.

Il GDPR prevede inoltre l’introduzione di una nuova figura, il responsabile della protezione dei dati personali (Data Protection Officer – DPO), che dovrà:

  • informare il titolare dei dati sugli obblighi del nuovo Regolamento Europeo;
  • vigilare sull’attuazione delle politiche di trattamento dei dati personali;
  • verificare l’attuazione del Regolamento Europeo;
  • garantire la conservazione dei documenti oggetto di protezione;
  • controllare che il titolare dei dati effettui la valutazione d’impatto sulla protezione dati;
  • fare da collegamento tra il titolare e/o il responsabile, con il Garante Privacy;
  • controllare che il titolare dei dati segua le disposizioni del Garante della Privacy;
  • controllare che le eventuali violazioni siano documentate e comunicate.

La figura del Data Protection Officer sarà obbligatoria in tutti i casi in cui:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Nei casi in cui si verifichi distruzione, perdita, modifica e divulgazione (accidentale o illecita) dei dati, il GDPR stabilisce che vi è stata violazione di sicurezza sul trattamento dei dati personali.

In caso di violazioni, il titolare del trattamento dei dati deve:

  • notificare la violazione entro 72 ore, da che ne è venuto a conoscenza, alle Autorità di controllo;
  • segnalare all’interessato la violazione dei dati personali, senza indebito ritardo.

Con il nuovo regolamento (GDPR), in Italia l’obbligo viene esteso a tutti i titolari di dati, che se non si adeguano nei termini, rischiano sanzioni amministrative pecuniarie fino a € 20.000.000 o al 4% del fatturato globale dell’anno precedente, se superiore.

Per maggiori informazioni sul GDPR 2018, compila il modulo contatti che trovi cliccando qui oppure chiama ServiziAvvocatiAziende, partner di Servizisicuri.com al 3518543411.

Per scaricare il testo integrale del GDPR 2018 in pdf clicca qui

Condividi questo contenuto su:
Share