Magicnet Web Agency Bologna
Via Don Francesco Pasti 22 Funo Argelato BO 40050 IT
Mo,Tu,We,Th,Fr 09:00-17:30 €€€ +39 051 664 71 98
MagicNet FB Twitter Google+ Linkedin
GDPR: sei pronto al cambiamento?

Nella data stabilita, il GDPR (Regolamento Ue 2016/679) applicabile in tutti gli Stati Membri, per sostituire le normative nazionali in materia di privacy. L’intento è quello di andare incontro allo sviluppo tecnologico per incentivare un mercato unico digitale, in grado di integrare i bisogni del business alla tutela dei cittadini.



Lo scenario può sembrare confuso e di difficile risoluzione, ma vediamo insieme quali sono i cambiamenti che il Titolare del trattamento è chiamato ad affrontare.

CONSENSO E INFORMATIVA

Per quanto riguarda il consenso, anche se raccolto prima del 25 maggio 2018, resta valido se è conforme al regolamento ovvero se è: informato, specifico per ogni finalità di trattamento, prestato senza condizionamenti  e inequivocabile.

Non deve necessariamente essere scritto, può essere anche orale oppure concesso attraverso mezzi elettronici (cfr considerando 32). Tuttavia, è importante che sia inequivocabile: non deve esserci alcun dubbio sull’intenzione dell’interessato di accettare il trattamento dei propri dati.

Il consenso deve essere esplicito (art. 9) se vengono trattati dati sensibili o nel caso di procedimenti automatizzati. Infine, per i dati relativi ai minori sotto i 16 anni di età il consenso và richiesto ai genitori o ai tutori legali.

Così come il consenso deve essere facile e inconfondibile, lo stesso vale per la possibilità di revocare il consenso in qualsiasi momento.

L’imperativo alla trasparenza caratterizza l’intera prassi informativa che deve essere fornita all’interessato prima della raccolta dei dati. I contenuti sono stabiliti in modo tassativo e devono essere espressi in modo conciso e comprensibile, comunicati in forma scritta, in formato elettronico o con altri mezzi.

LEGITTIMO INTERESSE E RESPONSABILIZZAZIONE

Ogni trattamento dei dati deve avere un fondamento di liceità ovvero una base giuridica riconosciuta dall’articolo 6 del GDPR. Viene identificata come condizione giuridica sufficiente il legittimo interesse del Titolare a patto che esso sia bilanciato con i diritti e le libertà dell’interessato. Questo atto di bilanciamento è espressione del principio di “responsabilizzazione” (accountability) secondo il quale il Titolare del trattamento ha il compito di adottare tutte le misure necessarie per garantire (e dimostrare) la regolarità della raccolta e dell’utilizzo dei dati.

A tale scopo, il Garante suggerisce alle aziende di dotarsi di un Responsabile della protezione dei dati e di un Registro delle attività di trattamento.

Per i trattamenti automatizzati dei dati personali il Regolamento prevede la “Valutazione d’impatto sulla protezione dati”  (DPIA- Data Protection Impact Assessment), una descrizione preventiva dei trattamenti e dei rischi legati agli interessati. Bisogna prevedere misure di tutela dei dati prima del trattamento stesso e impostare “di default” un utilizzo minimo dei dati ("data protection by default and by design"- art. 25).

Dal 25 maggio 2018, il Titolare deve dimostrare la propria responsabilità anche notificando all’Autorità eventuali data breach, ovvero violazioni dei dati personali.

DIRITTI DEGLI INTERESSATI

Con il nuovo regolamento, i cittadini vengono maggiormente tutelati grazie al riconoscimento e all’ampliamento di alcuni diritti ai quali il Titolare deve dare riscontro in forma scritta entro 1 mese. Vediamo quali sono i diritti in oggetto.

L’interessato ha il diritto di ricevere conferma del trattamento dei dati che lo riguardano, deve potervi accedere (art. 15) e riceverne almeno una copia. Inoltre, i Titolari possono e, secondo il Regolamento, dovrebbero consentire un accesso diretto (da remoto) ai dati personali.

Il Regolamento prevede il diritto di cancellazione (o diritto all’oblio) dei propri dati personali trattati dal Titolare se sussistono motivi validi, per esempio, dopo la revoca del consenso oppure se i dati non sono più necessari alle finalità del trattamento. Il Titolare, che abbia reso pubblici i dati, ha anche il dovere di segnalare la richiesta ad altri eventuali titolari che stanno utilizzando gli stessi dati. Questo per rispondere alla volontà avanzata dall’interessato di cancellare "qualsiasi link, copia o riproduzione" (art. 17, paragrafo 2).

Il diritto di limitazione del trattamento (art. 18) dei dati personali è esercitabile in diverse situazioni:
  • richiesta di rettifica dei dati, in attesa della verifica;
  • illiceità del trattamento;
  • opposizione al trattamento, in attesa della valutazione da parte del titolare.

In caso di limitazione, i dati personali possono solo essere conservati senza essere sottoposti ad alcun trattamento salvo determinate condizioni.

Il GDPR introduce il diritto alla portabilità (art. 20) dei dati che si applica ai trattamenti automatizzati e consente all’interessato di ricevere i propri dati in formato elettronico e interoperabile. In modo da poterli trasmettere ad un altro Titolare o di ottenerne la trasmissione diretta da parte del primo Titolare.

Infine, l’interessato ha il diritto di opporsi (art. 21) al trattamento dei propri dati in qualsiasi momento anche attraverso mezzi automatizzati. Tuttavia, non deve sussistere alcun interesse legittimo e dimostrabile del Titolare e il trattamento non deve avere finalità di interesse pubblico.

L’introduzione di un nuovo Regolamento, maggiormente concreto e restrittivo, impone alle realtà imprenditoriali (e pubbliche) un approccio proattivo e responsabile, che porti ad una trasformazione culturale e di gestione dei processi aziendali.

Sei preparato al cambiamento? Hai revisionato l’informativa da presentare ai tuoi utenti?
 
Contattaci per maggiori informazioni! Per saperne di piu'  #7tips formazione

 
Scarica ORA
#7Tips GDPR nuova privacy nuove regole

Contattaci
21 Maggio 2018