Sta per cominciare la nuova era della Privacy con l’introduzione del GDPR, il General Data Protection Regulation.
L’ora X scocca il 25 maggio e sarà la stessa in tutti i paesi dell’Unione Europea, coinvolgendo i soggetti che, a vari livelli, trattano i dati personali altrui.
Il principio ispiratore di questo nuovo regolamento è quello di garantire ai cittadini europei il diritto di conoscere in che modo aziende private ed enti pubblici maneggiano i dati sensibili.
Ma cosa c’è da sapere su questo nuovo regolamento?
Prima di tutto che, a partire dal 25 Maggio, per il trattamento di tutti i dati sensibili sarà necessario un consenso esplicito, specifico, informato e inequivocabile da parte dell’utente.
L’informativa sulla Privacy dovrà essere consegnata entro un mese dalla raccolta dei dati, avere una forma chiara, trasparente e contenere alcuni elementi fondamentali:
– I dati di contatto del responsabile della protezione dei dati
– La base giuridica del trattamento
– L’interesse legittimo
– Indicare se è previsto il trasferimento dei dati personali in Paesi terzi
– Il periodo di conservazione dei dati
– Il diritto di presentare un reclamo all’autorità di controllo
– L’indicazione della logica dei processi decisionali impiegata e le conseguenze per l’interessato
Il GDPR introduce due nuove ed importanti figure: il Titolare e il Responsabile del trattamento.
Il Titolare è il soggetto che definisce il motivo e le modalità della gestione dei dati, si preoccupa di valutare i rischi per gli interessati e diventa giuridicamente responsabile in caso di trattamenti illeciti.
Compito del Titolare è quello di nominare un Responsabile, sotto il quale operano dei sub-responsabili.
Queste nuove figure professionali introducono un meccanismo di responsabilizzazione e differenziazione delle attività proprio per garantire la corretta applicazione del Regolamento.
Per monitorare le attività verrà introdotto l’uso di un Registro che dovrà contenere tutti i soggetti di cui si amministrano i dati e sarà fondamentale notificare qualsiasi violazione all’Autorità di controllo entro 72 ore dalla scoperta.
Per i minori, il consenso sarà considerato valido a partire dai 16 anni, prima di quell’età dovrà essere espresso da un genitore o da chi ne fa le veci.
L’interessato avrà la possibilità di accedere ai dati forniti e di cancellarli all’occorrenza, grazie al diritto all’oblio, nonché di godere del diritto alla portabilità, ovvero, della possibilità che il titolare trasferisca i dati portabili ad un altro titolare indicato dall’interessato.
Il diritto all’oblio permette agli interessati di cancellare i propri dati personali grazie all’intervento del Titolare del trattamento, in virtù di precise condizioni:
– Se i dati sono trattati solo sulla base del consenso
– Se i dati non sono più necessari agli scopi rispetto ai quali sono stati raccolti
– Se i dati sono trattati illecitamente
– Se l’interessato si oppone legittimamente al loro trattamento
Il Titolare del trattamento dovrà comunicare eventuali violazioni all’Autorità nazionale di protezione dei dati e nei casi più gravi, anche al diretto interessato. Sebbene, la decisione definitiva sui rischi della violazione viene affidata all’Autorità nazionale.
Il trasferimento dati fuori dall’Unione Europea è vietato, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato.
Il nuovo regolamento permette all’Autorità di multare coloro che trattano in modo illecito i dati personali fino al 4% del loro fatturato globale.
Il GDPR è un processo di adeguamento continuo, che implica la necessità di stare al passo con i cambiamenti e il doveroso onere di revisionare continuamente le formule di protezione; visto dalla parte di aziende ed enti potrebbe apparire come un faticoso grattacapo, ma nel mare crescente di informazioni in cui ci troviamo a navigare come semplici persone, è un bene che si riconosca il valore della nostra identità e che venga protetta.
