Ecco cosa cambia per lei con il nuovo Regolamento europeo sulla Protezione dei dati personali - GDPR e l’aggiornamento del D.Lgs. 196/2003 – Codice Privacy.
Dal 25 maggio 2018 trova piena applicazione il Regolamento Europeo n.679/2016, noto anche come GDPR, e dal 10 agosto 2018 l’aggiornamento del Decreto Legislativo n.196/2003 che ha recepito quanto previsto dal Regolamento, volto alla tutela delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali all’interno degli Stati Membri dell’Unione Europea.
Il GDPR introduce modalità più chiare in materia di informativa e consenso, stabilisce i limiti del trattamento automatizzato dei dati personali, istituisce nuovi diritti a tutela della libertà dell’interessato, fissa criteri rigorosi per il trasferimento dei dati al di fuori dell’Unione Europea e per i casi di violazione dei dati personali (data breach). Tocca tematiche complesse e allo stesso tempo fondamentali per tutti i cittadini. Per aiutarla nella comprensione delle innovazioni introdotte e delle nuove Informative Privacy, le proponiamo alcuni punti di approfondimento.
Andiamo con ordine!
Prima di tutto, perché una nuova informativa?
Con l’introduzione del GDPR, l’informativa diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei diritti. La legga con attenzione!
Cos’è un dato personale?
I dati personali sono tutte quelle informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica.
Cosa intendiamo per trattamento di dati personali?
Con il termine “trattamento” si indica qualunque operazione o complesso di operazioni che hanno per oggetto i dati personali.
La definizione è molto ampia, perché comprende la raccolta, la registrazione, l'organizzazione, la conservazione, la modifica, la selezione, l'estrazione, l'utilizzo, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. Ciascuna di tali operazioni è una forma di trattamento di dati.
Perché parliamo di consenso e cosa è cambiato?
Il consenso, inteso come manifestazione di volontà, è una delle basi giuridiche di legittimità del trattamento previste dalle attuali normative.
Il consenso deve essere preventivo e inequivocabile, ma soprattutto libero, specifico e informato, anche quando espresso attraverso mezzi elettronici. Non serve che sia prestato in forma scritta, ma è necessario che sia manifestato con un’azione positiva. Basta anche una semplice spunta su un form online, purché sia chiaro a cosa si riferisce.
Le ricordiamo, comunque, che il consenso può essere revocato in ogni momento: in tale caso i trattamenti per i quali revoca il consenso non saranno più effettuati. Ma attenzione: i dati potranno essere, comunque, trattati per finalità diverse per le quali il consenso non serve. Facciamo un esempio: non vuole più ricevere pubblicità? Può revocare il consenso, ma i suoi dati potranno essere comunque trattati per gestire gli eventuali rapporti contrattuali cha ha con noi.
Ma quindi i trattamenti possono avvenire solo a fronte di un consenso?
No. Possono essere anche altre le basi giuridiche di legittimità del trattamento previste dalle attuali normative in materia, ovvero:
- esistenza di un obbligo di legge: in questo caso dobbiamo trattare i suoi dati per adempiere a degli obblighi normativi, come nel caso di verifiche per prevenire il riciclaggio di denaro e finanziamento al terrorismo;
- necessità di eseguire un contratto o misure precontrattuali di cui è parte, come quando sottoscrive un prodotto o ci fa una richiesta;
- per soddisfare un nostro legittimo interesse come quando trattiamo i suoi dati per implementare e sviluppare i nostri prodotti e per migliorare la gestione del
All’interno delle informative e dei contratti che le forniremo nel corso del nostro rapporto, troverà sempre puntuali indicazioni sulla base giuridica del trattamento dei suoi dati personali.
Trattamenti automatizzati, cosa sono e cosa deve sapere?
Con le nuove normative, le decisioni che producono effetti giuridici rilevanti non potranno più essere basate esclusivamente sul trattamento automatizzato dei tuoi dati. Un esempio di trattamento automatizzato dei dati è la profilazione, ossia l'insieme delle attività di raccolta ed elaborazione dei dati inerenti agli utenti di un servizio, con lo scopo di suddividerli in gruppi a seconda del loro comportamento.
Le vigenti normative prevedono tre eccezioni a quanto stabilito in merito al divieto di trattamento automatizzato dei dati:
- quando l’interessato, cioè lei, ha prestato uno specifico ed esplicito consenso;
- quando è strettamente necessario alla sottoscrizione di un contratto;
- quando è previsto da obblighi di
Conosce i nuovi diritti che puoi esercitare?
Tra i nuovi diritti ci sono il diritto all’oblio e il diritto alla portabilità dei dati.
Il diritto all’oblio prevede, qualora si verifichino le condizioni previste dal Regolamento, la possibilità di richiedere e ottenere la cancellazione dei suoi dati personali presenti nei nostri sistemi.
Il diritto alla portabilità dei dati invece, prevede la possibilità di trasferire i suoi dati da un titolare del trattamento ad un altro.
Ha inoltre diritto di ricevere una copia dei dati personali trattati (diritto di accesso) e/o il diritto alla limitazione del trattamento, non solo in caso di violazione dei presupposti di liceità, ma anche in caso di rettifica dei dati o se si opporrà al loro trattamento.
Nel caso in cui deciderà di esercitare i suoi diritti, le risponderemo entro 1 mese dalla sua richiesta, o entro 3 mesi in caso di particolare complessità.
Chi è la nuova figura del DPO?
Il DPO (Data Protection Officer - Responsabile della protezione dei dati) è una figura molto importante perché è il suo “alleato” nella tutela dei tuoi dati.
Quest’ultimo, dotato di piena autonomia e indipendenza, fornisce consulenza tecnico/legale al Titolare e mette in atto attività di controllo sui Responsabili e sui processi organizzati.
Per maggiori informazioni può consultare la nostra sezione dedicata qui