Regolamento Europeo protezione dati personali n.2016/679 (GDPR).

Principali novità introdotte dal nuovo Regolamento Europeo in materia di protezione dei dati personali n. 2016/679 (General Data Protection Regulation, in breve GDPR).

Si tratta di una nuova normativa in materia di dati personali che diverrà applicabile a decorrere dal 25 maggio 2018.

Lo scopo del GDPR è quello di allinearsi allo sviluppo tecnologico e ai nuovi modelli di crescita economica, salvaguardando le esigenze di tutela dei dati personali dei cittadini dei Paesi dell’Unione Europea.

Le nuove regole impatteranno anche sull’e-commerce e per i titolari dei siti stessi.

Qual è l’ambito di applicazione del nuovo GDPR e chi sono i soggetti tenuti alla sua applicazione?

Esso rappresenterà la più completa normativa in materia di privacy e raccolta, gestione e protezione dei dati personali. Si applicherà a tutte le aziende sia grandi che piccole e potenzialmente anche ai negozi aventi sedi extraeuropee ma con clienti in Europa: infatti,  il nuovo Regolamento GDPR avrà impatto su qualsiasi azienda con sede in Europa o che abbia clienti in Europa.

Cosa prevede il GDPR?

Esso intende ampliare la sfera dei diritti relativi ai “dati personali”, allargando ulteriormente questa categoria.

In pratica, il Regolamento attribuisce agli interessati il diritto di accesso, modifica, cancellazione e limitazione del trattamento dei loro dati. Inoltre, introduce il rispetto di rigorose regole per raccogliere il consenso all’utilizzo dei dati. Tale aspetto diviene estremamente rilevante se il sito in questione utilizza le informazioni raccolte non solo per evadere gli ordini ricevuti, ma anche per finalità di marketing e pubblicità.

Ancora, il GDPR stabilisce che sia responsabilità dell’azienda che effettua la raccolta dei dati, anche qualora per la relativa archiviazione si avvalga di terzi:

  • proteggere i dati;
  • assicurarsi che clienti e visitatori del sito possano esercitare concretamente tutti i diritti connessi ai propri dati personali (per es., in base alle nuove norme, qualora un fruitore di un sito voglia far cancellare tutta la  propria corrispondenza, il sito in questione dovrà poter eseguire in concreto questa operazione).

Inoltre, viene trattato il diritto all’oblio prevedendo che, qualora un individuo non desideri più che i propri dati vengano trattati, specificando i motivi per cui non è più necessario conservarli, ha diritto a che gli stessi vengano concretamente cancellati.

Anche il trattamento dei dati personali del minore diventa oggetto una disciplina che introduce delle condizioni per la legittimità del trattamento degli stessi nelle ipotesi in cui gli vegano offerti servizi di informazione.

Infine, viene introdotto il diritto di venire a conoscenza del fatto che i propri dati sono stati violati.

Cosa sono i “dati personali”, anche alla luce della nuova normativa?

Secondo il GDPR, questa accezione ricomprende ogni informazione riconducibile ad un soggetto e che siano raccolte o archiviate durante la navigazione sul sito interessato. Più nello specifico, l’art. 3 prevede che siano “«dati personali»: qualsiasi informazione riguardante una persona fisica identificata o identificabile, (l’«interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identifi­cativo online o a uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica”. Da tale definizione ne deriva che sono “dati personali” per es. anche gli indirizzi IP che non identificano uno specifico individuo, in linea con l’ampliamento di tutela di cui si è scritto all’inizio.

Quando entrerà in vigore di preciso il GDPR?

Il GDPR diverrà concretamente applicabile il 25 maggio 2018, essendo trascorsi i due anni di tempo per adeguarsi alle nuove disposizioni, decorrenti dalla sua entrata in vigore e cioè dal 24 maggio 2016.

Quali sono i principali adempimenti da porre in essere prima dell’entrata in vigore della normativa GDPR?

Anzitutto, occorrerà costituire un Registro dei trattamenti di dati personali, cioè una sorta di documento il quale possiede dei contenuti obbligatori previsti specificamente dal RGPD all’art. 30, oltre a quelli non obbligatori ed eventualmente comunque inseribili. Tale registro sarà obbligatorio per le aziende con più di 250 dipendenti.

In pratica, si tratta di una raccolta di informazioni che serviranno poi a valutare se l’azienda sia rispondente alle prescrizioni del GDPR, nonché le eventuali lacune da colmare a tal fine, volto a “registrare” i trattamenti posti in essere da parte del titolare e di eventuali altri responsabili e riportante l’indicazione delle finalità del trattamento, delle categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza.

Più nello specifico, un buon Registro dei trattamenti di dati personali dovrebbe contenere la definizione, la formalizzazione e l’implementazione della struttura organizzativa volta alla protezione dei dati, indicando la ripartizione dei ruoli e delle responsabilità aziendali; la previsione di metodi di sensibilizzazione e di formazione dei soggetti aziendali con compiti in materia di data protection, nonché di quei soggetti aziendali indirettamente coinvolti; la definizione, formalizzazione e implementazione di processi e regole connessi alla protezione dei dati personali; la redazione della documentazione da rivolgere verso l’esterno ed inerente la data protezione (come informative, consensi, clausole…); la definizione e implementazione di un sistema di controlli interni per la protezione dei dati personali; la previsione di controlli periodici sul corretto funzionamento della data protection.

Ulteriormente, sarà necessario nominare un c.d. Data Protection Officer (DPO), cioè un soggetto avente il principale compito/responsabilità di osservare, valutare e organizzare la protezione/gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative relative alla Privacy esistenti sia in ambito europeo che nazionale.

Condividi su facebook
Condividi su google
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp

Lascia un commento