/Regolamento Ue sulla protezione dei dati. Ecco cosa c’è da sapere

Regolamento Ue sulla protezione dei dati. Ecco cosa c’è da sapere

2018-05-15T11:01:55+00:008 maggio 2018|

Il 25 maggio entrerà in vigore il GDPR, General data protection regulation

di Alessandra Alberti


Il 27 aprile 2016 è stato approvato il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione ditali dati, che abroga, inoltre, la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, GDPR – General data protection regulation) da cui era disceso il nostro D.Lgs. 196/2003.

Il Regolamento si applicherà a decorrere dal 25 maggio 2018 in tutti gli Stati membri e apporterà novità significative nella gestione e protezione della privacy. Le regole introdotte hanno il fine di adeguare la legislazione UE alle nuove tecnologie e all’uso sempre più diffuso di internet in qualsiasi attività, che sta portando ad un continuo aumento dei dati nella rete e delle connessioni tra i diversi Paesi.

Il Regolamento riguarda tutte le imprese che trattano dati personali (qualsiasi informazione riguardante una persona fisica identificata o identificabile) e riguarderà quindi anche le imprese agricole, in misura all’esigenza differente a secondo delle attività svolte e dei dati trattati (vendita on-line, gestione di un sito internet, prenotazioni on-line per aziende agrituristiche, ecc.).

Le novità introdotte sono numerose e l’argomento non potrà certamente esaurirsi in questo articolo di giornale, proviamo oggi a soffermarci su alcuni principali elementi di novità, rimandando ad approfondimenti in merito sui prossimi numeri del giornale.


Trattamento lecito – Innanzitutto il Regolamento chiarisce quando il trattamento dei dati può considerarsi lecito: quando l’interessato ha espresso il consenso, se l’adempimento è necessario per l’esecuzione di un contratto, se necessario per adempiere ad obblighi legali, se è necessario per tutelare interessi vitali della persona interessata o di terzi, se è necessario per tutelare un interesse pubblico o esercizio di pubblici poteri o se è necessario per il perseguimento del legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati.


Consenso – Rispetto al consenso, questo, per i dati “sensibili”, deve essere “esplicito”, lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati. Il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Importante prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice e chiara, non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).


Diritto all’oblio – In pratica ogni persona ha il diritto di rettificare i dati personali che la riguardano o di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti. Tale diritto appare rafforzato in quanto si prevede l’obbligo per i titolari, se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web, di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati.


Responsabilizzazione – Dobbiamo dire che la novità più importante introdotta dal Regolamento, che avrà un effetto immediato sul modo di operare delle imprese, è il concetto di “responsabilizzazione” del Titolare o del Responsabile del trattamento dei dati, che si sostanzia in un’analisi dei rischi inerente il trattamento che il titolare dovrà effettuare, attraverso un apposito processo di valutazione sui rischi riguardanti la protezione dei dati e individuando le misure tecniche e organizzative da mettere in atto per mitigare tali rischi.

In pratica dovrà essere l’impresa stessa a decidere, in base ad un’analisi dei rischi, quali saranno a suo avviso le misure più adeguate per diminuire le possibilità di trattamento illecito dei dati o distruzione o perdita o diffusione di questi, partendo da uno screening dei dati personali trattati, della loro tipologia, delle finalità perseguite e della movimentazione dei dati all’interno e all’esterno dell’azienda. In base all’analisi effettuata, ogni singola azienda potrà definire gli strumenti da utilizzare, previsti dal Regolamento stesso.


Cosa cambia – Le aziende che raccolgono ed elaborano dati personali, anche attraverso l’impiego delle nuove tecnologie informatiche (aziende che ad esempio effettuano vendita on-line o che hanno un proprio sito web e comunicano attraverso questo con i potenziali clienti o aziende agrituristiche che effettuano le prenotazioni on-line, ecc.), innanzitutto devono:

  • Fornire agli interessati di cui trattano i dati, un’informativa sulla privacy in forma concisa, trasparente, facilmente accessibile, che comprenda anche le finalità del trattamento cui sono destinati i dati personali oltre che il tempo di conservazione previsto.
  • Richiedere il consenso al trattamento dei dati, mediante dichiarazione o azione positiva che sia inequivocabile.
  • Analizzare quale è il tipo di dati di cui si dispone e farne una mappatura aggiornata.
  • Valutare se la natura, il contesto e le finalità del trattamento possano presentare un rischio per i diritti e le libertà delle persone fisiche, al fine di dotarsi di misure tecniche che garantiscano la sicurezza.
  • Istituire un registro delle attività di trattamento svolte (l’istituzione di tale registro è consigliata, quale strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti e per assicurare una gestione corretta dei dati). Il Registro deve contenere, oltre al nome e i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale; ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative messe in atto per garantire un livello di sicurezza adeguato.
  • Istituire il Documento di valutazione di impatto nel trattamento dei dati (Privacy Impact Assessment) in cui prendere in considerazione: quali dati verranno trattati e quali siano i rischi concreti provenienti dall’utilizzo di tali dati e quali cautele potere mettere in atto per prevenire e risolvere tali criticità. Il documento comprende una lista di potenziali rischi o criticità e un programma per la loro gestione e risoluzione.

Sanzioni – Per quanto riguarda gli aspetti sanzionatori, c’è da evidenziare che nel regolamento europeo sulla privacy sono state inasprite le sanzioni amministrative pecuniarie applicabili in caso di trattamento dei dati personali effettuato in modo non conforme a quanto previsto dalla normativa, si arriva, per le imprese e i privati non facenti parte di gruppi, a sanzioni fino a 20.000.000 di euro.


Strumenti – La Cia si sta attivando per individuare e poter mettere a disposizione delle imprese, strumenti di facile adozione, utili ad effettuare l’analisi dei rischi e a mettere in atto misure adeguate per garantire la messa in sicurezza delle imprese stesse, analizzando le tipologie di trattamento dei dati personali, la documentazione da adeguare (informative e raccolta consensi) tenendo conto anche degli aspetti sanzionatori.


Allegati:


Tratto da Dimensione Agricoltura n. 5/2018

Iscriviti alla Newsletter
di Dimensione Agricoltura

L'email servirà soltanto per l'invio della newsletter periodica.
Consulta la nostra politica della privacy
.
ISCRIVITI!
close-link

Pin It on Pinterest

X