Concerne la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. È entrato in vigore il 24 maggio 2016 e diventerà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.
.
Anche la tua azienda è tenuta a proteggere i dati personali dei tuoi clienti.
Avrai maggiori responsabilità, ma anche semplificazioni se offrirai maggiori garanzie.
.
» Cittadini più garantiti
» Portabilità dei dati
» Obbligo di comunicare i casi di violazione dei dati personali
» Approccio basato sulla valutazione del rischio che premia i soggetti più responsabili
» Semplificazioni per i soggetti che offrono maggiori garanzie
.
Cittadini più garantiti
Il Regolamento stabilisce regole più chiare in merito all’informativa e al consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti e introduce parametri inflessibili per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali.
Portabilità dei dati
Il Regolamento parla inoltre di diritto alla portabilità, ovvero alla possibilità di trasferire i propri dati personali da un titolare del trattamento a un altro. Ad esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.
Obbligo di comunicare i casi di violazione dei dati personali
In caso di violazione dei dati personali, il titolare del trattamento sarà tenuto a informare l’Autorità nazionale di protezione dei dati. Se l’infrazione rappresenta una minaccia per i diritti e la libertà delle persone, il titolare dovrà informarli immediatamente offrendo indicazioni su come limitare le possibili conseguenze negative. Alcune compagnie assicurative hanno già iniziato a proporre polizze create ad hoc per queste situazioni.
Il titolare del trattamento potrà non informare gli interessati se la violazione non comporta un rischio elevato per i loro diritti o se dimostrerà di avere adottato tutte le misure di sicurezza. Se il numero delle persone da contattare è elevato, il titolare può inviare una comunicazione pubblica per raggiungere quanti più interessati possibile.
L’Autorità di protezione dei dati potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio associato alla violazione.
In caso di inosservanza delle regole sono previste sanzioni, anche elevate.
Approccio basato sulla valutazione del rischio che premia i soggetti più responsabili
Lo scopo del regolamento è quello di responsabilizzare i titolari del trattamento facendo adottare comportamenti che tengano conto del rischio costante che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
Privacy by design, cioè la garanzia della protezione dei dati fin dalla fase iniziale di ideazione di un trattamento. La prevenzione delle possibili problematiche è uno dei principi chiave del Regolamento europeo, anche valutando l’opportunità di consultare l’Autorità di protezione dei dati in caso di dubbi.
Le aziende sono tenute anche a inserire in organico la figura del Responsabile della protezione dei dati (Data Protection Officer, DPO), ovvero colui che avrà il compito di assicurarsi una gestione corretta dei dati personali.
Di contro, scompaiono alcuni oneri amministrativi come l’obbligo di notificare particolari trattamenti oppure di sottoporre a verifica preliminare dell’Autorità i trattamenti considerati a rischio.
Semplificazioni per i soggetti che offrono maggiori garanzie
Il Regolamento promuove il ricorso a codici di condotta da parte di associazioni di categoria e altri soggetti, sottoposti all’approvazione dell’Autorità nazionale di protezione dei dati ed eventualmente della Commissione europea (nel caso dell’approvazione da parte della Commissione il codice di condotta avrà applicazione nell’intera Ue). Il titolare potrà richiedere la certificazione dei propri trattamenti anche con lo scopo di trasferire i dati in altri Paesi. Questa potrà essere rilasciata da un soggetto abilitato oppure dall’Autorità di protezione dei dati.
L’adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l’Autorità terrà conto anche nell’applicazione di eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare.
Contattami per sapere come applicare queste informazioni alla tua azienda