Scroll to top
  • ORARIO UFFICIO: 09.00 - 17.00

GDPR nuova normativa privacy 25 maggio 2018

Il GDPR, acronimo di General Data Protection Regulation (regolamento generale sulla protezione dei dati), è un particolare regolamento UE riguardante la protezione delle persone fisiche, relativo al trattamento e alla libera circolazione dei dati personali.

Raggiungere il consenso generale riguardante non solo la formulazione del GDPR ma anche le sanzioni finanziarie per la mancata osservanza è stato possibile solamente dopo il dialogo a tre tra il Parlamento Europeo, la Commissione Europea ed il Consiglio dei Ministri.

Il testo del regolamento è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio, ma inizierà ad essere applicato in tutti gli Stati membri a partire dal 25 maggio 2018. E’ nato per garantire precise esigenze di natura giuridica e per semplificare le norme relative al trasferimento di dati personali dall’Unione Europea verso gli altri Paesi.
L’urgenza di questo regolamento è data dal fatto che gli sviluppi tecnologici hanno posto nuove sfide soprattutto considerando che ad inizio ottobre il WP29 ha definito provvedimenti che incideranno sul GDPR proprio a causa dell’evoluzione tecnologica stessa.

In questo modo si cerca di restituire, almeno in parte, ai cittadini il controllo dei propri dati personali e rendendo omogenea la normativa privacy all’interno dell’UE.
Il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC) che era stata istituita nel 1995, abrogando le norme del Codice per la protezione dei dati personali, decreto legislativo n. 196/2003 che risulteranno con esso incompatibili.

Per questo il più grande aspetto che preoccupa questo regolamento è la possibilità che gli Stati membri possano legiferare autonomamente per definire le norme contenute all’interno del GDPR surclassando l’idea di “Unione Europea” e dando la possibilità di far sorgere problematiche tra il Regolamento e le leggi nazionali che verranno adottate .
Si attende quindi una normativa italiana per abrogare tutte quelle norme relative alla Privacy che potrebbero andare in conflitto con il GDPR.

Ognuno degli stati membri dovrà istituire un’autorità sovrintendente indipendente per rispondere ai reclami, effettuare le indagini ed eventualmente sanzionare le infrazioni amministrative.
Ogni autorità dovrà collaborare con quella degli altri stati membri fornendo assistenza reciproca e organizzando operazioni collegate tra di loro.

In caso che un’impresa abbia più stabilimenti all’interno dell’UE può possedere anche una sola autorità sovrintendente ritenuta come propria “autorità principale”, con ubicazione la stessa del suo stabilimento principale: esattamente nel luogo in cui si svolgono le principali attività di gestione dell’azienda.
L’autorità principale opererà come “sportello unico” per supervisionare tutte le attività relative alla gestione dati dell’azienda stessa, come si legge dagli Articoli 46 – 55 del GDPR). L’EDPB (European Data Protection Board) oltre a sostituire il gruppo di lavoro dell’Articolo 29 si occuperà del coordinamento di tutte le autorità sovrintendenti.

Le uniche eccezioni sono quando i dati elaborati riguardano la sicurezza nazionale e in quel caso si deve tener conto di regolamenti delle singole nazioni, come di evince dagli Articoli 2(2)(a) e 82 del GDPR.

Gli aspetti principali che definiscono il GDPR sono:

Introduzione di regole che definiscono più semplicemente l’informativa ed il consenso;
Definizione dei limiti del trattamento automatizzato dei dati personali;
Introduzione di norme per la pratica di nuovi diritti;
Determinazione di criteri relativi al trasferimento degli stessi al di fuori dell’Unione Europea;
Definizione di norme scrupolose in caso di violazione dei dati, definito data breach.

Queste stesse norme si applicano anche a tutte quelle imprese che sono situate al di fuori dall’Unione europea ma che offrono dei servizi o prodotti all’interno del mercato dell’Ue.
Quindi riguarda anche l’esportazione dei dati personali fuori dall’UE indipendentemente dal luogo o dai luoghi in cui sono collocati i sistemi di archiviazione (storage) e di elaborazione (server).
Qualsiasi impresa ente o organizzazione in generale in questo modo, avranno molte più responsabilità e, in caso di inosservanza di questo regolamento, rischiano ora rigide sanzioni, che possono raggiungere fino al 4% del volume globale degli affari.

La Commissione Europea per “dati personali” intende qualsiasi informazione relativa ad un individuo: privata, professionale o pubblica.
In particolare, riguardante sia nomi, foto, indirizzi email, dettagli bancari, interazioni sui social network, informazioni mediche o indirizzi IP.
Sono stati definiti quindi altri tipi di dato riguardanti la persona fisica, in particolare:

Dato personale: informazioni relative a persona fisica identificabile attraverso non solamente il suo nome e cognome, ma anche con le sue caratteristiche fisiche o fisiologiche, oppure con il suo identificativo online;
Dati genetici: ereditati o acquisiti attraverso l’analisi di DNA ed RNA da un campione biologico della persona fisica stessa;
Dati biometrici: un esempio si questi è l’immagine facciale che si tratta di un altro modo per identificare una sola persona fisica;
Dati sulla salute: sia fisica che mentale passata, presente o futura e informazioni su servizi di assistenza sanitaria, indipendentemente dalla fonte, come il proprio medico o strutture mediche.

Per quanto riguarda il consenso esso dev’essere esplicitamente fornito per la raccolta dei dati e per la modalità nel quali questi stessi dati sono utilizzati, come informano gli Articoli 7 e 4.
Per essere un consenso valido ai fini legislativi il testo nel quale tale consenso viene espresso deve utilizzare un linguaggio semplice e chiaro e che le finalità per cui viene richiesto siano esplicite, legittime, adeguate e pertinenti.

La sua validità riguarda inoltre l’età della persona fisica se è stato espresso da un minore per poterlo rilasciare deve aver compiuto almeno 16 anni ma, tale età è ridotta a 13 anni, se lo stato membro ha previsto attraverso una norma un’età diversa, purché non sia inferiore a quest’ultima.

Nel caos in cui il minore abbia un’età inferiore ai 16 o 13 anni il consenso al trattamento deve essere rilasciato da un genitore o da chi ne esercita la potestà e deve poter essere verificabile secondo l’Articolo 8.
Coloro che si occupano del controllo dei dati devono poter avere prova della validità del consenso (“opt-in”) ed esso può essere ritirato o modificato con la possibilità dell’introduzione di limitazioni nel trattamento, secondo l’articolo 18.

Related posts