04/03/2019

GENERAL DATA PROTECTION REGULATION - REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATA

Il GDPR

Il GDPR è un regolamento dell' UE in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, entrato in vigore il 25 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.

Il regolamenteo contiene contiene leggi per garantire al meglio la privacy e la sicurezza dei dati personali di ogni singolo cittadino europeo, stabilisce inotre una serie di leggi per responsabilizare le aziende , insieme a una serie di agevolazioni per le aziende virtuose

Consenso, stumento di garanzia anche online

Il consenso da parte dell'utente deve essere esplicito,preventivo e inequivocabile. Viene esclusa ogni forma di consenso tacito (il silenzio, cioè, non equivale al consenso) , inoltre il consenso può sempre essere revocato in qualsiasi momento, quando il consenso è stato revocato il titolare non potrà più effetuare trattamenti ai dati.

Il diritto all'oblio

Grazie all’introduzione del cosiddetto «diritto all’oblio», gli interessati potranno ottenere la cancellazione dei propri dati personali anche on line da parte del titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento: se i dati sono trattati solo sulla base del consenso; se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti; se i dati sono trattati illecitamente; oppure se l’interessato si oppone legittimamente al loro trattamento

Portabilità e trasferimento dei dati al di fuori dell’Ue

Col GDPR si definisce il concetto di portablità dei dati, ovvero il trasferimento dei dati da un titolare del trattamento ad un altro. Ad esempio sarà possibile cambiare proviader di posta elettronica senza perdere i messsaggi salvati. Inoltre vengono posti limiti per il trasferimento di data ad anziende o enti terzi al di fuori dell'Unione Europea che non rispettano gli standard di adeguatezza in materia di tutela dei dati ed dati potranno essere trasferiti solo con il consenso esplicito dell’interessato nel caso in cui non ci siano garazie contrattuale o riconoscimenti di adeguatezza.

Obbligo di comunicare i casi di violazione dei dati personali (data breach)

Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’Autorità nazionale di protezione dei dati. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative. Il titolare del trattamento potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti (quando non si tratti, ad esempio, di frode, furto di identità, danno di immagine, ecc.); oppure se dimostrerà di avere adottato misure di sicurezza (come la cifratura) a tutela dei dati violati; oppure, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato).

In questo ultimo caso, è comunque richiesta una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare).

 

CAS genesisWorld x10Le novità per le imprese

Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una legge di recepimento nazionale.

Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche. Ad esempio, è previsto l’obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti delle persone, consultando l’Autorità di protezione dei dati in caso di dubbi.

Visualizza la brochure