010 9135373 info@puntoprivacy.it

Come cambia la Privacy con il nuovo Regolamento Europeo GDPR

In sintesi i cambiamenti del nuovo Regolamento europeo sono sei:

 

1.L’ambito territoriale: Il GDPR riguarderà tutte le società che operano in Europa anche se hanno sede stabile fuori dall’Europa.

2.Il principio di Accountability: il Titolare del Trattamento diventa in tutto e per tutto il principale responsabile del trattamento dei dati all’interno della sua azienda. Il Titolare è colui che, dopo aver effettuato una Valutazione del Rischi che possono correre i dati durante il trattamento aziendale, definisce le misure adeguate dal punto di vista tecnologico e organizzativo. Ciò comporta che ogni azienda debba avere procedure tagliate su misura. Il Titolare inoltre dovrà obbligatoriamente formarsi e assicurarsi che le persone da lui autorizzate abbiano padronanza delle soluzioni adottate dall’azienda.

3.L’ottenimento del consenso: il consenso al trattamento dei propri dati deve essere fatto in modo esplicito, ma non necessariamente per iscritto in quanto l’onere della prova spetta al Titolare del Trattamento. Ecco perché quando stipuliamo un contratto con un call center ci informano che la nostra telefonata viene registrata: la registrazione può essere utilizzata come prova dell’avvenuto consenso al trattamento dei dati. Il consenso deve essere espresso tramite un’azione positiva, volontaria e soprattutto libera pertanto non è più ammesso il consenso tacito o presunto od obbligatorio per fini diversi da quello iniziale. Chi rilascia i propri dati, così come chi li accoglie, deve assicurarsi di essere stato autorizzato a farlo e deve anche consentire con facilità la revoca del consenso.

4.L’informativa scritta o in formato elettronico deve essere: concisa, trasparente, intelligibile per l’interessato, facilmente accessibile e scritta in un linguaggio chiaro e semplice dato che, secondo il Regolamento, anche un sedicenne ha la possibilità di rilasciare un consenso valido. Inoltre sull’informativa dovranno essere chiare le tempistiche di conservazione dei dati, soprattutto quelli raccolti a fini commerciali.

5.L’introduzione del DPO: ovvero del Data Protection Officer. Il Responsabile della Protezione dei Dati è una figura già presente in quasi tutti gli altri Stati Membri e introdotta per la prima volta in Italia. Questa figura è obbligatoria solo in tre casi:

  • enti pubblici;
  • organizzazioni che si occupano di dati particolari (i vecchi dati sensibili per intenderci) su larga scala (per esempio una clinica privata);
  • organizzazioni che effettuano monitoraggio continuo e sistemico, che tradotto vuol dire: ogni volta che passi la carta fedeltà al supermercato i tuoi dati vengono monitorati e salvati in appositi database.

Le aziende che dovranno dotarsi di questa figura dovranno indicarne i riferimenti nell’informativa così che il DPO possa essere contattato direttamente dai cittadini e/o dall’autorità di controllo. Il Responsabile della protezione dei dati deve, in estrema sintesi:

  •  svolgere un lavoro di consulenza per il Titolare del trattamento;
  • sorvegliare e supportare l’azienda  per assicurare una corretta gestione dei dati personali;
  • riferire ai vertici dell’azienda;
  • essere indipendente;
  • avere risorse umane e finanziarie adeguate alla gestione del ruolo.

6.Le sanzioni: le sanzioni previste dall’introduzione del GDPR colpiscono pesantemente Titolari e Responsabili delle aziende che non rispettano la corretta acquisizione del consenso. Le sanzioni amministrative arrivano fino a 20 milioni di Euro o fino al 4% del fatturato mondiale annuo, nel caso in cui questa percentuale superi la sanzione massima. Attenzione il Regolamento modifica le sanzioni amministrative non quelle penali.

Per avere tutte le informazioni in dettaglio potete consultare la Guida completa al nuovo Regolamento disponibile sul sito del garante della privacy.