Regolamento europeo in materia di protezione dei dati personali
Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento UE 2016/679 in materia di protezione dei dati personali, il quale diventerà definitivamente applicabile in tutti i Paesi dell’Unione Europea a partire dal 25 maggio 2018.
Il Regolamento introduce regole più chiare e in materia di informativa e consenso e stabilisce criteri rigorosi da attuare in caso di violazione dei dati personali.
Riportiamo di seguito alcune delle principali novità introdotte dal regolamento.
- Il consenso dell’interessato al trattamento dei dati personali dovrà essere preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici. In caso di trattamento di dati sensibili, il consenso deve essere esplicito. Non è più ammesso il tacito consenso e l’accettazione tramite opzioni preselezionate;
- Il consenso potrà essere revocato in ogni momento. I trattamenti effettuati fino a quel momento rimarranno comunque legittimi;
- Se il trattamento è finalizzato ad attività di marketing diretto, l’interessato ha sempre il diritto di opporsi alla profilazione;
- Il proprietario ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano (diritto all’oblio), qualora ricorrano alcune condizioni (se i dati non sono più necessari, se sono stati trattati solo sulla base del consenso, se sono stati trattati illecitamente, ecc.);
- L’interessato ha il diritto di poter ricevere e trasferire i propri dati (diritto di portabilità) trattati da un titolare del trattamento ad un altro (ad esempio ad un nuovo datore di lavoro o consulente);
- Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali (data breach) all’autorità nazionale di protezione dei dati. Se tale violazione rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare tutti gli interessati e fornire informazioni su come intende limitare le possibili conseguenze;
- Viene introdotto l’obbligo di tenere il registro dei trattamenti che illustri, in modo dettagliato la tipologia dei dati trattati, le persone che hanno accesso a tali dati, le finalità dell’utilizzo e il tempo di conservazione di tali dati;
- Viene introdotto il principio di “privacy by design”, con il quale il titolare del trattamento dovrà garantire la protezione dei dati sin dalla fase di progettazione del trattamento;
- Per le imprese e gli enti che si occupano del trattamento di dati che richiedono un monitoraggio su larga scala è prevista la nomina del Data Protection Officer (DPO), il quale dovrà avere i poter necessari per controllare concretamente in continuo la conformità dell’azienda ed esterni che hanno accesso ai dati, con il Regolamento in questione.
In caso di violazione della privacy sono previste sanzioni fino a 20 milioni di euro o pari al 4% del fatturato della società che commette la violazione.
[a cura di: Dott. Matteo Vasapollo – Syrios Srl]