Trattamento dei dati personali, in arrivo il nuovo regolamento europeo. Il parere dell'esperto
Il Gdpr entrerà in vigore già il prossimo 25 maggio. Si tratta di una normativa, approvata nel 2016, che si preannuncia rivoluzionaria
Diverrà operativo il prossimo 25 maggio il Gdpr, il nuovo regolamento europeo che regola il trattamento dei dati personali. A fornire maggiori delucidazioni è l'avvocato Iconio Massara che prova a soffermarsi su alcuni dubbi che la nuova normativa ha suscitato nelle aziende che devono affrontare questa complessa e delicata tematica.
Innanzitutto, che cos’è il GDPR e quando entra in vigore?
Il Gdpr è la nuova normativa che regolamenta il trattamento dei dati personali semplificando e unificando le modalità tra i vari paesi dell’Unione Europea
Il Regolamento è stato approvato dall’Unione Europea nel 2016 e diviene pienamente operativo il 25 maggio 2018.
Quali sono le differenze con il Decreto Legislativo 196/2003, attualmente in vigore?
Il GDPR è una normativa che rivoluziona l’approccio al trattamento dei dati personali. La normativa attualmente in vigore è nata nel periodo in cui internet era agli inizi e non si percepivano ancora i rischi connessi con la nuova tecnologia. Oggi i dati sono diventati un patrimonio economico che è alla base di una serie di attività quali per esempio l’Internet of things, il marketing comportamentale, ecc.
Quali sono le novità per ottenere il consenso da parte dell’interessato?
In Italia, in base alla normativa vigente, il consenso deve essere espresso tramite dichiarazione dell’interessato di accordo all’utilizzo dei propri dati. Non basta il silenzio-assenso. Il nuovo Regolamento prevede che il consenso sarà valido se manifestato attraverso “dichiarazione o azione positiva inequivocabile”. Non deve quindi essere esplicitato con la firma di un modulo, ma vale se deriva da un’azione positiva dell’interessato. Per i dati “sensibili” il consenso deve essere esplicito.
Restano comunque valide le forme di consenso attualmente in vigore.
È necessario un consenso specifico se i dati vengono analizzati con strumenti informatici e la loro elaborazione viene sottoposta alla valutazione preventiva di una persona?
In questo caso il Regolamento prevede un’informativa chiara e un consenso specifico che deve essere espresso.
È possibile che esistano dei “contitolari” dei dati?
Il Regolamento prevede questa tipologia di titolari. All’art. 26 prescrive che quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento essi sono contitolari del trattamento stesso. In questo caso determinano, in modo trasparente, con un accordo interno, le rispettive responsabilità.
Le associazioni senza scopo di lucro possono raccogliere dati senza rilasciare informativa?
Le associazioni senza fini di lucro sono tenute a rilasciare l’informativa per consentire all’interessato di esercitare i propri diritti.
Cosa prevede il Regolamento in riferimento all’informativa?
I contenuti dell’informativa sono elencati in modo tassativo dal Regolamento. Essa deve essere concisa, trasparente, intellegibile per l’interessato e facilmente accessibile.
Quali sono le misure di sicurezza da utilizzare per i dati sensibili?
Il Regolamento all’art. 32 prevede che, in considerazione della natura, oggetto, finalità del trattamento nonché del rischio per i diritti e le libertà delle persone fisiche, occorre garantire un adeguato livello di sicurezza; le misure di sicurezza, comprendono: la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Come bisogna gestire i dati raccolti secondo l’attuale normativa?
E’ necessario procedere ad una analisi per valutare le modalità di raccolta che sono state utilizzate. E’ necessario, alla data del 25 maggio 2018, verificare e definire un programma di raccolta aggiornata al Regolamento.
Qual è il periodo di conservazione dei dati?
I criteri per determinare i tempi di conservazione dei dati sono definiti dal titolare del trattamento.
Che cos’è il “diritto all’oblio” di cui si parla nel Regolamento?
E’ il diritto, da parte dell’interessato, alla cancellazione dei propri dati personali. Vi è l’obbligo da parte del titolare di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati.
Chi è il Dpo?
Il Data Protection Officer (in breve, DPO), Responsabile della protezione dei dati, è una figura introdotta dal GDPR che ha il compito di attuare “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto.
Qual è il regime sanzionatorio previsto dal Regolamento a carico delle aziende?
Il Regolamento stabilisce il criterio per determinare la soglia massima delle sanzioni. Tale limite è fissato dall’autorità nazionale (in Italia, il Garante per la protezione dei dati), in base ai seguenti criteri: in caso di azienda singola la sanzione massima arriva a 20 milioni di euro. In caso di azienda facente parte di un gruppo, la sanzione viene calcolata in base percentuale sul fatturato dell’intero gruppo fino al 4% del fatturato mondiale
La sanzione minima viene stabilita dai singoli Stati.
Quali sono gli organi di controllo e verifica?
Le autorità competenti sono i Garanti istituiti all’interno di ogni singolo Stato (in Italia il Garante