GDPR: le 6 novità sulla nuova legislazione europea sulla privacy
GDPR: le 6 novità sulla nuova legislazione europea sulla privacy.
Il GDPR, la nuova disciplina europea sulla privacy, entrerà in vigore il 25 maggio del 2018. Abrogando la precedente direttiva nr. 95/46/EC. Ormai non più adatta a regolare le problematiche portate dalle tecnologie del nuovo millennio. Le novità sono molte. E le imprese dovranno predisporre un piano di adeguamento ben definito per non farsi trovare impreparate. Quali sono le 6 novità che le imprese devono sapere della nuova disciplina europea sulla privacy? Eccole elencate.
GDPR: Ambito di applicazione territoriale più esteso
L’articolo 3 precisa che la nuova disciplina si applica al trattamento dei dati personali effettuato dalle imprese che operano nell’Unione Europea. Indipendentemente dal fatto che sia avvenuto effettivamente all’interno della stessa.
Inoltre, la norma estende l’applicazione del regolamento anche alle imprese che svolgono la propria attività al di fuori del territorio europeo, se trattano i dati personali di interessati che si trovano nell’UE, nei seguenti in casi specifici:
- quando le attività imprenditoriali si riferiscono all’offerta di beni e servizi agli interessati che si trovano sul territorio europeo;
- quando abbiano ad oggetto il monitoraggio del comportamento degli interessati, laddove tale comportamento abbia luogo all’interno dell’UE.
GDPR: Comunicazione diretta all’interessato della violazione dei propri dati personali
Ai sensi dell’articolo 34, l’impresa deve comunicare l’eventuale violazione dei dati personali all’interessato senza ingiustificato ritardo. Questo nel caso in cui dalla violazione possa derivare un rischio elevato per i diritti e le libertà delle persone fisiche. Pertanto, l’impresa avrà l’obbligo di notificare la violazione dei dati personali non solo all’autorità di controllo competente. Ma anche direttamente all’interessato.
Novità GDPR: Rafforzamento delle condizioni per la concessione del consenso
L’impresa che intende richiedere la concessione dei dati personali dell’interessato dovrà sottostare a determinate condizioni stringenti. Quindi, ai sensi dell’articolo 7, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie. Quindi, in forma comprensibile e facilmente accessibile. Utilizzando un linguaggio semplice e chiaro. Inoltre, in allegato alla richiesta, è necessario informare l’individuo degli obbiettivi del trattamento dei dati personali.
Infine, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. E il consenso deve essere revocato con la stessa facilità con cui è accordato.
GDPR: Valutazione preventiva dell’impatto dei trattamenti
Secondo l’articolo 35, le imprese devono effettuare una valutazione preventiva dell’impatto dei trattamenti sulla protezione dei dati personali, se il tipo di trattamento può presentare dei rischi per gli interessati. In tal caso, l’impresa titolare del trattamento può richiedere un parere all’autorità di controllo sulle modalità di attenuazione del rischio. A tal fine, l’impresa deve aver designato obbligatoriamente un responsabile della protezione dei dati [c.d. Data Protection Officer]. Con il compito fondamentale di fungere da punto di contatto con l’autorità di controllo.
GDPR: Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
Le imprese titolati del trattamento dovranno predisporre misure tecniche e organizzative interne adeguate a tutelare i dati personali fin dalla progettazione di servizi e prodotti basati sul trattamento di dati personali. O che trattano dati personali per svolgere le loro funzioni [c.d. Privacy by Design].
Dovranno inoltre garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento [c.d. Privacy by Default].
Novità GDPR: sistema sanzionatorio
Ai sensi dell’articolo 83, il GDPR stabilisce un sistema sanzionatorio rigido. Diretto a punire le imprese non in regola con la normativa.
L’entità delle sanzioni irrogabili può raggiungere i 20 milioni di euro. Nel caso delle violazioni più gravi, può arrivare fino al 4% del fatturato mondiale totale annuo dell’esercizio di bilancio precedente dell’impresa coinvolta.
I casi passibilli di sanzione amministrativa possono avere ad oggetto:
- la violazione dei principi di base del trattamento;
- violazione dei principi generali sui trasferimenti di dati personali in un paese terzo o un’organizzazione internazionale;
- la violazione dei diritti degli interessati.
GDPR: conclusioni
Pertanto, le novità apportate dal GDPR sono complesse. E richiedono alle imprese uno sforzo importante per il raggiungimento di un duplice obiettivo. Garantire la protezione della privacy e ammodernare la propria struttura tecnica ed organizzativa.