Regolamento Europeo 679/2016 G.D.P.R. La NUOVA PRIVACY IN EUROPA
Il regolamento 679 del 2016 GDPR ha modificato profondamente la normativa italiana in tema di tutela dei dati personali, meglio conosciuta come PRIVACY. Di seguito si mette in evidenza in quale misura e con quali modalità.
Ambito d’applicazione
Qualunque soggetto pubblico o privato, persona fisica o giuridica (società, fondazioni, consorzi, etc.) è obbligato al rispetto dei nuovi obblighi a prescindere dalla tipologia di attività svolta se procede al trattamento di dati personali (sono sufficienti i soli dati anagrafici). Idati devono essere trattati nel rispetto di principi base: liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione.
L’ambito di applicazione è vasto in quanto comprende la totalità di coloro trattano dati personali a prescindere dal fatto che l’attività sia finalizzata o meno allo sfruttamento economico degli stessi, fanno eccezione i trattamenti che sono effettuati al di fuori dell’ambito di applicazione del diritto UE o riguardano la politica estera e la sicurezza comune dei Paesi UE; ugualmente sono esclusi:
- i trattamenti effettuati da persona fisica per l’esercizio di attività esclusivamente personale o domestico (a esempio: la rubrica telefonica personale),
- quelli fatti per finalità di sicurezza pubblica e prevenzione effettuati da autorità competenti.
La norma si applica a tutti i soggetti UE, a prescindere dal fatto che il trattamento sia effettuato sul territorio dell’Unione o meno; ugualmente si applica ai soggetti non UE che operano in territorio dell’Unione.
Il trattamento è lecito quando:
- l’interessato ha espresso il consenso per una o più finalità specifiche;
- è necessario per l’esecuzione di un contratto;
- è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- è necessario per il trattamento degli interessi vitali del soggetto interessato;
- è necessario per l’esercizio di pubblici poteri di cui è investito il titolare;
- è necessario per legittimo interesse del titolare del trattamento.
Adempimento necessario al compimento della liceità del trattamento è il consenso esplicito, informato e specifico dell’interessato.
Specifiche limitazioni sono riservate a quei trattamenti che hanno per oggetto dati personali particolari quali:
- l’origine razziale o etnica,
- le opinioni politiche,
- le convinzioni religiose o filosofiche,
- l’appartenenza sindacale,
- i dati genetici o biometrici,
- i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale,
- i dati relativi a condanne penali,
- i reati o connessi a misure di sicurezza.
Obblighi del titolare del trattamento
Il titolare del trattamento (il soggetto che raccoglie i dati e prende le decisioni su come, dove e quando trattare i dati) deve fornire all’interessato una specifica informativa. L’interessato è a sua volta portatore di diritti relativi alle modalità di trattamento dei dati, della conservazione e della cancellazione.
Il titolare del trattamento ha l’obbligo di porre in essere ogni misura, tecnica e organizzativa, adeguata a garantire, e essere in grado di dimostrare, che il trattamento è effettuato conformemente a quanto previsto dal GDPR. Il titolare si obbliga ad un costante aggiornamento di tali misure.
Appare evidente la necessità che ogni soggetto, in relazione alle dimensioni e alla qualità delle informazioni detenute o da raccogliere, si doti di un sistema di gestione della privacy che consenta in ogni momento di dimostrare il rispetto degli obblighi previsti e l’aderenza dei comportamenti tenuti alle indicazioni emanate dall’Autorità competente di controllo.
Tra queste è opportuno segnalare:
La predisposizione di apposita modulistica, cartacea o informatica per trasmettere la corretta informativa ai titolari dei dati e i relativi consensi o dinieghi ai trattamenti effettuati o da effettuare.
La predisposizione dei registri richiesti
L’implementazione delle misure organizzative e di sicurezza necessarie per assicurare un corretto trattamento dei dati
L’implementazione delle procedure previste in caso di violazione dei dati personali detenuti
La nomina delle figure intermedie che collaborano con il titolare del trattamento alle operazioni di gestione e elaborazione.
La formazione del personale coinvolto nelle operazioni di trattamento dei dati
Infine, si evidenzia che in caso di violazione delle norme le sanzioni che verranno applicate possono risultare molto onerose: fino a 20 milioni di euro e per le imprese fino al 4% del fatturato realizzato a livello mondiale.