Creazione Siti Web Digital Gestione e-commerce
Trattamento dei dati: il nuovo regolamento europeo
Da maggio si fa riferimento ad una normativa unica per i 28 Stati dell’Unione Europea, che sostituisce le legislazioni nazionali e impone obblighi anche alle società extraeuropee che trattano dati di cittadini europei.
Angelo Antonio Annibaldis
Il 2016 è l’anno dell’entrata in vigore della nuova normativa europea in materia di tutela dei dati personali. Il nuovo Regolamento nasce da ben 4 anni di discussioni e consultazioni, derivati dalla necessità di sostituire la precedente normativa divenuta ormai obsoleta. Basti pensare che la direttiva in vigore fino a pochi mesi fa fu adottata quando Internet non era ancora così diffuso, le tecnologie erano notevolemente minori e i Social Network o le App ancora non esistevano.
Da maggio si fa quindi riferimento ad una normativa unica per i 28 Stati dell’Unione Europea, che sostituisce le legislazioni nazionali in merito e impone obblighi anche alle società extraeuropee che trattano dati di cittadini europei.
Ecco in sintesi i punti chiave:
1 – Si applica anche alle società extraeuropee
Mentre precedentemente si faceva riferimento alla legge del Paese in cui il titolare del trattamento aveva sede, la nuova normativa si applica a chiunque tratti dati di cittadini europei. Anche colossi come Google, Facebook e Twitter dovranno quindi sottostare al nuovo regolamento europeo per la privacy.
2 – Accountability e sistema a “scatole nere”
La normativa attribuisce responsabilità a tutti i soggetti che collaborano nella gestione delle informazioni (accountability), imponendo nuove regole organizzative alle aziende o alle organizzazioni.
Bisogna in sostanza essere sempre in grado di dimostrare dov’è stato raccolto il dato, come e quando. Le attività svolte dai vari soggetti che si occupano di trattamento dei dati dovranno essere sempre tracciate e documentate.
3 – Trasparenza e semplicità dell’informativa
Occorre semplificare al massimo il testo fornito all’utente nel momento in cui vengono raccolti i dati, eliminando riferimenti normativi e diciture poco comprensibili.
4 – Rendere il consenso consapevole
L’obiettivo è quello di rendere il consenso al trattamento dei dati non più una mera formalità, ma un’espressione inequivocabile e reale di consapevolezza. Il tutto avviene anche riducendo la burocrazia, ad esempio agevolando le modalità con cui ottenere l’accesso, la rettifica o la cancellazione dei dati.
5 – Analisi del rischio
La normativa prevede la redazione di un documento chiamato “Privacy Impact Assessment”, in italiano “Documento di valutazione d’impatto nel trattamento dei dati”. Si tratta di una valutazione del rischio collegato al trattamendo dai dati, con la definizione di misure da mettere in atto per prevenire o risolvere eventuali criticità. Sembrerebbero essere escluse da quest’obbligo le piccole e medie imprese.
6 – Niente più notificazione al Garante
Grazie al nuovo regolamento decade l’obbligo per le aziende di notificare preventivamente al Garante per la Privacy eventuali azioni di trattamento di dati personali. Tale vincolo viene compensato dal Privacy Impact Assessment e da un’adeguata rendicontazione del trattamento dei dati.
7 – Nasce il Data Protection Officer
Pubbliche amministrazioni, enti pubblici e imprese che trattano su larga scala dati sensibili dovranno nominare un Responsabile della protezione dei dati. Tale figura dovrà possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, informando titolari e dipendenti in merito agli obblighi derivanti dalle disposizioni europee e verificando che vengano correttamente applicate. Sarà inoltre la figura di riferimento in caso di necessità, interfacciandosi con gli interessati e con il Garante della Privacy.
8 – Privacy by design
Il concetto di Privacy by Design indica la previsione di misure a protezione dei dati già dal momento della progettazione. Secondo questo nuovo approccio user-centric, ogni progetto deve tenere in considerazione prima di tutto il ruolo dell’utente, in modo da garantire che tutte le operazioni vengano eseguite considerando adeguatamente la protezione dei dati personali.
9 – Obbligo di notifica di una violazione dei dati
Imprese e Pubbliche Amministrazioni avranno l’obbligo di comunicare agli utenti eventuali violazioni dei dati personali (data breach notification) entro le 72 ore. Attualmente tale regola riguarderebbe solo alcuni settori (telecomunicazioni, bancario e sanitario).
10 – Diritto all’oblio e alla portabilità
Il diritto all’oblio indica la possibilità di ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento se ricorrono alcune condizioni: se i dati sono trattati solo sulla base del consenso, se non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento.
Il diritto alla portabilità garantisce invece la libertà di trasferire i dati da un titolare del trattamento a un altro (ad esempio cambiare provider di posta elettronica senza perdere contatti e messaggi). Il tutto deve però avvenire tra Paesi situati nell’Unione Europea o organizzazioni internazionali che rispondono agli standard di adeguatezza in materia di tutela dei dati.
