GDPR, nuova tutela dei dati personali
Entra in vigore il prossimo 25 maggio il GDPR (Regolamento Generale Protezione Dati), vale a dire il nuovo sistema di protezione e tutela dei dati personali e sensibili che sostituirà in gran parte l’attuale normativa in materia di Privacy. Di questa resterà in vigore sicuramente la parte penale, stante la riserva di legge in materia riservata dalla UE ai singoli stati, ma per il resto ben poco rimarrà come prima. Impossibile una trattazione esaustiva della materia se non in un trattato universitario, ma alcuni dati essenziali possono essere forniti.
Quello imposto dal GDPR è un sistema che prevede forti strumenti per la tutela di tutti i dati personali, con addirittura particolari accortezze per quelli sanitari e relativi a precedenti giudiziari e che, dopo le recenti notizie su una gestione non proprio lineare di dati personale da parte di Facebook, è di forte attualità anche per le implicazioni che coinvolgono non solo le aziende, ma anche tutti i professionisti.
Ogni soggetto che, in qualsiasi maniera, si trovi a disporre di dati personali altrui dovrà quindi adeguarsi a disporre nella propria azienda o nel suo studio professionale, gli strumenti previsti nella nuova normativa, immediatamente recepita in Italia senza bisogno di alcuna legge di conversione. Resta escluso dalla disciplina solo l’utilizzo a scopo domestico e personale: indipendentemente dalle proprie dimensioni professionali o aziendali. Quindi, chiunque venga in contatto con i dati della propria utenza, clientela, fornitori e così via, quale titolare del trattamento, dovrà prevedere la figura quantomeno del responsabile del trattamento dati (che in sintesi possiamo identificare nella persona fisica o giuridica incaricata della materiale gestione della sicurezza dei dati).
Questi, a loro volta, devono nominare il Responsabile Protezione Dati (DPO, Data Protector Office) quando il trattamento sia effettuato da un’autorità pubblica ovvero quando le attività del titolare (ergo dell’azienda) richiedano un monitoraggio regolare e sistematico degli interessati su larga scala, oltre che nell’ipotesi in cui si tratti di dati personali sensibili, quali quelli sanitari, vita o orientamento sessuale, genetici, biometrici o giudiziari.
La eventuale mancata nomina delle figure previste dalla normativa, laddove voluta dal titolare del trattamento, dovrà essere giustificata all’autorità competente. Il Data Protector Office viene quindi ad essere il front office di un’azienda che viene in contatto con il mondo esterno per tutto ciò che riguarda la privacy. Proprio per questo deve essere una figura indipendente ed autonoma, non soggetta al potere direttivo dell’azienda.
Si noti poi che tutte queste figure devono ricevere una nomina scritta che verrà portata a conoscenza dell’utenza e sono tutti soggetti agli obblighi di informativa, rafforzati rispetto all’attuale privacy non solo nei confronti dell’utenza, ma anche verso le competenti autorità essendo previsto, ad esempio, l’obbligo di informare l’autorità di controllo e il diretto interessato, entro 72 ore dall’evento, il rischio della perdita o distruzione dei propri dati personali. Un onere non da poco per molte aziende, ma una maggiore tutela verso chi ha prestato il proprio consenso al trattamento dati e sono previste severe sanzioni in caso di violazioni
Anche sul consenso e sulle modalità della sua prestazione il GDPR è particolarmente stringente. Premesso che è il titolare trattamento dati a dover dimostrare la liceità e utilità del trattamento stesso, è richiesto che all’utente debba essere presentata la richiesta in maniera chiaramente distinguibile dalle altre materie, in forma comprensibile e accessibile, pena l’invalidità della manifestazione del consenso.
Considerato che è automatico fare click alla domanda se siano stati letti i termini di contratto, che prevedono proprio il trattamento dati, si tratta di un problema non da poco per molte aziende che dovranno verosimilmente rivedere i loro programmi e moduli sul punto.
Inoltre, l’interessato dovrà essere messo in condizione di utilizzare la portabilità dei propri dati ad esempio nei casi di cambio di un gestore e, laddove volesse revocare il consenso, di esercitare il proprio diritto all’oblio, vale a dire la cancellazione totale dei propri dati personali ed essere “dimenticato” sui server e banche dati del titolare.
©Futuro Europa® Le immagini utilizzate sono tratte da Internet e valutate di pubblico dominio: per segnalarne l’eventuale uso improprio scrivere alla Redazione
0 Comments