GDPR: quali sono le novità introdotte dal regolamento?

  • GDPR

Il GDPR entrato in vigore il 25 Maggio 2018 è una normativa piuttosto complessa che introduce alcuni nuovi cocetti in materia di gestione della privacy .  Cosa si intende quando si parla di Dati Dersonali, Data Breach, DPO e Diritto all’Oblio? Di seguito troverete una breve guida agli aspetti più salienti del regolamento; leggendola riuscirete a formare uno sguardo complessivo sul GDPR e sulle novità che esso introduce.

Dati Personali

La normativa amplia la definizione di dato personale e sensibile. Con questo termine non si indicano più solamente i classici dati sensibili (indirizzo, telefono) ma anche gli identificativi online (email, IP, cookie).  Relativamente ai dati personali, nel regolamento vengono individuate 4 macro categorie: 

  • Dati personali: qualsiasi informazione che possa identificare la persona, incluso nome, cognome, caratteristiche fisiche e anche identificativi online;
  • Dati genetici: dati ottenuti tramite analisi di DNA o RNA da un campione biologico;
  • Dati biometrici: qualsiasi caratteristica fisica identificativa della persona
  • Dati sulla salute: qualsiasi dato relativo alla salute, fisica o mentale

Raccolta e Trattamento dei dati

Un’azienda che raccoglie dati, per poter essere considerata a norma deve osservare alcuni punti:

  • Permettere all’utente di fornire il proprio consenso in modo esplicito e tracciabile;
  • Predisporre un’informativa sul trattamento dei dati personali che sia trasparente, chiara e facilmente accessibile;
  • Garantire che i dati raccolti siano pertinenti, adeguati e limitati alle finalità per cui vengono richiesti e trattati.

Pertanto, al fine di trattare i dati personali, le società dovranno ricevere esplicito consenso degli utenti.

Bisogna inoltre garantire all’utente il diritto di revocare il proprio consenso in qualsiasi momento e di esprimere nuovamente il consenso esplicito in caso di modifica del trattamento dei dati., o di implemento con nuovi servizi o funzioni.

Ne consegue che, i dati potranno essere raccolti e utilizzati solo per gli scopi indicati esplicitamente nel consenso, e non più “per ogni altra iniziativa”.

Il regolamento introduce, relativamente al trattamento dei dati, il principio di responsabilizzazione per le aziende le quali devono garantire la massima sicurezza in tutte le fasi del trattamento (raccolta, elaborazione e conservazione).

Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali, con cui si è inteso dare la possibilità a qualsiasi utente di trasferire i dati da un titolare del trattamento a un altro. Il cittadino deve, infatti, poter ottenere facilmente una copia dei propri dati personali, in un formato leggibile e facilmente trasferibile.

Inoltre, è vietato il trasferimento di dati personali verso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela della privacy.

Accountability

Il Regolamento prescrive che il Titolare e il Responsabile del trattamento non debbano garantire solamente il rispetto delle regole fissate per il trattamento dei dati personali, ma dovranno adottare, e dimostrare di aver adottato, una serie di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali.

Secondo il principio di accountability, si richiede non solo il rispetto degli obblighi iniziali previsti nel Regolamento, ma anche una continua attività di controllo e verifica delle proprie attività di trattamento.

Data Breach

Il Regolamento dispone l’obbligo, per il titolare del trattamento, di comunicare eventuali violazioni di dati personali (data breach) all’ Autorità Garante e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.
 

È fondamentale, per le aziende adoperarsi per garantire il corretto funzionamento di questo meccanismo: il primo passo per ottemperare alla normativa è l’adozione del Registro dei trattamenti di dati personali.

Il titolare, poi, dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare i danni.

DPO

Tra i principali obblighi previsti dal nuovo regolamento europeo sulla privacy c’è quello di inserire all’interno dell’organigramma la figura del DPO, acronimo di Data Protection Officer il quale ha il compito di assicurare una gestione corretta dei dati personali.

Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

Importante è garantire l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati: non può essere istruito da nessuno riguardo alle sue attività. Inoltre il responsabile della protezione dati non può svolgere altre mansioni o compiti in conflitto di interessi con quelle proprie del DPO.

Diritto all'oblio

Con l’espressione “diritto all’oblio” , si fa riferimento ad una particolare forma di garanzia che prevede la non diffondibilità, senza particolari motivi, di precedenti pregiudizievoli per l’onore di una persona.

Di conseguenza, deve essere garantito all’interessato,il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali, qualora non siano più necessari per le finalità per le quali sono stati raccolti e trattati.

Con il nuovo GDPR si è introdotto, all’art.17, una norma apposita dedicata al “diritto alla cancellazione o diritto all’oblio”, nel quale viene stabilito che ogni interessato ha diritto ad ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.

Chiudi il menu
Chiama Ora