ll Regolamento Europeo 2016/679 in materia di protezione dei dati personali sarà pienamente efficace a aprtire dal 25 maggio 2018 non riguarda solo gli Enti e le aziende ma tutti i cittadini e utenti, in diversi aspetti che coinvolgono la gestione dei dati e delle informazioni.
Il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).
Gli interessati dovranno sapere se i loro dati sono trasmessi al di fuori dell’Ue e con quali garanzie; cosi come dovranno sapere che hanno il diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto.
Riguardo al Diritto all’oblio su Internet ( mentre al momento esiste solo il diritto alla cancellazione dei propri dati) dal 25 maggio 2018 si potrà chiedere di non comparire più nei motori di ricerca, ossia dovrà scomparire anche la tracciabilità storica individuale sul web. Gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento: se i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento. A questo diritto si accompagna l’obbligo, per il titolare del trattamento che ha pubblicato i dati, di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile. Il diritto all’oblio potrà essere limitato solo in alcuni casi specifici: per esempio, per garantire l’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria, per tutelare un interesse generale ( la salute pubblica), oppure quando i dati, resi anonimi, siano necessari per la ricerca storica o per finalità statistiche o scientifiche.
Gli interessati dovranno sapere se i loro dati sono trasmessi al di fuori dell’Ue e con quali garanzie e dovranno anche sapere che hanno il diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto.
In ogni informativa sulla privacy dovrà essere specificato il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento dello stesso diventerà illegittimo (Principio di Data Retention).
Ogni tipologia di trattamento di dati sensibili dovrà prevedere il consenso specifico ed espresso per ogni informazione richiesta (marketing, profilazione, geolocalizzazione, ecc.) in quanto le decisioni che producono effetti giuridici (come la concessione di un prestito) non potranno essere basate esclusivamente sul trattamento automatizzato dei dati (ad esempio, la profilazione). Faranno eccezione i casi in cui l’interessato abbia rilasciato un consenso esplicito al trattamento automatizzato dei suoi dati, oppure questo tipo di trattamento risulti strettamente necessario per la definizione di un contratto o avvenga in base a specifici obblighi di legge. In ogni caso, sono previste garanzie per gli interessati, come il diritto di opporsi alla decisione adottata sulla base di un trattamento automatizzato o il diritto di ottenere anche l’intervento umano rispetto alla decisione stessa. Se il trattamento è finalizzato ad attività di marketing diretto, l’interessato ha sempre il diritto di opporsi alla profilazione.
Sarà onere del possessore dei dati sensibili dimostrare di aver avuto un atteggiamento proattivo nella salvaguardia del dato personale dell’utente (Principio di accountability).
Il consumatore potrà richiedere a qualsiasi ente, azienda o pubblico servizio i dati personali di cui è in possesso e l’interpellato sarà obbligato alla risposta.
Il Regolamento introduce anche il diritto alla «portabilità» dei propri dati personali per trasferirli da un titolare del trattamento ad un altro. Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. Ci saranno però alcune eccezioni che non consentono l'esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.
Il nuovo Regolamento 679/2016 si propone di assicurare un “livello coerente ed elevato di protezione delle persone fisiche e di rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione perchè il livello di protezione dei diritti e delle libertà delle persone fisiche, con riguardo al trattamento di tali dati, dovrebbe essere equivalente in tutti gli Stati membri”.
La protezione prevista dal Regolamento UE, a differenza dell’e-privacy che si applicherà anche alle persone giuridiche, si applica infatti esclusivamente alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. “La nuova normativa sulla privacy non riguarderà solo gli Enti e le grandi aziende ma anche piccole aziende se trattano dati particolari (per esempio, i dati su malattie o allergie richiesti da alcune aziende per la vendita di prodotti o servizi dovranno essere forniti dall’interessato con firma di autorizzazione al trattamento e conservati in sicurezza)
Le aziende avrannno l'obbligo di nominare un Responsabile della Protezione dei Dati (Data Protection Officer – DPO) che dovrà vigilare sull’applicazione della normativa e dovrà nello specifico:
1. possedere un'adeguata conoscenza della normativa e della prassi di gestione dei dati personali
2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse
3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti
Le aziende che Dovranno designare obbligatoriamente un Responsabile della protezione dei dati sono:
a) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie
b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati
c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Il Responsabile della protezione dei dati avrà il compito di
a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati
b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi
c) fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti
d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti; e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
L'Ufficio Legale di AECI assiste i soci per la per la consulenza in materia di privacy e protezione dati e nella tutela dei diritti in sede penale, civile e amministrativa
ISCRIVITI ON LINE PER RICEVERE CONSULENZA PERSONALIZZATA
o telefona al numero 055 9362294