Nessuno li potrà trattare in alcun modo senza prima aver ottenuto il consenso delle persone e dovrà essere spiegato in modo chiaro come verranno utilizzati e per quanto tempo ne verrà conservata una copia: sono i punti principali del nuovo GDPR, il Regolamento UE 2016/679 in materia di protezione e circolazione dei dati, che entrerà in vigore domani
Si è detto tanto al riguardo: di seguito gli elementi utili per inquadrare la nuova normativa.
Sapere è potere. Il Regolamento non è un aggiornamento della vecchia Direttiva: introduce un nuovo modo di pensare, quello della progettazione, della conformità continua, della responsabilizzazione. Conoscerne i principi cardine è utile ai soggetti per conoscere i propri diritti (ed esercitarli) e alle aziende per implementare i processi migliori per il proprio pubblico e non incappare in sanzioni.
Mappare i dati. Occorre individuare con precisione quali dati si trattano, per quale finalità e in quale modo. Solo così è possibile avere un quadro chiaro del profilo di rischio e definire quali sono le misure più adatte a contenerlo. Fondamentale poi è la redazione del Registro dei Trattamenti.
Informativa privacy. Il Regolamento intende dare più controllo alle persone sui propri dati: ricevere un’informativa chiara, precisa e completa consente agli interessati di fare una scelta informata.
I nuovi diritti dei soggetti. Il GDPR prescrive per i soggetti diritti conoscitivi e diritti di controllo. La persona non è, quindi, un soggetto passivo, ma può entrare nel merito di come vengono trattati i suoi dati ed esercitare i suoi diritti.
Il consenso. La richiesta di consenso implica requisiti più stringenti nel GDPR: deve essere libero, specifico per ogni finalità, comprovabile e chiaramente espresso, diversamente può risultare illecito.
Accountability o responsabilizzazione. Significa che il titolare non è un soggetto passivo che si limita a rispettare gli obblighi, ma si pone in modo proattivo nel prevenire i rischi, gestire quelli residui, implementare le misure necessarie, dimostrare perché ha compiuto determinate scelte.
Privacy by design e by default. La conformità al GDPR deve essere integrata nell’organizzazione dell’azienda e in tutti i suoi processi, dall’inizio alla fine del trattamento. Non c’è quindi una “corsa alla conformità”, ma un atteggiamento continuativo: se uno specifico trattamento pone rischi particolari, si deve svolgere una Valutazione d’Impatto.
Data Protection Officer. Il Data Protection Officer è una figura nuova che svolge attività di consulenza, formazione e controllo, conosce il Regolamento e ha competenze tecnologiche. Questa figura è obbligatoria in alcuni casi particolari, definiti nell’art. 37.
Trasferimento di dati. Ogni soggetto ha il diritto di sapere dove vengono trattati i propri dati, soprattutto nel caso di cloud o app. È importante sapere se i paesi in cui vengono trasferiti hanno un accordo con l’Unione Europea e in quali termini.
Data breach. La violazione dei dati è una situazione di emergenza per la quale la notifica agli interessati è obbligatoria se il rischio per i loro dati è elevato e probabile.
(Studio Legale Stefanelli, Bologna)
