Il prossimo 25 maggio scatterà l’applicazione delle disposizioni del Regolamento (UE) n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.Il nuovo provvedimento, denominato "GDPR" (General Data Protection Regulation), è finalizzato a rafforzare la normativa europea in materia di privacy, introducendo maggiori tutele per i consumatori e maggiori responsabilità per le imprese.Di seguito, in vista della prossima scadenza, si richiamano alcune delle principali novità del nuovo regolamento.
InformativaIl nuovo regolamento stabilisce nuove regole in materia di informativa destinata agli interessati; in particolare, l’informativa dovrà essere chiara e di facile comprensione, e potrà essere predisposta anche ricorrendo ad apposite icone, che tuttavia dovranno essere le stesse in tutta l’Unione Europea.
ConsensoIl consenso al trattamento dei dati personali dovrà essere preventivo e inequivocabile, così come previsto già oggi. Quel che cambia è la modalità per esprimerlo: non varrà mai la regola del chi tace acconsente, il consenso dovrà essere esplicito e mai acquisito ponendo all’interessato una serie di opzioni già selezionate.Se l’impresa, negli anni precedenti, ha raccolto il consenso dei propri clienti utilizzando un sistema di caselle precompilate, dovrà chiedere ai clienti già "consenzienti" l’autorizzazione al trattamento dei dati utilizzando le nuove modalità previste dal GDPR.Il consumatore potrà revocare il proprio consenso in ogni momento e l’azienda sarà obbligata a cancellare tutti i dati raccolti.Inoltre, il nuovo regolamento sulla privacy, prevede modifiche anche alle modalità di raccolta del consenso in caso di minori per la fruizione di servizi su internet e social media: per chi ha meno di 16 anni sarà necessario il consenso al trattamento dei genitori o di chi esercita la potestà genitoriale.
Portabilità dei datiUna novità, questa, che interesserà soprattutto i consumatori, che potranno richiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro.
Diritto all’oblio e conservazione limitataIn merito al diritto all’oblio, il consumatore potrà richiedere la cancellazione dei propri dati personali online nei casi in cui i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento.Il diritto all’oblio tuttavia sarà escluso qualora si tratti di informazioni di interesse generale o necessari per finalità storiche, statistiche o scientifiche.Al diritto all’oblio si collega anche un’ulteriore novità prevista dal GDPR: la conservazione dei dati dell’utente/cliente non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso.
Violazione dei dati personaliIn caso di data breach il titolare del trattamento dei dati è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.
Responsabile della protezione dei datiIl nuovo regolamento introduce, per alcune categorie di soggetti, l’obbligo di designazione di un Responsabile della protezione dei dati (RPD), anche denominato Data Protection Officer (DPO).Tale figura, che dovrà essere in possesso di specifici requisiti, sarà chiamato a svolgere una serie di compiti, tra cui supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.
Tenuta del registro dei trattamentiIl nuovo regolamento sulla privacy introduce l’obbligo di tenuta del registro dei trattamenti. Si tratta di un documento all’interno del quale occorrerà indicare le caratteristiche del titolare del trattamento e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto all’impresa come strumento di valutazione delle attività poste in essere.L’obbligo di tenuta del registro riguarda tutti i titolari e responsabili del trattamento dei dati personali, ad esclusione delle PMI con meno di 250 dipendenti.L’obbligo, tuttavia, si estende anche alle piccole e medie imprese qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o riguardi particolari tipologie di dati.