Legge sulla privacy: Regolamento Europeo GDPR
La nuova Legge sulla Privacy 2018 nota come Codice della Privacy Gdpr (General Data Protection Regulation) è entrato in vigore a partire dal 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea in applicazione del decreto legislativo sulla privacy UE 2016/679.
Il Regolamento GDPR è stato studiato da una commissione europea per rafforzare i diritti fondamentali dei cittadini nell’era digitale e nasce dall’esigenza di “certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo”.
Dati personali definizione
L’articolo 4 del Codice della Privacy definisce i dati personali, ovvero: “Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Con l’introduzione del Codice Privacy i dati personali devono:
- Essere trattati in modo lecito, corretto e trasparente;
- Essere raccolti per finalità determinate, esplicite e legittime;
- Adeguati, pertinenti e limitati alle finalità;
- Conservati per un arco di tempo non superiore alle finalità, salvo vengano archiviati nel pubblico interesse
- Trattati in maniera di garantire una adeguata sicurezza.
Adeguamento al nuovo regolamento
Al nuovo Codice della Privacy si devono adeguare, ma con adempimenti diversi a seconda del soggetto giuridico e del trattamento dati effettuato:
- Le aziende di qualsiasi dimensione
- I liberi professionisti;
- Le pubbliche amministrazioni come ospedali, scuole, comuni e enti;
- Le associazioni e le cooperative.
Pertanto chi raccoglie i dati personali deve adempiere i seguenti obblighi:
- Trasparenza e modalità: spiegare in modo semplice, breve e comprensibile tutte le condizioni che regolano la raccolta e il trattamento dei dati
- Sicurezza: obbligo per le aziende di mettere in atto una serie di tecniche come la cifratura e la pseudonimizzazione dei dati che garantiscano la sicurezza dei dati raccolti.
- La comunicazione obbligatoria entro 72 ore in caso di data breach: ossia la violazione di dati personali con perdita o divulgazione di dati.
- La nomina del DPO Data Protection Officer, da parte delle aziende e degli enti pubblici. In particolare l’obbligo riguarda le aziende le cui principali attività implicano “un monitoraggio regolare e sistematico di dati su larga scala”. Il compito del DPO è quello di vigilare sull’applicazione effettiva della GDPR.
Diritti sui dati personali
Il titolare dei dati ha i seguenti diritti:
- Informazione e accesso: il cliente ha il diritto di sapere dove, per quale scopo e per quanto tempo i dati vengono raccolti
- Diritto di accesso: in caso di richiesta del soggetto interessato i dati devono essere forniti in formato digitale e gratuitamente
- Diritto di rettifica: il soggetto richiesto può richiedere l’integrazione dei propri dati;
- Diritto all’oblio: ossia la possibilità per gli utenti di chiedere l’eliminazione delle informazioni a proprio riguardo;
- Diritto alla portabilità dei dati: ovvero la possibilità di scaricare e trasferire i propri dati da una piattaforma all’altra, senza vincolarsi a un certo account.
Il controllo del rispetto del regolamento, la valutazione di reclami e l’attuazione di provvedimenti in materia di tutela dei dati spetta al Garante della Privacy che è un ente collegiale nominato in tutti gli stati membri.
Lo studio dell’avvocato Cordaro si occupa di Consulenze Giudiziali e Stragiudiziali chiamaci per informazioni!