GDPR, cos’è? Il Regolamento generale sulla protezione dei dati
Mancano pochi mesi all'entrata in vigore del GDPR (General Data Protection Regulation - Regolamento UE n° 679/2016), il nuovo regolamento generale sulla protezione dei dati che entrerà in vigore a partire dal 25 maggio 2018. Nei giorni scorsi è infatti stato approvato in via preliminare lo schema di decreto legislativo volto ad allineare il quadro normativo nazionale alle disposizioni dell'Unione Europea. Il prossimo passaggio è quello dell'invio del testo alle Commissioni parlamentari e al Garante della privacy, per acquisirne i rispettivi pareri, indispensabili per la definitiva approvazione.
Tra le principali novità introdotte dalla normativa, il rafforzamento delle misure tecniche e organizzative per garantire la massima sicurezza dei dati, riducendo così il rischio di furto o dispersione accidentale.
GDPR che cos’è?
L'obiettivo del GDPR è proteggere la privacy di tutti i cittadini dell'UE dalle violazioni dei dati in un mondo sempre più incentrato sui dati, molto diverso da quando fu emanata la direttiva del 1995. Sebbene i principi chiave della privacy dei dati siano ancora fedeli alla direttiva precedente, sono state proposte molte modifiche alle politiche di regolamentazione; di seguito sono riportati i punti chiave del GDPR e le informazioni sull’impatto che avrà sul business.
Aumento dell'ambito territoriale (applicabilità extraterritoriale)
Probabilmente il più grande cambiamento nel panorama normativo della privacy dei dati viene fornito con l'estesa giurisdizione del GDPR, in quanto si applica a tutte le società che trattano i dati personali degli interessati residenti nell'Unione, indipendentemente dalla sede della società. In precedenza, l'applicabilità territoriale della direttiva era ambigua e si riferiva al processo dei dati "nel contesto di un’establishment". Questo argomento è emerso in una serie di casi giudiziari di alto profilo. Il GPDR rende la sua applicabilità molto chiara - si applicherà al trattamento dei dati personali da parte dei responsabili del trattamento e dai processors (coloro che hanno il controllo completo dei dati) nell'UE, indipendentemente dal fatto che l'elaborazione avvenga nell'UE o meno. Il GDPR si applicherà anche al trattamento dei dati personali delle persone interessate nell'UE da un responsabile del trattamento o un incaricato del trattamento non stabilito nell'UE, dove le attività riguardano: offrire beni o servizi ai cittadini dell'UE (indipendentemente dal fatto che il pagamento sia richiesto) e il monitoraggio dei comportamenti che si svolgono all'interno dell'UE. Anche le imprese non UE che trattano i dati dei cittadini dell'UE dovranno nominare un rappresentante nell'UE.
GDPR Privacy 2018 - Le sanzioni
In base alle organizzazioni GDPR in violazione del GDPR, possono essere applicate sanzioni fino al 4% del fatturato globale annuale o 20 milioni di euro (a seconda di quale sia maggiore). Questa è la sanzione massima che può essere imposta per le violazioni più gravi, ad esempio non avendo il consenso del cliente sufficiente per elaborare i dati o violare il nucleo della privacy in base ai concetti di design. Esiste un approccio a più livelli per le ammende, ad es. una società può essere multata al 2% per non aver ordinato i propri registri (articolo 28), non notificando all'autorità di vigilanza e alla persona interessata una violazione o non effettuando la valutazione dell'impatto. È importante notare che queste regole si applicano sia ai controller che ai processors, il che significa che il "cloud" non sarà esente dall'applicazione di GDPR.
Consenso all’utilizzo dei dati personali
Le condizioni per il consenso sono state rafforzate e le aziende non saranno più in grado di utilizzare termini e condizioni lunghe, illeggibili, pieni di terminologia legale, dal momento che la richiesta di consenso deve essere fornita in forma intelligibile e facilmente accessibile, allo scopo di elaborare i dati annessi a quel consenso. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e comprensibile. Deve essere altrettanto facile ritirare il consenso, oltre che ad acconsentire a darlo.
Diritti sull'oggetto dei dati
Notifica di violazione
Ai sensi del GDPR, la notifica di violazione diventerà obbligatoria in tutti gli Stati membri in cui una violazione dei dati può "comportare un rischio per i diritti e le libertà delle persone". Questo deve essere fatto entro 72 ore dalla prima conoscenza della violazione. I processors di dati saranno inoltre tenuti a notificare ai propri clienti, ai responsabili del trattamento, "senza indebito ritardo" dopo aver preso conoscenza di una violazione dei dati.
Diritto di accesso ai propri dati
Parte dei diritti ampliati delle persone interessate dal GDPR è il diritto per gli interessati di ottenere dal titolare del trattamento la conferma dell'esistenza o meno di dati personali che li riguardano, dove e per quale scopo. Inoltre, il responsabile del trattamento fornisce una copia dei dati personali, a titolo gratuito, in formato elettronico. Questo cambiamento è un cambiamento radicale nella trasparenza dei dati e nella responsabilizzazione degli interessati.
Diritto ad essere “dimenticato” - (diritto all’oblio)
Conosciuto anche come “diritto all'oblio”, ovvero la cancellazione dei dati autorizza l'interessato a far sì che il responsabile del trattamento cancelli i suoi dati personali, cessare l'ulteriore diffusione dei dati e potenzialmente impedire a terzi di elaborare i dati. Le condizioni per la cancellazione, come delineate nell'articolo 17, includono i dati non più pertinenti ai fini originali per il trattamento, o un soggetto che ritira il consenso. Va anche notato che questo diritto richiede ai responsabili del trattamento di confrontare i diritti dei soggetti con "l'interesse pubblico nella disponibilità dei dati" quando prendono in considerazione tali richieste.
Portabilità dei dati
GDPR introduce la portabilità dei dati - il diritto per un soggetto di ricevere i dati personali che li riguardano, che hanno precedentemente fornito in un "formato comunemente utilizzato e leggibile dalla macchina" e hanno il diritto di trasmettere tali dati a un altro controllore.
Privacy by Design
La privacy by design come concetto esiste da anni, ma sta diventando parte di un requisito legale con il GDPR. Alla base, privacy by design richiede l'inclusione della protezione dei dati fin dall'inizio della progettazione dei sistemi, piuttosto che all'aggiunta. Più in particolare: "Il responsabile del trattamento deve attuare adeguate misure tecniche e organizzative “in modo efficace” al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati". L'articolo 23 prevede che i responsabili del trattamento conservino ed elaborino solo i dati assolutamente necessari per l'adempimento dei propri compiti (riduzione dei dati), nonché la limitazione dell'accesso ai dati personali a coloro che devono espletare l'elaborazione.
Responsabili della protezione dei dati (Data Protection Officers)
Attualmente, i controllori sono tenuti a notificare le loro attività di elaborazione dei dati alle Data Protection Authority (DPA) locali, che per le multinazionali, possono essere un incubo burocratico con la maggior parte degli Stati membri a causa di requisiti di notifica diversificati. Ai sensi del GDPR, non sarà necessario presentare notifiche / registrazioni a ciascun DPA locale delle attività di elaborazione dei dati, né sarà richiesto di notificare / ottenere l'approvazione per i trasferimenti in base alle Tipologie di Clausole Contrattuali (Model Contract Clauses). Invece, ci saranno requisiti interni per la tenuta dei registri, come spiegato di seguito, e l'incarico dei DPO sarà obbligatorio solo per quei responsabili del trattamento e processors le cui attività principali consistono in operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala o di speciali categorie di dati o dati relativi ai reati e alle condanne penali.
È importante sottolineare che il DPO:
- Deve essere nominato sulla base delle qualità professionali e, in particolare, delle conoscenze specialistiche in materia di diritto e pratiche di protezione dei dati;
- Può essere un membro dello staff o un fornitore di servizi esterno;
- I dettagli di contatto devono essere forniti alla DPA pertinente;
- Devono essere fornite risorse adeguate per svolgere i loro compiti e mantenere le loro conoscenze specialistiche;
- Deve riferire direttamente al più alto livello di gestione;
- Non deve svolgere altre attività che potrebbero provocare un conflitto di interessi.
by
Redazione Business School
